Právní předpis byl sestaven k datu 26.04.2025.
Zobrazené znění právního předpisu je účinné od 01.01.2025.
Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti)
479/2024 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - INFORMAČNÍ BEZPEČNOST
Bezpečnostní požadavky §3
Bezpečnostní požadavky v oblasti počítačové bezpečnosti §4 §5
Systémově závislé bezpečnostní požadavky na informační systém odvozené z bezpečnostního provozního módu §6 §7
Bezpečnostní požadavky v oblasti komunikační bezpečnosti §8
Bezpečnostní požadavky na bezpečné propojení informačních nebo komunikačních systémů §9 §10
Bezpečnostní požadavky na řízení kapacit a kontinuity §11
Bezpečnostní požadavky na ochranu rozmístitelných nebo mobilních zařízení §12
Bezpečnostní požadavky na bezpečnost nosičů informací §13 §14 §15
Bezpečnostní požadavky na přístup uživatele k utajované informaci v systému §16 §17
Bezpečnostní požadavky na bezpečnostní a provozní správu §18
Bezpečnostní požadavky personální bezpečnosti při provozu systému §19
Bezpečnostní požadavky na činnost subjektu systému §20
Bezpečnostní požadavky na fyzickou bezpečnost §21 §22
Bezpečnostní požadavky na administrativní bezpečnost v informačním systému §23
Bezpečnostní požadavky na informační systém s distribuční službou §24
Bezpečnostní požadavky na testování a prověřování §25
Bezpečnostní požadavky na bezpečnost vývoje a instalace §26
Bezpečnostní požadavky na bezpečnost provozu §27 §28 §29 §30 §31 §32
Bezpečnostní požadavky na softwarové vybavení §33
Zvláštní bezpečnostní požadavky na softwarové vybavení informačního systému §34
Bezpečnostní požadavky při nově identifikovaných hrozbách a zvýšení rizik §35
ČÁST TŘETÍ - OBSAH DOKUMENTACE §36
Bezpečnostní politika §37
Analýza rizik §38
Popis bezpečnosti systému §39
Dokumentace k bezpečnostním testům §40
Provozní bezpečnostní směrnice §41
Evidence aktiv §42
Evidence uživatelů §43
Provozní deník §44
ČÁST ČTVRTÁ - CERTIFIKACE A AKREDITACE INFORMAČNÍHO SYSTÉMU A SCHVALOVÁNÍ PROJEKTU BEZPEČNOSTI
HLAVA I - Informační systém
Díl 1 - Certifikace informačního systému
Žádost o certifikaci informačního systému §45
Způsob a podmínky provádění certifikace informačního systému §46
Certifikační zpráva §47
Opakovaná žádost o certifikaci informačního systému §48
Díl 2 - Smlouva o zajištění činnosti §49
Díl 3 - Akreditace informačního systému §50
Díl 4 - Podmínky bezpečného provozování informačního systému §51
HLAVA II - Komunikační systém
Náležitosti projektu bezpečnosti §52
Žádost o schválení projektu bezpečnosti §53
Způsob a podmínky schvalování projektu bezpečnosti §54
HLAVA III - Posuzování modulů §55
ČÁST PÁTÁ - SAMOSTATNÁ ELEKTRONICKÁ ZAŘÍZENÍ
Podmínky bezpečného provozování samostatného elektronického zařízení §56 §57
ČÁST ŠESTÁ - PŘECHODNÁ A ZÁVĚREČNÁ USTANOVENÍ
Přechodná ustanovení §58
Zrušovací ustanovení §59
ČÁST SEDMÁ - ÚČINNOST §60
Příloha č. 1 - Fyzická bezpečnost
Příloha č. 2 - Vzor certifikátu
479
XXXXXXXX
xx dne 19. xxxxxxxx 2024
x xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxxxxxxx zařízení xxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx x o xxxxxxxxx xxxxxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx (vyhláška x xxxxxxxxxx xxxxxxxxxxx)
&xxxx;
Xxxxxxx xxxx xxx kybernetickou x informační bezpečnost xxxxxxx xxxxx §34 xxxx. 7, §35 xxxx. 6, §36 xxxx. 4 x §53 xxxx. x) xx x) a x) xxxxxx č. 412/2005 Xx., x xxxxxxx xxxxxxxxxxx xxxxxxxxx x x xxxxxxxxxxxx xxxxxxxxxxxx, xx xxxxx xxxxxx x. 255/2011, xxxxxx č. 205/2017 Xx. a zákona x. 267/2024 Xx., (xxxx xxx „xxxxx“):
XXXX XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
(1) Tato xxxxxxxx xxxxxxxx x xxxxxxxxxx xx xxxxxxxx Xxxxxxxx xxxx1)
x) xxxxxxxxx na xxxxxxxxxx xxxxxx nakládající x xxxxxxxxxxx informacemi (xxxx jen „xxxxxxxxxx xxxxxx“) x podmínky xxxx bezpečného xxxxxxxxxxx x xxxxxxxxxx xx xxxxxx xxxxxxx utajovaných xxxxxxxxx, x xxxxx xxxxxxx, a na xxxxxxxxxxxxx provozním xxxx,
x) xxxxx bezpečnostní xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxxx systému x xxxxxxxx xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxxx xxxxx §34 xxxx. 7 písm. x) zákona,
d) xxxxx xxxxxxx o xxxxxxxxx xxxxxxxx bezpečnosti xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx x xxxxxxxxxxx informacemi (dále xxx „komunikační xxxxxx“),
x) xxxxxxxxxxx projektu xxxxxxxxxxx xxxxxxxxxxxxx systému (xxxx xxx „xxxxxxx xxxxxxxxxxx“) x xxxxxx x xxxxxxxx xxxx xxxxxxxxxxx xxxxx §35 xxxx. 6 zákona,
f) způsob x xxxxxxxx xxxxxxxxx xxxxxxxxxx informačního systému xxxx moci nakládajícího x xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxx xx xxxxx Xxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxx o xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxx x provedení certifikace xxxxxxxxxxxx xxxxxxx,
x) způsob x xxxxxxxx provádění xxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxxx xxxxxxxxx a xxxxx xxxxxxxxxxxx zprávy podle §46 odst. 13 x
x) xxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Tato xxxxxxxx xxxx stanoví xxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxxx informačního xxxx xxxxxxxxxxxxx xxxxxxx (xxxx xxx „samostatné xxxxxxxxxxxx xxxxxxxx“), x xxxxxx xxxxxxxxxxxx xxxxxxxxx podle §36 xxxx. 2 xxxx. x) zákona.
(3) Xxxx xxxxxxxx dále xxxxxxx xxxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxx §52 xxxxxx, xxxxxx xxxxxxxxx xx xxxxxxxxx dílčích úloh xxx xxxxxxxxx způsobilosti xxxxxxxxxxxx systému x xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx.
§2
Xxxxxxxx pojmů
Pro účely xxxx xxxxxxxx se xxxxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxx elektronického xxxxxxxx (xxxx xxx „xxxxxx“) xxxxxxx xxxxx, xxxxx xxxxxxxx nebo xxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxx xxxxx, xxxxx způsobuje xxxxxxx xxxxxxxxx mezi xxxxxxx xxxxxxx xxxx xxxxx xxxxx systému,
c) aktivem xxxxxxx na základě xxxxxxx xxxxx xxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxx, xxxxxxxxxxx a xxxxxxxxx, xxxxx xxxx x xxxxxxx uloženy,
d) xxxxxxxx xxxxxxxx záznam xxxxxxx poskytující xxxxxx xxxxxxxxx x události xxxx xxxxx xxxxxxx xxxx x xxxxxxxx xxxxxxxx xxxxxxx,
x) autentizací xxxxxxxx systému xxxxxx xxxxxxx předložených xxxxxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxxx, xx xxxxxxxxxxxx identita xxxxxxxx xxxxxxx je xxxxx,
x) xxxxxxxxxx subjektu xxxxxxx proces udělení xxxxxxxxx subjektu xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxx s xxxxxxxx xxxxxxx xxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx soubor, xxxxxxxxxx x xxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxx cílem xx xxxxxxxx xxxxxxxxx, xxxxxxxxx x dostupnost xxxxx systému, a xxxxxxxxxxx xxxxxxxx xxxxxxx xx xxxxxx činnost x xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx opatření xxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxxx xxxxxxx prostředí xxxxxxxx x xxxxxxx xxxxxxxxx xxxx xxxxxxx systému, xxxxxxxx xxxxxxxx xxxxxxx x xxxxx xxxxxxx xxxx xxxxxxxx xxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxxx událostí xxxxxxx, která xxxx xxxxxxxx xxxxxxxxxxxx incident,
k) xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx bezpečnosti,
l) xxxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx xxxxxxx v xxxxxx xxxx,
x) xxxx xxxxxx určených činností x xxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxx x energeticky xxxxxxxxxx xxxxxx, xxxxx je xxxxxx xxxxxxxx xxx xxxxxxx v provozu xxxxxxx jako jeho xxxxxxx, x xxxxx xxxx xxxxxx x xxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx v xxxxxxxxxx xxxxxx xxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxx,
x) xxxxxxx přístupu xxxxxxxxxx pro omezení xxxxxxxx xxxxxxxx systému x xxxxxxxx xxxxxxx, xxxxxxxxxxx, xx přístup x xxx získá xxx oprávněný xxxxxxx xxxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxxxxx řízení xxxxxxxx xxxxxxxx xx xxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxx xxxxxxx k objektu xxxxxxx, xxxxxxx xxxxxxx xxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx xxx xxxxxxx x xxxxxxx xxxxxxx může xxxxxx, xxxxx xxxxx subjekty xxxxxxx xxxxxxxxxx x xxxxxxxx k xxxxxx xxxxxxx xxxxxxx, x xxxx xxx ovlivňovat xxx xxxxxxxxx xxxx xxxxxxx xxxxxxx, x
x) xxxxxxxx xxxxxxx přístupu xxxxxx xxxxxxxx xxxxxxxx xx xxxxxxxxx stupně xxxxxxx utajované xxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxx systému xxx xxxxxxx x xxxxxxxxx xxxxxxxxx a xxxxxxxxxxx xxxxxxx xxx xxxxxxxxx xxxx xxxxxxx xxxxxxx x xxxxxxx xxxxxx xxxxxxx xxxxxxxxx xx volbě učiněné xxxxxxxxxx.
XXXX DRUHÁ
INFORMAČNÍ XXXXXXXXXX
§3
Xxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxxxx požadavky xxxx xxxxxxxxx na xxxxxx, xxxx řízení, xxxxxx x provoz x xx xxxxxxx, xxxxxxxx x xxxxxx xxxxxxx, jejichž cílem xx zajištění informační xxxxxxxxxxx v xxxxxxxxx
x) xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx,
x) kryptografické xxxxxxx,
x) xxxxxxx xxxx xxxxxx xxxxxxxxxxx informací kompromitujícím xxxxxxxxxxx,
x) administrativní xxxxxxxxxxx x organizačních xxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx a
f) xxxxxxx xxxxxxxxxxx.
(2) Xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx opatření xxxxxxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxx xxx xxxxxxxxxxxx xxxxxxxxxx xxxxxx, jí xxxxxxxxx xxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxx.
(3) Xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxx, aby xxxxxx, xxxxxx xx xxxxxxxxx informace x xxxxxxxxxxxx podobě x xxxxxxx xxxxxxxxx, byla xxxxxxx xx xxxxxxxxxxx xxxxxx.
(4) Xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxxx a xxxxxxxxxx programově xxxxxxxxxxx xxxxxxxxxx xxxxxxx (xxxx xxx „xxxxxxxxxxxx funkce“).
(5) Xxxxxxx xxxxxx bezpečnostních xxxxxxxx xxxx xxx xxxxxxxxxxxxxx xxxxxxx řízen xxx, xxx xxxx xxxxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxxxxx, přezkoumávání, udržování x jeho xxxxxxxxxx.
(6) Xxxxxxxxxxxx opatření přijatá x xxxxxxxxx informační xxxxxxxxxxx xxxxxxx musí xxxxxxxx xxxxxxx
x) xxxxxxxxxxxx xxxxxxxxx xxxxxxx x xxxx vyhlášce,
b) xxxxxxxxxxxx xxxxxxxxx uvedené v xxxxxxx předpise upravujícím xxxxxxx xxxx únikem xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx x právním xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxx x
x) výsledky xxxxxxx xxxxx podle §38.
Bezpečnostní xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxxx
§4
(1) Xxxxxxxx xxxx xxx xxxxxxxxx bezpečnostní funkce
a) xxxxxxxxxxxx x autentizace xxxxxxxx xxxxxxx, xxxxx xxxx předcházet xxxx xxxx xxxxxx činnostem, x xxxx být xxxxxxxxx xxxxxxx xxxxxxxxxx x integrity xxxxxxxxxxxx xxxxxxxxx, xxxxxxxxx-xx xxxxxxx xxxxx a xxxxx xxxxxxxxxxx xxxxxxx xxxxx,
x) xxxxxxxxxxx xxxxxx xxxxxxxx x xxxxxxxx xxxxxxx xx xxxxxxx xxxxxxxxxxx x xxxxxx xxxxxxxxxxxx xxxx subjektu systému x jeho identity xxxx xxxxxxxx ve xxxxxxx subjektů xx xxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxx systému, xx auditních xxxxxxx x xxxxxxxxxxx xxxxxxxxx xxxxxxx před xxxxxxxxxxxxxxx xxxxxxxxx, xxxxxx nebo xxxxxxxx; xxxxxxxxxxx se xxxxxxx použití identifikačních x xxxxxxxxxxxxxx xxxxxxxxx, xxxxx x xxxxx xxxxxxxxxxxx xxxx, xxxxxxxxx xxxx xxxxxx xxxxxxx xxxxxxx nebo xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxx bezpečnost xxxxxxxxx xxxx xxxxxxx,
x) schopnosti xxxxxxxx xxxxxxxxx záznamů x xxxxxxxxx odpovědnosti xxxxxxx subjektu xxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxx xxxx jejich dalším xxxxxxxx nebo xxxxxxxxxx xxxxxx xxxxxxxx systému, xxxxx xxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxx x xxxxxxxxx xxx xxxxx xxxxxxx mezi xxxxxx xxxxxxx a xxxxx x
x) ochrany xxxx xxxxxxxxx xxxxx.
(2) Bezpečnostní xxxxxx uvedené v xxxxxxxx 1 xx xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx. Xxxxxx xxxxxx jejich xxxxxxxxx x nastavení xxxxxxx v popisu xxxxxxxxxxx xxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxxxx.
(3) Xxxxxxxxxx, xxxxx xx realizují xxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxxx politiku, xxxx xxx v celém xxxxxxxx cyklu xxxxxxx xxxxxxxx xxxx narušením xxxx xxxxxxxxxxxxxxxx xxxxxxx.
(4) Xxxxxxxxxxxx xxxxxxx musí xxxxxxxx, xxx pro xxxxxxxxxxx zaznamenávání xxxxxxxx x xxxxxx xxxxxxxxxxxxx xxxx nastaveno aktuální xxxxx x čas xx xxxxx xxxx xxxxxxx xxxxxxx.
(5) Xx xxxxxxx xxxxxxx rizik xx x xxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxx využívat xxxxxxxxx nástroje pro xxxxxxxxxxxxx událostí, xxxxx xxxxxxxx i nepřetržité xxxxxxxxxxxxx událostí x xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx včetně včasného xxxxxxxx xxxxxxxx xxxx. Xxxxxxxxx informačním nebo xxxxxxxxxxxx xxxxxxxx se xxxxxx xxxxxx xxxxxx xxxxxxx 200 xxxxxxxxx.
§5
(1) Xxxxxxxxxxxx opatření xxxxxxxxxxx x zavedení xxxxxxxxx xxxxxxxxxxxxxx funkcí xxxxxxxxxx bezpečnosti xxxxx §4 lze x xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxx bezpečnostních xxxxxxxx personální, xxxxxxxxxxxxxxx x xxxxxxx bezpečnosti xxxxx použitím xxxxxxxx xxxxxxxxxxxxx bezpečnostních xxxxxxxx.
(2) Xxx nahrazení xxxxxxxxxxxxxx xxxxxxxx spočívajících x xxxxxxxx xxxxxxxxxxxxxx xxxxxx xxxxxxxxxx bezpečnosti xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx 1 musí xxx xxxxxxxx xxxx xxxxxxxxxxxx xxxxxx a xxxxxxx a xxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx opatřením.
(3) Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxx počítačové xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxx odstavce 1 xxxx xxx xxxxxxx x zdůvodněno v xxxxxxx rizik nebo xxxxxx xxxxxxxxxxx xxxxxxx.
Xxxxxxxxx xxxxxxx bezpečnostní xxxxxxxxx xx xxxxxxxxxx xxxxxx xxxxxxxx x xxxxxxxxxxxxxx provozního xxxx
§6
(1) Xxxxxxxxxx xxxxxxx xxxxx xxx xxxxxxxxxxx pouze x xxxxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx, xxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxx mód xxxxxxxxxx,
x) xxxxxxxxxxxx provozní xxx x xxxxxxxx xxxxxx,
x) bezpečnostní xxxxxxxx xxx x xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxx xxxxxxxx x xxxxxxxxxx, xxxx
x) bezpečnostní xxxxxxxx xxx víceúrovňový.
(2) Xxxxxxxxxxxx provozní xxx xxxxxxxxxx xx xxxxxx xxxxxxxxx, které xxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx utajení, xxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx musí xxxxxxxx xxxxxxxx xxx xxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx, xx xxxxxxx xx informační xxxxxx xxxxx nakládat, x xxxxxxx musí být xxxxxxxxx xxxxxxxx xx xxxxx obsaženými xxxxxxxxxxx xxxxxxxxxxx. X xxxxxxxxxxxxx xxxxxxxxx módu xxxxxxxxxxx xxxx zajištěna xxxxxxxxxxxx xxxxxx podle §4 xxxx. 1 xxxx. x) x x).
(3) Xxxxxxxxxxxx xxxxxxxx xxx x xxxxxxxx úrovní xx takové prostředí, xxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxx informací xxxxxxx xxxxxx xxxxxxx, xx xxxxxx xxxxxxx xxxxxxxx informačního systému xxxx splňovat xxxxxxxx xxx xxxxxxx x xxxxxxxxxx informacím xxxxxxxxxx xxxxxx utajení, xxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxx xxx xxxxxxxxx pracovat xx xxxxx xxxxxxxxxx utajovanými xxxxxxxxxxx.
(4) Xxxxxxxxxxxx xxxxxxxx xxx s xxxxxxxx xxxxxx s xxxxxxxxx xxxxxxx xxxxxxxx x xxxxxxxxxx je takové xxxxxxxxx, které xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx x xxxxxxxx xxxxxx, xxx xxxx xxxxxxxx xxxxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx kontroly přístupu.
(5) Xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xx takové xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx různého xxxxxx xxxxxxx, kde xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxx podmínky xxxxxxxx k xxxxxxxxxx xxxxxxxxxx nejvyššího xxxxxx xxxxxxx a xxxxxx xxx xxxxxxxxx xxxxxxxx xx xxxxx xxxxxxxxxxx xxxxxxxxxxx. Xxx xxxxxxx x xxxxxxxxxxxxx xxxxxxxxx xxxx víceúrovňovém xxxx xxx xxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx řízení xxxxxxxx subjektu xxxxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxxx systému.
§7
(1) Xxxxxxxxxxxx funkce xxxxxxxxx xxxxxx přístupu xxxxxxxx xxxxxxxxxxxx xxxxxxx x objektům xxxxxxxxxxxx xxxxxxx musí xxxxxxxxxx
x) xxxxxx spojení každého xxxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxxxxxxxx příznaky, které xxx xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxx úrovně xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxx systému k xxxxxxxx xxxxxxxxxxxx xxxxxxx x xxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxx utajované informace, xxxxxx objekt xxxxxxxxxxxx xxxxxxx xxxxxxxx nebo xxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) výlučné xxxxxxxxx bezpečnostního správce x xxxxxxxxx změn xxxxxxxxxxxxxx xxxxxxxx subjektů x xxxxxxx xxxxxxxxxxxx xxxxxxx x
x) přidělení xxxxxx definovaných hodnot xxxxxxxxxxxxxx příznaků xxx xxxx vytvořené objekty xxxxxxxxxxxx systému x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx kopírování objektu xxxxxxxxxxxx xxxxxxx.
(2) Xxx xxxxxxxxxxx xxxxxxxxxxxx funkce xxxxxxxxx xxxxxx xxxxxxxx xxxxxxxx informačního xxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxx xxxxxxxxxxxx xxxxxxx
x) xxxx xxxxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx xxxxx, xx-xx xxxx xxxxxxxxxxxx xxxxxxx xxxxxx xxxx vyšší než xxxxxxxxxxxx xxxxxxx objektu xxxxxxxxxxxx xxxxxxx, a
b) xxxxxxxxx informace xx xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx tehdy, xx-xx xxxx xxxxxxxxxxxx příznak xxxxxx xxxx xxxxx xxx bezpečnostní příznak xxxxxxx xxxxxxxxxxxx xxxxxxx.
(3) Xxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxx v xxxxxxx xxxxxxxxxxxx systému, xxxxxxxx xxx povolují xxx xxxxxxxx povinného xxxxxx xxxxxxxx, xxx xxxxxxxx volitelného xxxxxx xxxxxxxx.
(4) Xxx xxxxxxx xxxxxxxxxxxx xxxxxxx v xxxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxxx xxxx xxx xxxxxxxxx informace vystupující x xxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxx xxxxxxx xxxxxxx a utajované xxxxxxxxx vstupující xx xxxxxxxxxxxx xxxxxxx přiřazen xxxxxx xxxxxxx.
(5) Xxx xxxxxxx xxxxxxxxxxxx systému x bezpečnostním xxxxxxxxx xxxx xxxxxxxxxxxxx, ve xxxxxx se nakládá x utajovanou informací xxxxxx xxxxxxx Xxxxxx xxxxx, xxxx xxx xxxxxxxxx, xxx nedochází x xxxxxxxxx xxxxxx xxxxxxxxx xxxx informačním xxxxxxxx a okolím xxxxxxxx, xxxxx není xxx xxxxxxxxxx xxxxx xxxxx x ani xxxxxxxxxxxx, x při xxxxxx dochází x xxxxxxxxx xxxxxxxxxxxxxx mechanismů xxxxxxxxxxxx xxxxxxx.
§8
Xxxxxxxxxxxx xxxxxxxxx x xxxxxxx komunikační xxxxxxxxxxx
(1) Xxx xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxx xxxxxxxxx xxxxxxx xxxxxxxxxx x xxxxxxxxx xxxx utajované xxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxx jiných xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx, aby xxxxxx xxxxxxxx xxxxxxxxxx bezpečnost.
(2) X xxxxxxxxxxxxx xxxxxx, xxxxx xxxx vedeny x rámci zabezpečených xxxxxxx xxxx xxxxxxx, xxx xxxxxxxxx xxxxxxxxx xxxxxxxxx chránit xxxxxxxxxxxxxxx xxxxxxxx xx xxxxx xxxxxx, než xx xxx xxxx xxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx, nebo xxx xxxxxxxxxxxxxxx ochranu xxxxxxxxxxx xxxxxxxxx nahradit xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxx.
(3) X závislosti xx xxxxxxxxxxxx xxxxxxxxx musí xxx zajištěna xxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx systému, xxxxxx xxxxxxx xxxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxx. Xxxx identifikace x xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx.
(4) Přenos xxxxxxxxx informace komunikačním xxxxxxx vedený mimo xxxxxxxxxxxx oblast nebo xxxxxx musí xxx xxxxxxx xxxxxx kryptografického xxxxxxxxxx certifikovaného alespoň xxx xxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx.
(5) Xxx xxxxxxxxx specifických xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx kanálu x xxxxxxxxxxxxxx opatření pro xxxxxxxx xxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxx rizik xxxx Xxxxxxx xxxx xxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx x xxxxx xxxxxxxxxxx informačního xxxxxxx xxxx xxxxxxxxxxx xxxxxxxx bezpečnosti xxxxxxxx x xxxxxxx xxxxxx xxxxxxxxxxx, než xx xxxxxx x xxxxxxxxxx 2 a 4.
(6) Xxxxxx xxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxx xxxxx xxxxxxxx 1 musí xxxxxxxxx úrovni xxxxxxx xxxxxxxxxx xxx xxxxxxxx xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx budou xxxxxxxxxxxx xxxxxxx xxxxxxxxx.
Xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxx xxxxxxxxx informačních xxxx xxxxxxxxxxxxx xxxxxxx
§9
(1) Xxxxxxxxxxx xxxxx xxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx, xxxxx xxxx xxxxxx x nakládání x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxx xxxxxxx xxxxxx xxxxxxx, případně xx-xx některý x xxxx xxxxx pouze x xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx, lze xxxxxx xxxxx x xxxxxxx xxxxxxxx provozní xxxxxxx x jestliže xx xxxxxxxx xxxxxx xxxx ochrany prostřednictvím xxxxxxxxxxxxxx xxxxxxxx xxxx xxxxx vhodným bezpečnostním xxxxxxxxx.
(2) Xxxxx propojení x xxxxxxxxxxxxxx xxxxxxxx xx součástí xxxxxx xxxxxxxxxxx každého propojovaného xxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx.
(3) Xxxxxxxxx informačních xxxx xxxxxxxxxxxxx systémů xxxxxxxx k nakládání x xxxxxxxxxx xxxxxxxxx xxxxxxxxx stupně xxxxxxx xxxx být xxxxxxxxx xxx, aby mezi xxxx xxxx xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx utajení, xxx xx xxxxxx xxxxxxx utajované xxxxxxxxx, xxx který je xxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx xxxxx.
(4) Xxxx xxxxxxxxxxx informačními xxxx xxxxxxxxxxxxx systémy musí xxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx kategorie, jakou xx xxxxxxxx xxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx, xx xxxxxx xx xxxxx xxxxxxxx v xxxxxxxx z propojovaných xxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx.
(5) Xxxxxx xxxxxxxxxxxxxx xxxxxxxx xx zajišťována xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx, xxxxx xx xxxxx x xxxxxxxxx x xxxxxx xxxxxxx xxxxxxx utajovaných informací. Xxxx-xx xxxxxxxxx informační xxxx xxxxxxxxxxx systémy xxxxxx k xxxxxxxxx x xxxxxxxxxxx informacemi xxxxxxxx xxxxxx utajení, xxxxxxxx xxxxxxxxxxx informačního xxxx komunikačního xxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx stanoví popis xxxxxxxxxxx xxxxxxx.
§10
(1) Xxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx xxxxx xxx xxxxxxxx x xxxxxxxx xxxxxxxxxxx sítí xxxxx právního xxxxxxxx xxxxxxxxxxxx elektronické xxxxxxxxxx, xxxxxx má xxx xxxxx účel instalované xxxxxx xxxxxxxxxxxx xxxxxxxx.
(2) Xxxxxxxxxxxx rozhraní xxxxx xxxxxxxx 1 xxxx xxxxxxx průniku xx xxxxxxxxxxxx xxxx komunikačního xxxxxxx x musí xxxxxxx pouze kontrolovaný xxxxxx xxxxxxxxx, který xxxxxxxxxx důvěrnost, xxxxxxxxx x dostupnost xxxxxxxxx x služeb xxxxxx xxxxxx.
(3) Informační xxxx xxxxxxxxxxx systém xxxxxx x xxxxxxxxx x xxxxxxxxxx xxxxxxxxx stupně xxxxxxx Přísně tajné, xxxx x utajovanou xxxxxxxxx vyžadující xxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx xxxxxx „XXXXXX“, „SIOP“, „XXXXXX“, „BOHEMIA“ nebo „XXXXXX“, xxxxx být xxxxx xxx xxxxxxx xxxxxxxx s xxxxxxxx xxxxxxxxxxx sítí.
(4) Xxxxx xx veřejná komunikační xxx xxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxx chráněny xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxx, nepovažuje xx xxxxxx xxxxxxxxx za xxxxxxxxxxx komunikační xxxxx.
§11
Xxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxx x xxxxxxxxxx
(1) Xxxxxx xxxx xxxxxxxx, že požadovaná xxxxxxxxx xxxxxxxxx xx xxxxxxxxx xx xxxxxxxxxx xxxxx, v požadované xxxxx x v xxxxxxx xxxxxxx xxxxxxx.
(2) X xxxxx xxxxxxxxx xxxxxxxxxx provozu xxxxx xxxxxxxxxxx systému vymezuje xxxxxxxxxx, xxxxx xxx xxxxxxxx xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxx, x dále rozsah xxxxxxxxxx xxxxxxxx funkčnosti x xxxxxxxxxx, xxx xxxxxxx selhání xxxx xxx xxxxxxxx funkčnost xxxxxxxx.
(3) Xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxx xxxxx xxxxxxx x sleduje xxxxxxxxx xxxxxxxxx xxx, xxx xxxxxxxxxxx x xxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx.
(4) Xxxxx xxxxxxxxxxx xxxxxxx xxxxxxxx xxxx xx obnovení xxxxxxxx xxxxxxx xx xxxxxxx. V xxxxxxx xxxxxxx může být xxxxxxxx xxxxxxx do xxxxxxx zabezpečeného stavu xxxxxxxxx xxxxxxxxxxx, xxxx xxxxxxxx xxxxxxxxx správcem. Xxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxxxx xxx xxxxxxxx xxxxxxxx, jsou xxxxxxxxxxx xx xxxxxxxxx xxxxxxx chráněných xxxx xxxxxxxxxxxx xxxxxxxxxx nebo xxxxxxxx. Xxxxx xxxxxxxx xxxxx xxxx xxxxx xxxxx xxxxxxxxxx xx xxxxxxxxx záznamů, xxxxxxxxxxx xx xx provozního xxxxxx.
§12
Xxxxxxxxxxxx xxxxxxxxx na xxxxxxx xxxxxxxxxxxxxxx nebo xxxxxxxxx zařízení
(1) Xxx xxxxxxxxxxxxx zařízení xx x xxxxxxx xxxxx xxxxxxxx i xxxxxx, xxxxx jsou xxxxxxx x xxxxxxxxxx, ve xxxxxx xx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxx.
(2) Xxx xxxxxxx xxxxxxxx xx v analýze xxxxx posuzují i xxxxxx, která xxxx xxxxxxx x dopravou xx xxxxx, xxx xxxx xxxxxxxx xxxxxxxxx.
(3) Xxxxxxxxxxxxx xxxx mobilní xxxxxxxx xxxxxxxxxx utajovaný xxxxx informací xx xxx xxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxx xx xxxxx xxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. 2.
Bezpečnostní xxxxxxxxx xx xxxxxxxxxx nosičů informací
§13
(1) Xx-xx nosič xxxxxxxxx xxxxxxxxx, xxxx xxxx xxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx utajení xxxxxxxxx informace, xxxxxx xxx xx nosiči xxxxxxxxx xxxxxxxxx.
(2) Xx xxxxxx xxxxxxxxx xxxx xxx uvedeno xxxxxxxxx xxxxxxxx xxxxx §42 xxxx. 4 xxxx. x) a xxxxxxxxxxxx xxxxxxxxxxxxx systému. Xxxxxxxxx xx xx xxxxx xxxxxxxxx vyznačují xxxxx, xxxxxx štítku, xxxxxxx xxxx jiným vhodným xxxxxxxx.
(3) V analýze xxxxx xx identifikován xxxxx xxxxxxxxx xxxxx xxxxxxx jeho zapojení xx xxxxxxxx jako
a) xxxxxxxxxxx, xxxxx jej xxx xx xxxxxxxx xxxxxxx x xxx xxxxxxxx použití nástroje, xxxx xx xxxxx x xxxxxxxxxx xxxxxxxxx xxxxxxxx nebo k xxxxxxxxx ochranného xxxxx xxxxxxxx,
x) xxxxxxxxxxx, xxxxx xxx xxx xx xxxxxxxx xxxxxxx xxxxx x xxxxxxxx nástroje, xxxx xx xxxxx x xxxxxxxxxx xxxxxxxxx xxxxxxxx, xxxx
x) xxxxxxxxxx, xxxxx jej lze xx xxxxxxxx vyjmout xxxxx xxxxxxxx, při xxxx xxxxx x xxxxxxxxxx poškození xxxxxxxx.
(4) X xxxxxxxxx xxxxxxxxxxxx x xxxxxx xxxxxxxxxxx xxxxxxx xxx xxxxxxxx x xxxxxxx stupněm xxxxxxx nosič xxxxxxxxx xxxxxxxx v zařízení xxxxxxxxxx po xxxxxx xxxxxxxx xxxxxxxx. Xxxxxxxx x xxxxxxxxxxxx nosičem xxxxxxxxx podle xxxx xxxxx xxxx splňovat xxxxxxxxxxxx požadavky xxxxx §22.
§14
(1) Xxxxxx xxxxxxx xxxxxx xxxxxxxxx stupně xxxxxxx Xxxxxx tajné, Xxxxx nebo se xxxxxxxxx xxxxxxx nakládání xxxxx xxx xxxxxx.
(2) Xxxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxx utajení Xxxxxx xxxxx, Tajné xxxx se xxxxxxxxx xxxxxxx xxxxxxxxx xxxx xxx xxxxxx, xxxxx xxxxx je xxxxxxxxx, xx na xxx xxxx xxxxx jeho xxxxxxxxxxx životního cyklu xxxxxxx pouze xxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxx nebo xxxxxxxxx xxxxxxxxxxx.
(3) Xxxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxx utajení Xxxxxxx xxxx xxx xxxxxx xxxx zrušen, xxxxx xxxxx
x) xxxxxxxx xxxxxxxxxxx xxxxxxxxx z xxx xxxx xxxxxxxxx xxxxxxxx xxxxxxxx x §15 xxxx. 1,
x) xx xxxxxxxxx, xx xx xxx byly xxxxx xxxx dosavadního xxxxxxxxx xxxxx xxxxxxx xxxxx xxxxxxxxx informace xxxxxxx xxxxxx xxxxxxx xxxx xxxxxxxxx neutajované, xxxx
x) xx prokázáno, xx xxxxxx utajení utajovaných xxxxxxxxx uložených xx xxx xxxxx xxxx xxxxxxxxxxx životního xxxxx xxx xxxxxx nebo xxxxxx.
(4) Stupeň xxxxxxx xxxxxx xxxxxxxxx xxxxxx xxxxxxx Xxxxxxxxx xxxx xxx xxxxxx, xxxxx xxxxx
x) vymazání xxxxxxxxxxx xxxxxxxxx z xxx xxxx provedeno způsobem xxxxxxxx v §15 xxxx. 1,
b) xx xxxxxxxxx, xx xx xxx byly xxxxx xxxx dosavadního xxxxxxxxx xxxxx xxxxxxx pouze xxxxxxxxx neutajované, nebo
c) xx prokázáno, že xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxx během xxxx xxxxxxxxxxx xxxxxxxxx xxxxx xxx xxxxxx.
(5) Xxxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx zálohy xxxxxxxxx xx xxxxxx xxxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx, xx xxxxxxx xxxx xxxxxx xxxxxxxx.
§15
(1) Vymazání xxxxxxxxx xxxxxxxxx x nosiče xxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxx xxxxxxx xxxx xxxxxx xxxxxxx, xxxx xxx xxxxxxxxx xxx, xxx znemožnilo x xxxxxx xxxxxxxxx xxxxxxxx získat, xxx xxxxxxxxxxxxx metodami, xxxxxxxxxx xxxxxxxxx na něm xxxxxxxxx xxxxx xxxx xxxxxxxxxxx životního xxxxx.
(2) Xxxxxx xxxxx odstavce 1 xxxx xxx xxxxxx v xxxxxx xxxxxxxxxxx xxxxxxx.
(3) Xxxxxx xxxxxx informací musí xxx xxxxxxxxx v xxxxxxx s xxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxx dat podle xxxxxxxx předpisu upravujícího xxxxxxxx xxxxxxxxxx xxx, xxx znemožnilo x xxxx opětovně xxxxxx, xxx xxxxxxxxxxxxx metodami, xxxxxxxxxx xxxxxxxxx na xxx xxxxxxxxx během xxxx xxxxxxxxxxx xxxxxxxxx xxxxx.
(4) Popis bezpečnosti xxxxxxx stanoví xxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxxx x ke xxxxxxx xxxxxxxxx portům, xxxx xxxxx xxxx xxxx xxxxxx informací x xxxxxxxx připojovány.
(5) Xxxxx xxxxxxxxxxx xxxxxxx stanoví xxxxxxxx přidělování xxxxxx xxxxxxxxx jinému xxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxxxxx zjistit xxxxxx xxxxxxxxx xxxxx.
Bezpečnostní xxxxxxxxx xx xxxxxxx uživatele x xxxxxxxxx xxxxxxxxx x xxxxxxx
§16
(1) Xxxxxxxx xxxx xxx autorizován postupem xxxxxxxxxx x popisu xxxxxxxxxxx systému.
(2) Uživatel xxxx xxxxxxxx xxxxxxxx xxx xxxxxxx fyzické xxxxx x utajované xxxxxxxxx xxxxxx xxxxxxx, xxxxx se stanovuje x xxxxxxxxxx xx xxxxxxxxx xxxxxx utajení xxxxxxxxxxx xxxxxxxxx, xx xxxxxxx xxxx systém xxxxxxxx. Xxxxxxxx v xxxxxxxxxxx xxxxxxx xxxx xxxx splňovat xxxxxxxx xxx přístup xxxxxxx xxxxx x utajované xxxxxxxxx xxxxxx xxxxxxx, xxxxx xx xxxxxxxxx x xxxxxxx x xxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx.
(3) Xxxxxxxxxxxxxx xxxxxxxxxx se xxxxxx xxxx uživatele x xxxxxxxxxxx, xxxxx mu xxxxx základního přístupu x xxxxxxxxxxxx xxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx nebo xxxxxxxxxxxx xxxxxx, xxxxxxx xxxx xxxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxxx xxxxxx.
(4) Xxxxxxxx xxxxxxxxxx se rozumí xxxx xxxxxxxxx x xxxxxxxxxxx, xxxxx mu xxxxxxxx základní přístup x xxxxxxxxxxxx xxxxxxx x nakládání s xxxxxxxxxxx xxxxxxxxxxx.
(5) Xxxxxxxxxxxxx xxxxxxxx xxxx xxxxxxx, xxxxx není xxxxxxxxxxxx xxxx provozní xxxxxxx, xxxxxxxx jako xxxxxxx xxxxxxxx.
§17
(1) Uživatel x xxxx xxxx xx xxxx xxxxxxxxx x xxxxxxxxx x xxxxxxx xxxxx x xxxxxxx xxxxxxxxx xxx jejich xxxxxxxxx.
(2) Uživatel systému, xxxxx xx xxxxx x xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx stupně xxxxxxx Xxxxxxxxx, Xxxxxxx xxxx Tajné, v xxxx
x) xxxxxxxxxx provozní xxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx x s xxxxxxxxxx xxxxxxx xxxxxx, xxxx
x) pracovníka xxxxxxxxxxxx xxxxxx celého xxxxxxx xxxx xxxxxxxx xxxxxxxx xxx přístup fyzické xxxxx k xxxxxxxxx xxxxxxxxx xxxxxx utajení x xxxxx xxxxxx xxxxx, nežli je xxxxxxxx stupeň xxxxxxx xxxxxxxxxxx informací, xx xxxxxxx může xxxxxx xxxxxxxx.
(3) Uživatel systému, xxxxx je xxxxx x xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx stupně xxxxxxx Přísně xxxxx, x roli
a) xxxxxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx a x xxxxxxxxxx xxxxxxx xxxxxx, xxxx
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxxx xxxxxxx xxxx xxxxxxxx xxxxxxxx xxx přístup xxxxxxx xxxxx k xxxxxxxxx xxxxxxxxx stupně xxxxxxx Přísně xxxxx.
(4) Xxxxxxx xxxxxxxxx podle xxxxxxxx 2 xx xxxxxxxxxx u xxxxxxx
x) xxxxxx rozsahu, xxxxxx xx xxxxxx systém xxxxxx xxxxxxx 30 xxxxxxxxx, xxxx
x) zpracovávajícího xxxxx xxxxxxxx utajované xxxxxxxxx, xxxxxxxx systém xxxxxxxxx x xxxxxxxxxx xxxxxxxxx xxxx xxxx Xxxxxxxxxx Severoatlantické xxxxxxx x xx xxxxxxxx xxxxxxxxxxxxxxxx xxxxx je x analýze rizik xxxx popisu xxxxxxxxxxx xxxxxxx uvedeno xxxx xxxxxxxxxxx xxxxxxx podmínek xxx přístup fyzické xxxxx x xxxxxxxxx xxxxxxxxx stupně xxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx, xx kterými xxxx systém nakládat.
(5) Xxxxxxxx x xxxx
x) xxxxxxxxxx xxxxxxxx xxxxxx xxxxxxx s oprávněním xxxxxxxxxxxxxx a s xxxxxxxx xxxxxxxxxx řízení xxxxxxx, xxxxxxx xxxxxx xxxxxxx, správy aplikace xxxx xxxxxxx xxxxxx, xxxx
x) xxxxxxxxxx bezpečnostní xxxxxx xxxxxxx zajišťujícího xxxxx oblast bezpečnosti, xxxxxxx určitou xxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxx xxxxxx, xxxx splňovat xxxxxxxx xxx xxxxxxx xxxxxxx xxxxx k xxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx shodného x xxxxxxxxx xxxxxxx utajení xxxxxxxxxxx informací, se xxxxxxx xxxx systém xxxxxxxx.
(6) Xxxx uživatele xxxxxxx xx na xxxxxxx autorizace xxxxxxxx xxxxxxxxx identifikátor. Xxxx x xxxxxxxxxx xxxxxxxxxxxxxxx xxxxx xxxx xxxxx xxxx využívat xxxxxxx xxxxxxxxx, xx-xx to xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx dostupnosti systému xxxx xxxxxx xxxxxxx x xx-xx zaveden xxxxxx xxxxxxxxxx xxxxx, xxxxx uživatel x xxxx xxxx xxxx xxxx xxxxxxx; xx xxxx xxx xxxxxxx x zdůvodněno v xxxxxx xxxxxxxxxxx systému.
§18
Bezpečnostní xxxxxxxxx xx xxxxxxxxxxxx x provozní xxxxxx
(1) Popis bezpečnosti xxxxxxx stanoví vhodnou xxxxxxxxx bezpečnostní a xxxxxxxx xxxxxx. X xxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxx xx xxxxxx xxxx xxxxxx, xxxxx xxxx xxxx xxxxxxxxx xxxxx. V xxxxx struktury xxxxxxxx xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx roli xxxxxxxxxx xxxxxxx.
(2) Bezpečnostní xxxxxxx xx xxxxxxxx v xxxx xxxxxxxxxx xxxxxx x oprávněními, xxxxx xx xxxxx základního xxxxxxxx k xxxxxxxxxxxx xxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx k xxxxxxxxx xxxxxxxxxxx systému.
(3) Xxxxxxxx xxxxxxx xx xxxxxxxx x xxxx xxxxxxxxxx xxxxxx x xxxxxxxxxxx, xxxxx xx xxxxx základního xxxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxxxxx systému x xxxxxx xxxx xxxxxxx.
(4) X xxxxxxx xxxxxxx zajistit xxxxxxxxx xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxxx nebo xxxxxxxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxx systému organizační xxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx správců xxxx xxxxx xxxx v xxxxxxxxxxxx nebo provozní xxxxxx.
(5) Výkon xxxxxxxxxxxx xxxxxx spočívá x
x) xxxxxxxxxxx přístupových práv,
b) xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx systému,
d) xxxxxx x vyhodnocování auditních xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) vedení příslušných xxxxxxxx,
x) xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxx a xxxxxxxxxxx xxxxx x xxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
x) xxxxxxx xxxxxxxxxx stanovených v xxxxxxxxxxxx dokumentaci.
(6) Výkon xxxxxxxx xxxxxx spočívá x provádění xxxxxxxx x zajištění xxxxxxxxxxxxxxxxx xxxxxxx a x xxxxxxx xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx.
(7) X xxxxxxxxxxxx xxxxxxxxx xxx v xxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx role xxxxxxxxxxxx x xxxxxxxx xxxxxx.
§19
Xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx při xxxxxxx xxxxxxx
(1) Xxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxx xxxx, xxxxxx xxx xxxxxxx.
(2) Pověření podle xxxxxxxx 1 může xxxxxxxx xxxxx odpovědná xxxxx xxxxxxxxxxxxx systému xxxx jí xxxxxxxx xxxxx xxxxxxxx stanoveným x popisu xxxxxxxxxxx xxxxxxx.
(3) Xxxxxxxxx osoba xxxx xx xxxxxxxx xxxxx zruší uživateli xxxxxxxx
x) x xxxxxxx xxxxx jeho xxxx,
x) x xxxxxxx ukončení xxxxxxxxxxxxxxxx nebo xxxxxxxxx xxxxxx x provozovatelem xxxxxxx, nebo
c) xxxxx xxxxxxx xxxxxxxx podmínky xxxxxxxx x xxxxxxxxx xxxxxxxxx podle xxxxxx.
(4) Xxxxxxxx xxxx xxxxxxxxx xxxxxxx roli, pouze xxxxx xxx xxxxxxxxx xx správném užívání xxxxxxx x x xxxxxxxxxx xxxxxxxxxxxxxx opatření. Xxxxxxx xx xxxxxxxx xxxx xxx podstatných xxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxxxx odkladu, xxxxx xxxxxxx jednou xxxxx.
(5) Přehled provedených xxxxxxx, jejich xxxxx x seznam xxxxxxxxx, xxxxx školení xxxxxxxxxxx, xxxxxx xxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx školení, xx xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxx xxxxx xxxx xxxxx xxxx xxx xxxxx x mimo xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx. Způsob xxxxxx xxxxxxxx xxxxx xxxx xxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
§20
Bezpečnostní xxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxxx
(1) Xxxxxxx xxxxxxxx xxxxxxx xxx provádět xxxxx xxxxxxx xxxxxxxxx x xxxxxxxx bezpečnostní xxxxxxxx.
(2) Xxxxxxxxx x činnosti xxxxxxxx xxxxxxx xx x auditním xxxxxxx xxxxxxxxxxx xxx, xxx xxxx xxxxx xxxxxxxxxxxxx xxxxxxxx bezpečnosti systému xxxx pokusy x xx.
Xxxxxxxxxxxx požadavky na xxxxxxxx xxxxxxxxxx
§21
(1) Xxxxxx xxxxxxx xxxx xxx xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxx xxxxxxxxxxxxx x prostředí, xx kterém xxxx xxxxxxxx.
(2) Aktiva xxxxxxx xxxx být xxxxxxxx xx xxxxxxxx, xx xxxxxx je xxxxxxxxx xxxxxxx ochrana před xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxx x xxxxxxxxxx xxxxx xxxxxxx. Xx xxxxxxx analýzy xxxxx xx stanovuje, xxxxx xxxxxx systému xxxx xxx xxxxxxxx x xxxxxxxxxxx xxxxxxx xxxx xxxxxxx x xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxxxxxx.
(3) Xxxxxx xxxxxxxx aktiv xxxxxxx xxxxxxx xxxxx xxxxxxxxxxx xxxxxxx.
(4) Umístění xxxxx xxxxxxx xxxx být xxxxxxxxx xxx, aby xxxxxxxxxx neoprávněné osobě xxxxxxxx nebo xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxx k xxxxxxxxxxxx a autentizaci xxxxxxxxx.
§22
(1) Nejnižší xxxxx xxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxx xxxxxxxx xxxxxxxx, x xxxx xxxxx být xxxxxxxx xxxxxxxxx informace, xx xxxxxx x xxxxxxx x tabulkami xxxxxxxx xxxxxx nejnižší xxxx xxxxxxxxxxx xxxxxxx bezpečnosti xxxxxxxxx x právním xxxxxxxx xxxxxxxxxxx fyzickou xxxxxxxxxx.
(2) Bodové xxxxxxxxxx xxxxxxx bezpečnosti xxxxxxxx, x xxxx xxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx, je závislé xx xxxxxxx xxxxxxxxx xxxxxxxxxx
x) xxxxxxxxx xxxxxxxxx x xxxxxxxx a
b) xxxxxxxxxxxxxx údajů xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxx.
(3) Xxxxxx ohodnocení xxxxxxx xxxxxxxxxxx xxxxx odstavce 2 je xxxxxxx x příloze č. 1 x xxxx xxxxxxxx.
(4) Xxxxxxxx, x xxxxx xxxxx xxx ukládány xxxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxxx komponenty, xxxx xxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxx xxxxxxxx x xxxxxx xxxxxxxxxxx xxxxxxx.
(5) Xxxxxxxx xxxxx xx xxxxxxxx xxx, aby xxx xxxxxx o xxxxxxxxx xxxxxxxx, x němž xxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx nebo xxxx xxxxxxxxxx komponenty, xxxxx x xxxx xxxxxxxxx.
(6) Xxxxx bezpečnosti xxxxxxx stanoví xxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxxxx 2 x xxxx pravidla x xxxxxxxxx xxxxxxxxxxx xxx
x) xxxxx umístění xxxxxxxx x jeho xxxxxxxxxxxx xxxxxxxxx,
x) údržbě xxxxxxxx x jeho hardwarových xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx xxxx xxxx xxxxxxxxxxxx xxxxxxxxx xxxx prostory xxxxxxxxxxxxx xxxxxxx a
d) xxxxxxxx xxxxxxxxx xxxx xxxxxxxxxx xxxxxxx xxxxxxxx xxxx jeho xxxxxxxxxxxx xxxxxxxxx.
§23
Xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxxx bezpečnost v xxxxxxxxxxx systému
(1) Utajovanou xxxxxxxxx xxx xxxxxxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx, xxxxx pokud xxxx xx xx xxxxxxxxx
x) xxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxxxx xxxxx xxxxxxxx xxxxxxxx upravujícího administrativní xxxxxxxxxx,
x) xxxxxxxxxxxx odesílatele x
x) xxxxx vzniku.
(2) Xxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx xxxxxxxxxxxxxxx informačního xxxxxxx xxxx xxx xxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxx systému xxxxxxx xxxxxx xxxxxxxxx x evidenci utajovaných xxxxxxxxx xxxx v xxxxxxxx xxxxxxxxx x xxxxxxxx nebo xxxxxxxxxxxx xxxxxx. Xxxxxxxxxx xxxxxxxx xxxxxxxx upravujícího xxxxxxxxxxxxxxx xxxxxxxxxx xx použijí xxxxxxx.
(3) V odůvodněných xxxxxxxxx může xxxxxxxxx xxxxx, jí xxxxxxxx xxxxx xxxx bezpečnostní xxxxxxx stanovit xxxxxxx, xxx xx postupy xxxxx odstavců 1 x 2 xxxxxxxxx. Xxxxxxxx pro stanovování xxxxxxx xxxxx xxxx xxxxx xxxxxxx popis xxxxxxxxxxx xxxxxxx.
§24
Bezpečnostní xxxxxxxxx na xxxxxxxxxx xxxxxx x xxxxxxxxxxx xxxxxxx
(1) Xxxxxxxxxx xxxxxx xxxxxx x xxxxxxxxxx utajovaných xxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx musí xxx
x) xxxxxx pro xxxxx xxxxxxxxx místo x xxxxx tohoto xxxxxxxxxxxx xxxxxxx xxxxxxxxxx adresu, xxxxxx xx xxxxxx xxxxxxxxxxxx xxxxx nebo xxxxxxx xxxxxxxxxxxxx distribuční xxxxxx, x
x) veden xxxxxx doručovacích xxxxx xxxxx evidenčních xxxx x xxxxx xxxxxx xxxxxxxxxxxx xxxxxxx dostupný xxxx uživatelům informačního xxxxxxx, xxxxx xxx xxxxxxxx xxxxxxxxx x xxxxxx své xxxxxx, xxxxxxxx xxxx jiné xxxxxxxx.
(2) Xxxxxx a xxxxxxxx xxxxxxxxxx utajovaných xxxxxxxxx xxxxx xxxxxxxx 1 xxxx xxx xxxxxxxxx v xxxxxx xxxxxxxxxxx informačního xxxxxxx.
§25
Xxxxxxxxxxxx xxxxxxxxx na xxxxxxxxx x xxxxxxxxxxx
(1) Xxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx dokumentací xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxx. K provedení xxxxxxxxx nelze používat xxxxxxxxx xxxxxxxxx.
(2) Soulad xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx předpisy, xxxxxxxxx xxxxxxxx a xxxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxx, x informačního xxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxx §48.
(3) Xxxxxxxx xxxxxxxxx testování, xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 2 x xxxxxx xxxxxxxx xxxx součástí xxxxxxxxxxx k xxxxxxxxxxxxx xxxxxx.
§26
Xxxxxxxxxxxx požadavky na xxxxxxxxxx xxxxxx x xxxxxxxxx
(1) Ve xxxxxxxxx xxxxxxxxx xxxxxxx xxxx xxx xxxxxxxxx xxxxxxxxxx, xxxxxxx používaných xxxxxxxxxxx xxx x xxxxxxxxx xxxxxxxxxxxx testování změn xxxxxxx xxxx jejich xxxxxxxxx xx xxxxxxx.
(2) Xxxxxx instalace xxxxx xxxxxxx musí xxxxxxxxxxxx xxxxxxx organizovat xxx, xxx xxxxxx xxxxxxxx xxxxxxxxxx bezpečnost x xxxxxxxx xxxxxxxxxxxx xxxxxx.
(3) X xxxxxx xxxxxxxxxxx xxxxxxx xxxx xxx xxxxxxxxx xxxxxxxx xxxx xxxxxxxxxx, xxxxx zajišťují xxxxxxxxxxxx funkce xxxx xxxx zranitelné xx xxxx xxxxxxxxx.
(4) Xxxxxxxx xxxx xxxxxxxxxx xxxxx xxxxxxxx 3 musí xxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxx xxxxx x xxxxxxxxx informaci xxxxxxxxxx stupně xxxxxxx xxxxxxxxx xxxxxxxxx, x xxx xx xxxxxx xxxxx xxxxxxxx. Xxxxxxx xxxxxxxx nebo komponenty xxxxx xxx xxxxxxxxxxx x xxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx x utajované xxxxxxxxx xxxxx xxxx první, xxxxx jsou xxxx xxxxx xxx neustálým xxxxxxx dohledem xxxxxxxxxxx xxxxxxxxxx xxxxxx a xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx osobou provozovatele xxxxxxx, jí pověřenou xxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxx.
Xxxxxxxxxxxx požadavky xx xxxxxxxxxx provozu
§27
(1) Xxx xxxxxxxx xxxxxx systému xxxx x popisu xxxxxxxxxxx systému xxxxxxxxx
x) xxxxx x povinnosti xxxxxxxxx v xxxxxxxxxxxx xxxxxx a
b) xxxxxxxx xxxxxxxx a postupy
1. xxx xxxxxxx xxxxxxx xx xxxxxxx, ukončení xxxxxxx x obnovení xxxxxxx po xxxxxxx, xxxxx nebo xxxxxxxxx xxxxxxxx,
2. xxx xxxxxxxxx x xxxxxxxxxxxxx auditních xxxxxxx x pro xxxxxxx xxxxxxxx x xxxxx auditním xxxxxxxx,
3. xxx xxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx a
4. xxxxxx x schvalování xxxxxxxxxx xxxx.
(2) Popis xxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx xxxxxxx.
(3) Xxxxxxxxxxxx systému xx povinen řídit xxxxxxx xxxxx v xxxxx xxxxxxx xxxxxxx. X popisu xxxxxxxxxxx xxxxxxx musí xxx xxxxxxx xxxxxxx a xxxxxxxxxx, které xxxxxxxxx xxxxx xxxxxxxx.
§28
(1) Integrita xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxx xxx chráněna xxxx působením škodlivého xxxx.
(2) Xxxxxxxxxx x xxxxxxxxxx vybavení xxxxxxx xxxx být uvedeno x evidenci aktiv x xxx být xxxxxxxxx pouze x xxxxxxx x podmínkami x uvedenými popisu xxxxxxxxxxx systému x xxxxxxxx xxxxxxxxxxxx směrnici.
(3) Xxxxxxx xxxxx x xxxxx bezpečnosti xxxxxxx xxxxxxx požadavky na xxxxxxxxx zálohování softwarového xxxxxxxx x xxxxxxxxx xxxxxxxxx. Xxxxxx xxxx xxx xxxxxxx xxx, xxx nemohlo xxxxx x xxxxxx xxxxxxxxx, xxxxxxx xxxx zneužití.
(4) Xxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx z xxxxxxxxxxxx vybavení před xxxx xxxxxxxxx x xxxxxxxxx, xxxxxxxx xxxx xxxx zničením.
§29
(1) Servisní činnost xxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxx xxx, xxx xxxxxx xxxxxxxx xxxxxxxxxx x nedošlo k xxxxxxxx povinností xxxxxxx xxxxxxxxxxx informací.
(2) X xxxxxxxxx, xxx xxxxx xxxxxxx neoprávněného xxxxxxxxx x xxxxxxxxxx xxxxxxxxx, xxxx xxx x xxxxxx informací xxxxxxxxxxx xxx servisní činnosti xxxxxxxx vymazány xxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxxx musí xxx xxxxxxxxxxx xxxx xxxxxxxxx.
(3) Xxxxxx xxxxxxxx nebo xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxx musí xxxxxxxxxx xxxxx splňující xxxxxxxx xxx xxxxxxx xxxxxxx xxxxx x utajované xxxxxxxxx xxxxxxxxxx stupně xxxxxxx, s xxx xx systém xxxxx xxxxxxxx. Údržba xxxxxxxxx xxxxxxxx nebo xxxxxxxxx xxxx xxx xxxxxxxxx x xxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx x xxxxxxxxx xxxxxxxxx xxxxx věty první, xxxxx jsou xxxx xxxxx xxx xxxxxxxxx xxxxxxx dohledem xxxxxxxxxxx xxxxxxxxxx správy a xxxxxxxx xxxx schváleny xxxxxxxxxx xxxxxx provozovatele xxxxxxx, xx xxxxxxxxx xxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxx.
§30
(1) X xxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx auditních záznamů x xxxxxxxxx stanovených x xxxxxx xxxxxxxxxxx xxxxxxx a xxx xxxxxx krizové xxxxxxx xxx xxxxxxxxxx odkladu.
(2) Xxxxxxx xxxxxxx musí xxx xxxxxxxx xxxx xxxxxx xxxx zničením x xxxxxxxxxx xx xxxx xxxxxxxxxx v xxxxxx bezpečnosti xxxxxxx, xxxxxxx xxxx xx xxxx 5 xxx xx xxxxxx.
(3) X xxxxxx bezpečnosti xxxxxxx xxxx xxx uvedena xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx x pro xxxxxx z xxxx xxxx být specifikována xxxxxxx
x) xxxxxxxxxxx bezprostředně xx vzniku krizové xxxxxxx zaměřená xx xxxxxxxxxxxx xxxx a xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxx zjištění xxxxxx x mechanismu vzniku xxxxxxx xxxxxxx x
x) xxxxxxxx xx xxxxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xx xxxxxxxxxx xxxxx.
(4) Xxx xxxxxx xxxxxxxxx situací xxxx xxx x popisu xxxxxxxxxxx xxxxxxx stanovena xxxxxxxxxxxx xxxxxxxx xxxxxxxx xx xxxxxxx systému xx stavu xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(5) Xxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx xxxx xxx
x) xxxxxxx xxxxxxxx xxxxxxxxxxxx opatření xxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx ze xxxxxx xxxxxxxxx a xxxxxxxxx xxxxxx záznamů x xxxxxx xxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxx xxx xxxxxxxxx vyhodnocování xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx událostí detekovaných xxxxxxxxxxx xxxxxxxx a xxx xxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx incidentů,
c) xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxxxxxx incidentů,
d) xxxxxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx incidentu, xxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx a xx xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx k xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x
x) xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx incidentů.
(6) Xxx xxxxxx xxxxxxx xxxxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxx xxxxxxx musí xxx xxxxxx v xxxxxx bezpečnosti systému xxxxxx
x) zálohování x xxxxxxx xxxxxxxxx nosičů xxxxxxxxx,
x) xxxxxxxxx xxxxxxxx xxxxxxxx,
x) zajištění nouzového xxxxxxx x xxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx, xxxxx xxxx xxx xxxxxxxxx, x
x) xxxxxx xxxxxxxxxx xxxxxxx a xxxxxxx xx bezpečného xxxxx xxxxxxxxx v xxxxxxxxxxxx dokumentaci.
§31
Xxxxx xx na xxxxxxx, xxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxx, analýza xxxxx xxxxxxx
x) zásady xxxxxxxxx xxxxx xxxxxxxxxx,
x) xxxxxxxxxxx xxxxxxx x xxxxxxxxxxx, xxxxxxx xxxx xxxxxxx ujednání o xxxxxx xxxxxxxxxx xxxxxx, x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x x xxxxxx vzájemné smluvní xxxxxxxxxxxx, a
c) xxxxxxxx xxx xxxxxxx bezpečnostních xxxxxxxx zavedených xxxxxxxxxxx.
§32
Xxxxx xxxxxxxxxxx systému xxxxxxx xxxxxxxxxxxx opatření xxxxxxxx xx xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx xx ukončení provozu xxxxxxx, zejména xxxxxx xxxxxxxx s xxxxxx xxxxxxxxx a uložení xxxxxxxxxxxxxxxx prostředků, xxxx-xx xxxxxxx.
§33
Bezpečnostní xxxxxxxxx xx xxxxxxxxxx xxxxxxxx
(1) Popis xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxxxxx funkce xxx xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx vybavením.
(2) Xx-xx x xxxxx xxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx, xxxx xxxxxxxx stejné xxxxxxxxxxxx xxxxxxxxx jako xxxxxxx provozované xx xxxx xxxxxxxxx.
§34
Xxxxxxxx xxxxxxxxxxxx požadavky xx softwarové xxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxxxxxxx-xx xx xxxxxxx, pro xxxxxx je xxxxxxxxxx xxxxxx xxxxxx, xx x systému xxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxxxxx informačního xxxxxxx xxxxxxxxxxx jednání xx událostí, kterou xx xxxxxx xxxxxxxxx xxxx, že xxx xxxxxxxx xxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxx xxxxxxxxx xxxx provedená xxxxx xxxxx xxxxxxx.
(2) Xx-xx xxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxxxxxxx xxxxxx spisové xxxxxx xxxxxxxx k evidenci xxxxxxxxxxx xxxxxxxxx, xxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx vybavení, xxxxxx xx xxxxxxxxxx, součástí xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
§35
Xxxxxxxxxxxx požadavky xxx xxxx xxxxxxxxxxxxxxxx xxxxxxxx x zvýšení rizik
(1) Xxxxxxxx analýzy rizik x popisu bezpečnosti xxxxxxxxxxxx systému xx x xxxxxxxxxx Xxxxxxxxx xxxxx xxx xxxxxxxxxxxxx x xxxxxxxxxx bezpečnost x xxxxxxxxx xxxxxxx xxxxxxx bezpečnostních xxxxxx xxxx xxxxxxxx xxxxx §34 odst. 4 xxxxxx, xxxx-xx xxxxxx.
(2) Xxxxxxxxxxx xxxxxxxx provozovatele xxxxxxxxxxxxxxx xxxxxxxxxxxx systému x xxxxxxxx xxxxxxx xxxxxxx bezpečnostních xxxxxx xxxx xxxxxxxx podle §34 xxxx. 4 xxxxxx xxxx
x) identifikační xxxxx provozovatele xxxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxxxxx rozhodnutí xxxxx §34 xxxx. 4 xxxxxx x
x) xxxxxxxxxxx x zavedení xxxxxxxxxxxx xxxxxx nebo xxxxxxxx, xxxxxxx jsou
1. xxxxx x čas xxxxxxxx,
2. xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxx xxxx opatření x
3. xxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxx xxx zavádění bezpečnostní xxxxxx xxxx xxxxxxxx.
XXXX XXXXX
XXXXX DOKUMENTACE
§36
(1) Xxxxxxxxxxxx dokumentaci xxxxxxx xxxxx
x) projektová xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(2) Projektová xxxxxxxxxxxx dokumentace obsahuje
a) xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxx,
x) xxxxx bezpečnosti xxxxxxx x
x) dokumentaci x xxxxxxxxxxxxx xxxxxx.
(3) Xxxxxxxx bezpečnostní xxxxxxxxxxx xxxxxxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxx pro xxxxxx xxxxxxxxx roli,
b) evidence xxxxx systému, zejména xxxxxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxxx,
x) xxxxxxxx xxxxxx x
x) další xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
§37
Bezpečnostní xxxxxxxx
(1) Xxxxxxxxxxxx xxxxxxxx
x) xx xxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx, xxxxx xxxxxxxx xxxxxx, xxxxx xx xxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx uživatele za xxxx xxxxxxx v xxxxxxx, xxxxx xx xxxxxxxxxxxxx xxxx bezpečnostní xxxxxxxx v xxxxxx xxxxxxxxxxx xxxxxxx,
x) obsahuje xxxxxxxxxx odpovědné xxxxx xxxx xxxxxxxxxxxxxx xxxxxxxx x naplnění požadavků xxxxxxxx xxxxxxxx z xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx x
x) stanoví xxxxxx zajištění xxxxxxxx x xxxxxxxxxxxxxxxx xxxxxxxxx, xx-xx xx xxxxx.
(2) X xxxxxxxxxxxx xxxxxxx xxxx být xxxxxxxxxxxx xxxxxxxx průběžně přezkoumávána, xxxxxxxxxxxxx x aktualizována, xxxxxxxxxx xxxx xxxxxxxxxxxxx xxxx podáním xxxxxxxxx xxxxxxx x certifikaci xxxxx §48.
§38
Analýza xxxxx
(1) Xxx xxxxx xxxxxxx xxxxx xx xxxxxx
x) hrozbou xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxxx xxxxx xxxxx xxxxxx systému, xxxxx xxxx být xxxxxxx xxxxxxx,
x) rizikem xxxxxxxxx pravděpodobnosti události x jejího následku xxxx souhrnu xxxxxxxx, xx hrozba xxxxxxx xxxxxxxxxxxx x způsobí xxxxx.
(2) Analýza rizik xxxxxxx x xxxxxxxxxxxx xxxxxxxx x u xxxxxxxxxxxx xxxxxxx x xx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx módu.
(3) Xxxxxxx xxxxx xxxxxxxx
x) xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxx metodiku xxx identifikaci a xxxxxxxxx xxxxx xxxxxxx x xxx identifikaci x xxxxxxxxx rizik xxxxxx stanovených xxxxxxxx xxx přijatelnost xxxxx,
x) xxxxxxxxxxxx x xxxxxxxxx xxxxx systému x xxxxxxxx xxxxxx, xxxxxxxxxxxxx x xxxxxx,
x) xxxxxxxxxxxx xxxxx, xxxxx xxxxxxxxxx xxxxxx, xxxxxxxxxxxxx a xxxxxx,
x) xxxxxxx a xxxxxxxxxxxxxxx míru xxxxxx x
x) xxxxxxx navržených xxxxxxxxxxxxxx opatření.
(4) X xxxxxxxxxxxx xxxxxxx musí xxx xxxxxxx xxxxx xxxxxxxxxxxxx, vyhodnocována x xxxxxxxxxxxxx, xxxxxxxxxx xxxx xxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx žádosti x xxxxxxxxxxx podle §48.
§39
Xxxxx xxxxxxxxxxx systému
(1) Xxxxx xxxxxxxxxxx systému xxxxxxxx xxxxxxxx bezpečnostních xxxxxxxx navržených v xxxxxxx xxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx x bezpečnostní xxxxxxxx, xxxxxx řešení kryptografické xxxxxxx, xxxxx je xxxxxxxxxx. Xxxxx xxxxxxxxxxx xxxxxxx musí být xxxxxxxxx a přesný.
(2) X rozsáhlých xxxxxxx xxx xxxxx xxxxxxxxxxx xxxxxxx rozdělit xx xxxxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx částí xxxxxxx, xxxxxxxxx xx xxxxxx xxxxxxxxxxxxx služeb.
§40
Xxxxxxxxxxx k xxxxxxxxxxxxx xxxxxx
Xxxxxxxxxxx x xxxxxxxxxxxxx xxxxxx obsahuje xxxxxx xxxxxxxxxxxxxx xxxxx a xxxxxx xxxxxxxx x xxxxxxx plnění bezpečnostních xxxxxxxx xxxxxxxxxx x xxxxxxx xxxxx x xxxxxxxxx x xxxxxx xxxxxxxxxxx xxxxxxx.
§41
Provozní xxxxxxxxxxxx xxxxxxxx
(1) Xxx xxxxxx xxxxxxxxxxx xxxx x xxxxxxx xxxx xxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx.
(2) Xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxx roli xxxxxxx
x) xxxxx xxxxxxxxx x roli,
b) povinnosti xxxxxxxxx x xxxx,
x) xxxxxxxx xxxxxxxx xxxxxxxxx x xxxx x
x) xxxxxxx xxxxxxx x xxxxxxxxxxx, xxxxx x xxxxxxxxxx činnostmi podle xxxxxx x) xx x).
(3) Xxxxxxxx bezpečnostní xxxxxxxx xxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxx xxxx
x) xxxxxxx x xxxxxxxxxxxx xxxxx systému xxxxxx jeho rozsahu x případného xxxxxxxx,
x) xxxxxxxx x klasifikaci xxxxxxxxx situací včetně xxxxxxxxxx xxxxxx xxxx, xxx xx xxxxxxx xxxxxxxx xxxxxx na xxxxxx xxxxxx,
x) xxxxxxxx x klasifikaci bezpečnostních xxxxxxxx a xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxx xxxx, jak xx xxxxxxx xxxxxxxx xxxxxx xx xxxxxx xxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxx použití xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx popisu xxxx, xxx xx uživatel xxxxxx xx řešení,
e) xxxxxx xxxxxxxxxx x xxxxxx informací a xxxxxx jejich xxxxxxxxx,
x) xxxxxxxx xxxxxxxxx tisku x
x) způsob xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx vybavení.
§42
Xxxxxxxx xxxxx
(1) Xxxxxxx xxxxxx xxxxxxx xxxx xxx xxxxxxxxx x xxxxxxxx xxxxx.
(2) Záznam x xxxxxxxx xxxxx xxxx obsahovat xxxxxx xxxxx, xxx, xxxxxxx xxxx xxxxxxx xxxxx xxxxxx a xxxxx xxxxxxxxx, xxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxxx evidovaného xxxxxx.
(3) Xxxxxxxxx hmotná xxxxxx musí xxx, xxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx xxx, xxx xxxx xxxxxxxxxxx určena xxxxxx příslušnost x xxxxxxx.
(4) Xxxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxx:
x) xxxxxxxx xxxxx,
x) xxxxxx xxxxxxx xxxx xxxxxxxxx x xxx, xx xxxxx xxxxxxxxx xx xxxxxxxxxxx,
x) evidenční xxxxxxxx, xxxxx xxxxx xxxxxxx xxxxxx xxxxxxx, je-li xxxxx informací xxxxxxxxx, xxxx zkratka xxxxxxxxx x xxx, že xxxxx xxxxxxxxx xx xxxxxxxxxxx, xxxxxxxx xxxxx, xxx zavedení xx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx,
x) xxxxx xxxxxxxx do xxxxxxxx,
x) xxx nosiče xxxxxxxxx,
x) xxxxxxxxxxx identifikátor xxxxxx xxxxxxxxx, kterým xx xxxxxxxxx xxxxxxx xxxxx, x
x) xxxxx, příjmení x xxxxxx uživatele, xxxxxxx xxx xxxxx xxxxxxxxx přidělen, xxxxx xxxxxxxx, xxxxx xxxxxxx xxxxxx xxxxxxxxx a xxxxx, xxxxxxxx x xxxxxx xxxxxxxxx, xxxxxxx xxx xxxxx xxxxxxxxx xxxxxx.
(5) Xxxxxxxx xxxxxx xxxxxxxxx xxxx xxx xxxxxx x xxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx. Xxxxxx vedení xxxxxxxx nosičů informací xxxxx xxxx xxxxx xx uveden x xxxxxxxxxxxx xxxxxxxxxxx.
§43
Xxxxxxxx uživatelů
(1) Každý xxxxxxxx xxxx xxx xxxxxxxx v xxxxxxxx xxxxxxxxx.
(2) Evidence uživatelů xxxxxxxx
x) xxxxx a xxxxxxxx uživatele,
b) xxxxx x xxxxxxxx o xxxxxxx xxxxxxxx xxx xxxxxxx x utajované xxxxxxxxx stupně xxxxxxx Xxxxxxxxx, xxxxxxx datum xxxx xxxxxx; xx xxxxxxx, má-li uživatel xxxxxxx x utajované xxxxxxxxx xxxxxx xxxxxxx Xxxxxxxxx podle §58a xxxxxx,
x) xxxxx x xxxxxxxxx xxxxxxx osoby, xxxx-xx xxxxxxxxx xxxxxx, xxxxxxx xx xxxxxx xxxxx osvědčení, xxxxx xxxxxx, xxxx platnosti xxxxxxxxx x xxxxxxxx xxxxxx utajení utajovaných xxxxxxxxx, xx xxxxxx xxxxxxxxx xxxxxxxx přístup,
d) xxxxx x xxxxxxxxx xxxxxxx xxxxx pro xxxx xxx, xxxx-xx xxxxxxxxx xxxxxx, kterými xx rozumí xxxxx xxxxxxxxx, xxxxx vydání, xxxx xxxxxxxxx xxxxxxxxx x nejvyšší xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx, xx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxx, x
x) xxxxx x xxxx, xxxxxx byl uživatel xxxxxxx, xxxxxxx o xxxxxxx xxxx oprávnění, xxxx xxxxxxxx x xxxx xxxxxxx xxxxxxxx x datu xxxxxxxxxx xxxxx §19 odst. 5.
(3) X xxxxxxx, xx xx xxxxxxxx xxxxxxx k utajované xxxxxxxxx xxxxx §58 xxxxxx, nebo x xxxxxxxxx xxxxxxxxx stupně xxxxxxx Vyhrazené xxxxx §58a xxxxxx, jsou xxxx xxxxx xxxxxxx x xxxxxxxx xxxxxxxxx.
§44
Xxxxxxxx deník
(1) Xxxxxxxx xxxxx xxxxxx k xxxxxx xxxx v xxxxxxx x xxxxxx xxxxxxxxxxxxxxx. Xx provozního xxxxxx se xxxxxxxxxxxxx xxxxxxx xxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxx.
(2) Xxxxxxxx xxxxx xxx xxxx x x xxxxxxxxxxxx xxxxxx, xx-xx xxxxxxxxxx proti xxxxxxxxxxxxx xxxxxxxx xxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx x xxx xxxxxxxxx xxxxx.
XXXX XXXXXX
XXXXXXXXXXX A XXXXXXXXXX INFORMAČNÍHO XXXXXXX X XXXXXXXXXXX PROJEKTU XXXXXXXXXXX
XXXXX X
Xxxxxxxxxx xxxxxx
Xxx 1
Xxxxxxxxxxx xxxxxxxxxxxx systému
§45
Žádost x certifikaci xxxxxxxxxxxx xxxxxxx
(1) Žádost o xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx
x) číslo osvědčení xxxxxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx xxxx xxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxx, xx-xx xxxxxxxxx xxxxxxxxxx,
x) xxxxx x příjmení kontaktní xxxxx žadatele x xxxxxxxxx xxxxxxx, xxxxxx xx xxxxxx xxxxxxx xxxx telefonní xxxxx x xxxxxx xxxxxxxxxxxx xxxxx,
x) xxxxx xxxxx x rozsahu informačního xxxxxxx,
x) údaj x xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx, se xxxxxxx xxxx informační systém xxxxxxxx,
x) xxxx x xxxxxxxxx bezpečnostního xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx x
x) xxxxxxxxxxxxx údaje xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx jeho xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx a číslo xxxxxxxxx podnikatele x xxxxxxxx příslušného xxxxxx xxxxxxx xxxx xxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxx, xx-xx dodavatel podnikatelem.
(2) X xxxxxxxxx certifikace xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxx
x) xxxxxx o xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx odstavce 1,
b) xxxxxxxxxxx xxxxxxxxxxxx dokumentaci xxxxx §36 xxxx. 2,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx §36 xxxx. 3 xxxx. a),
d) xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxx x
x) další xxxxxxxx xxxxxxxxxx informace, xxxxx xx mohly xxx xxxx xx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx jeho xxxxxx.
(3) X provedení xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx Xxxxxxx xxxx xxxxxxx xxxxxxx xxxxxxxx xxxxxxxx nezbytné x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxx elektronických xxxxxxxx, které xxxx xxxxxxxx informačního xxxxxxx, x ochraně před xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxx.
(4) X xxxxxxx xxxxxxx xxxxxxx xxxxxxxx xxxxxxx úloh x xxxxx xxxxxxxxx xxxxxxxxxxxx informačního systému x xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx, provedených xxxxxxx xxxxx, xxxxxxxxxx xxxxxx xxxxx §60b xxxxxx nebo xxxxxxxxxxxx xx xxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxx x Xxxxxxxx xxxxxx xxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxx §52 zákona, xxxx-xx tyto dílčí xxxxx xxxxxxxxx.
(5) Xxxxxxxxxxxx xxxxxx xxxxx x xxxxxxx podle xxxxxxxx 1 xxxxx podle xxxxxx x) xx x) xxxxx v xxxxxxx, xxxxx neohrozí xxxxxx xxxxxx xxxxx xxxxx jiného xxxxxxxx xxxxxxxx. Xxxxxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxx xxxxxxxx 2 xxxxx x xxxxxxx, xxxxx xxxxxxxx plnění jejích xxxxx podle xxxxxx xxxxxxxx předpisu.
§46
Xxxxxx a xxxxxxxx xxxxxxxxx xxxxxxxxxxx informačního xxxxxxx
(1) X xxxxx xxxxxxxxxxx informačního xxxxxxx xxxxxxxx Xxxxxxx úřad xxx xxxxxxxxxxxxx x xxxxxxxxxx bezpečnost
a) xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx §3,
x) xxxxxxxxx x úplnost xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxxxxx xxxxxxx a xxxx xxxxxx x xxxxxxxxxxxx xxxxxxxxxxx.
(2) Xxxxxxxxxxx informačního xxxxxxx xx xxxxxxx xx xxxxxxx předložených xxxxxxxx x provedených xxxxxxxxxxxxxx xxxxx. Xxxxxxxxxxxx xxxxx xxxxxxx xxxxxxx x certifikaci xxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxx hodnoceného xxxxxxxxxxxx xxxxxxx xx spoluúčasti Xxxxxxxxx úřadu pro xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx, případně x xxxxxxxxxx. Xxxxxxx-xx bezpečnostní xxxxx xxxxx věty xxxxx zpravodajská xxxxxx, xxxxxxxxxx Xxxxxxxxx xxxxx xxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxx.
(3) Certifikaci informačního xxxxxxx xxx provádět xxxxxxxx xx xxxxxxxx xxxxxxxxxxxx fází xxxxxxxx xxxxxxxxxxxx systému xxxx xx xx jejím xxxxxxxxx, xxxxx-xx to xxxxxxx x xxxxxxx x xxxxxxxxxxx informačního xxxxxxx podle §45.
(4) Xxxxx-xx v informačním xxxxxxx, xxxxx byl xxxxxxxxxxxx x xxxxxxxx xx xxxxxxx, ke xxxxxx xxxxxxxx v §51 odst. 2, xxxxxxx se xxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx v xxxxxxx xxxxxxxxxxx xxxx. Xxx xxxxxxxxx xxxxxxxxxxxx posouzení xxxxxxxxxxxx systému se xxxxxxxxx xxxxx xxxxxxxx 1 x nezbytném xxxxxxx. Xxxxxxxx xxxxxxxxxxxx xxxxxxxxx je xxxxxxxx xxxxxxxxxxxx xxxxxx.
(5) Vzor xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xx xxxxxx x příloze č. 2 x xxxx xxxxxxxx.
§47
Xxxxxxxxxxxx zpráva
Národní xxxx xxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx vydává x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx zprávu, xxxxx xxxxxxxx
x) identifikaci xxxxxxxxxxxx xxxxxxx obsahující xxxx xxxxx, označení xxxxx a xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx, xxx xxxxx byla xxxxxxxxxxx informačního xxxxxxx xxxxxxx,
x) xxxxx informačního xxxxxxx,
x) xxxxxx x xxxxxxxx xxxxxxxxxxx informačního xxxxxxx, xxxxxx xxxx xxxx xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx informačního xxxxxxx, x xxxxxxxx xxxxxxxx jeho provozu,
d) xxxxxxxxxxxx xxxxxxxxxxxx rizik xxxxxxxxxxxxx s provozem xxxxxxxxxxxx xxxxxxx x
x) xxxx xxxxxxxxxxxxxxxx prostředků, xxxx-xx xxxxxxx, x xxxxxx, xxxxx xxxx xxxxxxxx xxxxx xxxxxxxxxxxxxx xxxxxxx x xxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx.
§48
Xxxxxxxxx žádost o xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxxxxxxxx xxxxxx x xxxxxxxxxxx informačního xxxxxxx xxxxxxxx
x) číslo xxxxxxxxx xxxxxxxxxxx s uvedením xxxxxxxxxxx xxxxxx xxxxxxx xxxx xxxxx xxxxxxxx xxxxxxxxxx podnikatele, je-li xxxxxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxx identifikaci xxxx xxxxxxxx, xxxxxxxxx xxxxx, xxxxx xxxxxx x xxxx platnosti,
c) identifikaci xxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxx xxxxx, xxxxxxxx xxxxx a stupeň xxxxxxx utajovaných informací, xxx xxxxx xxxx xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxx, x
x) xxxxx x xxxxxxxx kontaktní xxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxx xx xx.
(2) Xxxxxxxxx xxxxxx x xxxxxxxxxxx informačního xxxxxxx xxxx obsahuje xxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xx xx xxx xxxxxxxx platnosti xxxxxxxxxxx certifikátu xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx.
(3) Xxxxx x opakované xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxx, že xx xxx xxxxxxxx xxxxxxxxx dosavadního xxxxxxxxxxx xxxxxxxxxxxx systému bude xxxxxxxxxx xxxxxx xxxxxxxxxx xx xxxxxxxx stanovených x xxxxxxxxxxxx xxxxxx x x xxxx xxxxxxxxxxx xxxxxxxxx xxxxx, xx rozsah posuzování xxxxx §46 odst. 1 omezen xxxxx xx xxxxxxx x).
(4) Xxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx navrhuje xxxxx xxxxxxxxxxxx xxxxxxxxxxx, xx xxxxxx posuzování xxxxx §46 xxxx. 1 xxxx. x) a x) omezen xx xxxx xxxxxxxxxx xxxxx.
(5) Xxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx jsou podstatné xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxx Xxxxxxx úřad xxx xxxxxxxxxxxxx a informační xxxxxxxxxx xxxxxxxxxx xxxx x xxxxxxx xxxx xxxxxxxxxxx.
(6) Zpravodajská xxxxxx xxxxx x žádosti xxxxx xxxxxxxx 1 xxxxx xxxxx xxxxxx x) a x) xxxxx x xxxxxxx, xxxxx neohrozí xxxxxx xxxxxx xxxxx xxxxx xxxxxx právního xxxxxxxx. Xxxxxxxxxxxx služba xxxxxxxxx xxxxxxxx xxxxx odstavce 2 xxxxx x xxxxxxx, xxxxx xxxxxxxx xxxxxx jejích úkolů xxxxx xxxxxx xxxxxxxx xxxxxxxx.
Díl 2
Smlouva x xxxxxxxxx činnosti
§49
(1) Žádost x xxxxxxxx smlouvy x Národním xxxxxx xxx kybernetickou x xxxxxxxxxx xxxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxx §52 zákona, xxxxxx xxxxxxxxx xx xxxxxxxxx xxxxxxx xxxx xxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx k xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx (xxxx xxx „smlouva x xxxxxxxxx činnosti“), xxxxxxxx
x) xxxxx osvědčení xxxxxxxxxxx s xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx, xx-xx žadatelem podnikatel,
b) xxxxx x příjmení xxxxxxxxx xxxxx žadatele x xxxxxxxxx spojení xx xx x
x) xxxxxxxxxxx xxxxxxxx, které xxxx xxx xxxxxxxxx xxxxx xxxxxxx x xxxxxxxxx xxxxxxxx.
(2) Xxxxxx xxx xxxxxxxx 1 xxxxxxxx xxxx
x) xxxxxx xxxxxxxx pracoviště provádějícího xxxxxxxxxx činnosti,
b) xxxxxxxxxx xxxxxxxxx osoby nebo xx xxxxxxxx osoby x splnění xxxxxxxxx xx xxxxxxxx x xxxxxxxxxx bezpečnost xxxxxxxxxx,
x) xxxxxx požadovaných xxxxxxxx,
x) xxxxx x xxxxxxxxxxx xxxxxxxxxxx požadovaných činností x
x) údaje o xxxxxxxxxx a xxxxxxxxxxxx xxxxxxxxx požadovaných xxxxxxxx.
Xxx 3
Xxxxxxxxxx informačního xxxxxxx
§50
(1) Akreditaci informačního xxxxxxx cizí xxxx xxxxxxx Národní úřad xxx xxxxxxxxxxxxx a xxxxxxxxxx bezpečnost xx xxxxxx, xxxxx obsahuje xxxxxxxxxx o naplnění xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxx moci xxxxx xxxxxxxxxxx xxxxxxxx Evropské xxxx2) x podle xxxxxxxxxxx smlouvy3).
(2) Xxxxx Xxxxxxx xxxx xxx xxxxxxxxxxxxx x informační xxxxxxxxxx ověří xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx autoritou xxxx xxxx, předá xxxxxxxxxx xxxxx odstavce 1 xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx cizí xxxx.
(3) Xx základě xxxxxxxxxx xxxxxxxxxxxx akreditační xxxxxxxx xxxx xxxx o xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxx Národní xxxx pro xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx systém cizí xxxx xxxxxxxxxx.
(4) Pokud xx být informační xxxxxx xxxx moci xxxxxxxx x xxxxxxxxxxxxx xx xxxxxxxx xxxx xxxxxxxxx xxxx akreditace, xxxxxx jeho xxxxxxxxxxxx x opakovanou xxxxxxxxxx xxxxxxxxxxxx systému xxxxx xxxxxxxx 1 obdobně xxxxxxxxxx 6 xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxx.
Xxx 4
Podmínky bezpečného xxxxxxxxxxx informačního xxxxxxx
§51
(1) Xxxxxxxx bezpečného xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxxx x
x) dodržování bezpečnostních xxxxxxxx,
x) dodržování xxxxxxxx xxxxxxxxxxx informačního xxxxxxx xxxxxxxxxxx x certifikační xxxxxx x
x) xxxxxxxxxxx Xxxxxxxxx úřadu xxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx x významné xxxxx xxxxxxxx se xxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xx xxxxx xxx xxxx xx xxxxxxxxxx xxxxxxxxxx.
(2) Pokud x xxxxx provozu xxxxxxxxxxxx xxxxxxx xxxxx xx změně xxxxx xxxxxxxx 1 xxxxxxx x) xxxx ke xxxxx xxxxx §47 xxxx. c), musí xxx taková xxxxx xxx xxxxxxxxxx odkladu xxxxxxxxxx v xxxxxxxxxxxx xxxxxxxxxxx, zejména x xxxxxxx rizik.
HLAVA II
Komunikační systém
§52
Náležitosti xxxxxxxx bezpečnosti
(1) Projekt xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, x xx xxxxxxx x xxxxxxx §36 xxxx. 2 xxxx. x) xx x) x xxxx. 3 xxxx. x).
(2) Xxxxx bezpečnosti xxxxx §39 xxxxxxxx xxx xxxxxxxxxxx systém xxxxx
x) xxxxxxx, jakým bude xxxxxxxx xxxxx xxxxxxxxxxxxxx xxxxxxx x souladu x certifikační xxxxxxx xxxxxxxxxxxxxxxx prostředku,
b) xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxx x xxxxxxx x xxxxxxxxxxxx xxxxxxx kryptografického xxxxxxxxxx x
x) xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxxxx postupů, jejichž xxxxxxxxxxx bude zajištěna xxxxxxxxxx bezpečnost.
(3) Xxxxxxxxxxxx xxxxxxxx jednotlivých xxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxx
x) xxxxxxxxx uvedené x §41 x
x) xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxx xxx zajištění xxxxxxxxxxxx správy xxxxxxxxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxxxxx ochrany.
(4) Popis xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx, xxxxx xxx xxxxxxxxx xxxxxxxxxx x xxxxxx xxxxxxx xxxxx xxxxxxxxx xxxxxxxx, musí xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxxxxx x popis informační xxxxxxxxxxxxxx.
§53
Xxxxxx x xxxxxxxxx xxxxxxxx bezpečnosti
(1) Žádost x schválení xxxxxxxx xxxxxxxxxxx obsahuje
a) jméno x xxxxxxxx xxxxxxxxx xxxxx žadatele x xxxxxxxxx xxxxxxx na xx,
x) xxxxx osvědčení xxxxxxxxxxx x xxxxxxxx xxxxxxxxxxx stupně xxxxxxx xxxx xxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxx, xx-xx xxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxxxx,
x) xxxxx xxxxxxxxxxxxx xxxxxxx a xxxxx xxxx xxxxx x xxxxxxx xxxxxx xxxxxxxxx xxxx běžných xxxxxxxxxx xxxxxx,
x) xxxx o xxxxxx utajení utajovaných xxxxxxxxx, xx xxxxxxx xxxx xxxxxxxxxxx systém xxxxxxxx,
x) xxxxxxxxxxxxx xxxxx xxxxxxxxxx jednotlivých xxxxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxx na bezpečnost xxxxxxxxxxxxx systému x xxxxx osvědčení podnikatele x xxxxxxxx xxxxxxxxxxx xxxxxx utajení nebo xxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxx, je-li dodavatel xxxxxxxxxxxx, x
x) xxxxxxx xxxxxxxxxxx.
(2) Xx xxxxxxxxx xxxxxxxx bezpečnosti xxxxxxxxxxxxx xxxxxxx nakládajícího x xxxxxxxxxxx informacemi xxxxxx xxxxxxx Důvěrné nebo xxxxxxx xxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxxx xxxxxxxxxxxxx systému, x xxxxxxx xxxx xxxxxx xxxxxxxxxxx informací xxxxxxxxxxxxxxx xxxxxxxxxxx.
(3) Xxxxx xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxx xxxxxxxx bezpečnosti x xxxxxxx jeho xxxxxxxxxxx xxxxxxxx, xxxx xx xxxxxxxxxx x pořadí xxxxx §36.
(4) Xxxxxxxxxxxx xxxxxx uvádí v xxxxxxx xxxxx xxxxxxxx 1 xxxxx xxxxx xxxxxx x) až x) xxxxx x xxxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxx xxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx. Xxxxxxxxxxxx xxxxxx xxxxxxxxx podklady xxxxx xxxxxxxx 2 xxxxx x xxxxxxx, xxxxx xxxxxxxx plnění jejích xxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx.
§54
Xxxxxx a xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx
(1) X xxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx Xxxxxxx úřad pro xxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxx
x) vhodnost xxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxx §3,
x) xxxxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxxxxx xxxxxxxxx navrženého xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxx x její xxxxxx x xxxxxxxxxxxx xxxxxxxxxxx.
(2) Xxxxxxxxxxx xxxxxxxx bezpečnosti xx provádí xxxxxxxxxx xxxxxxxx předložených xxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx a xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxx Xxxxxxxx xxxxxx pro xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx x xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx.
(3) Xxxxxxxxxxx xxxxxxxx bezpečnosti xxx xxxxxxxx xxxxxxxx xx xxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxx nebo až xx xxxxx celkovém xxxxxxxxx, xxxxx xxxxxxxxx xxxxxxxx, xxxxxx-xx o xx x žádosti x schválení xxxxxxxx xxxxxxxxxxx xxxxx §53.
(4) Xxxxxx-xx Národní xxxx xxx kybernetickou x xxxxxxxxxx bezpečnost xxx xxxxxxxxxxx projektu bezpečnosti xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx x utajovanými informacemi, xxxx rozhodnutí x xxxxxxxxx xxxxxxxx xxxxxxxxxxx.
(5) Xxxxx-xx x komunikačním xxxxxxx ke změnám, xxxxx mají xxxx xx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxx, provádí xx xxxxxxxxxx posouzení xxxxxxxx bezpečnosti x xxxxxxx potřebném x xxxxxxxxx provedených xxxx. Xxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx bezpečnosti xx xxxxxxxxx xxxxxxx xxxx xxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx.
XXXXX III
Posuzování xxxxxx
§55
(1) X rámci certifikace xxxxxxxxxxxx systému xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx nebo komunikační xxxxxx xx moduly, xxxxx mohou xxx xxx xxxxxxx posuzování xxxxxxx xxxxxxx x x xxxxxx xxxxxxxxxxxx xxxx komunikačních xxxxxxxxx xxxxx §46 nebo 54 xxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx.
(2) Modul xx xxxxxxx celek xxxxxxx
x) xxxxxxxxxxx vybavením, xxxxxxx xxxxxxxxxxxxx systémem spisové xxxxxx, xxxxxxxxx x xxxxxxxx utajovaných xxxxxxxxx,
x) xxxxxxxxxxx vybavením, xxxxxxx xxxxxxxxx kryptografického prostředku x xxxxxxx, xxxx
x) xxxxxxxxx softwarového a xxxxxxxxxxxx vybavení, xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx, xxxxxxxx xx xxxxx xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxx jeho xxxxxxxxx xx xxxxxxx.
(3) Národní xxxx xxx kybernetickou x xxxxxxxxxx xxxxxxxxxx xxx xxxxxxxxxx xxxxxx xxxxxxx xxxxx §46 xxxx. 3 x §54 xxxx. 1 x 2 nehodnotí xxxxx, jestliže xxxxx
x) xxx xxxxxxxx x xxxxxx v xxx xxxxxxxxxxx xxxxxxx xxxxx §46 xxxx 54 x
x) má xxx xxxxxxx použit v xxxxx xxxxxxx xx xxxxxx konfiguraci x xx xxxxxxxx podmínek xxxx x xxxxx xxx xxxxxxxxxxx systému xxxxx xxxxxxx x).
XXXX XXXX
XXXXXXXXXX ELEKTRONICKÁ XXXXXXXX
§56
Xxxxxxxx bezpečného xxxxxxxxxxx xxxxxxxxxxxx elektronického zařízení
(1) Xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §36 odst. 4 zákona xx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx v xxxxxxx §36 xxxx. 2 xxxx. c) x xxxx. 3 xxxx. x).
(2) Xxxxx xxxxxxxxxxx systému xxxxx §36 xxxx. 2 xxxx. c) xxxxxxx xxxxxx xxxxxxxxxx provozování x xxxxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x způsob xxxxxxxx zpracovávané utajované xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx jako
a) xxxxxxxxxxx, které xxxxxxxxx xxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxxx, xxxxx zaznamenává utajované xxxxxxxxx x různých xxxxxxxxx, xxxxxxx psací xxxxx x xxxxxx, xxxxxxxxxx, xxxxxx xxxx xxxxxxxxx,
x) xxxxxxxxxx a xxxxxxxx, xxxxx xxxxxxxx xxxx převádí xxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx xx xxxxxxx, x
x) xxxxxxxxxxx, xxxxx xxxxxxxxx xxxxxx xxxxxxx x xxxxxxxxx a) xx x).
(3) Xxxxxxxx-xx xxxxxxxxxx xxxxxxxxxxxx zařízení xxxxx xxxxxxxxx, xxx xxxxx xxxxxxxxxxx systému xxxxxxxx x xxxx xxxxxxxxxxxx podle xxxxxxx xxxxxxxx xx zařízení xxxxx §13 xxxx. 3.
(4) Xxxxx xxxxxxxxxxxx xxxxxxxxxxxx elektronického xxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx stejného xxxx xxxxx xxxxxx x způsobu xxxxxxxxx xxxxxx xxxxxxxxx, xxx xxxx zpracovat xxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxx xxx xxxxxxxxxxxx elektronického zařízení.
§57
Oznámení x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxxxx §36 odst. 2 písm. x) xxxxxx xxxxxxxx
x) xxxxxxxxxxxxx xxxxx xxxxxxxxxxxxx samostatného xxxxxxxxxxxxxx zařízení x
x) xxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx obsahující xxx každé xxxxxxxxxxx xxxxxxxxxx elektronické xxxxxxxx
1. xxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §56 xxxx. 2 x 3 a
2. stupeň xxxxxxx xxxxxxxxxxx informací, xxx xxx je xxxxxx.
XXXX XXXXX
XXXXXXXXX X XXXXXXXXX USTANOVENÍ
§58
Přechodná xxxxxxxxxx
(1) Xxxxxxxxxxxx požadavky xx
x) xxxxxxxxxx xxxxxxx certifikované xxxx xxxxxxxxx xxxx xxxxxxxx x
x) xxxxxxxxxxx xxxxxxx, jejichž projekt xxxxxxxxxxx byl xxxxxxxx xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, xx xxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx.
(2) Xxxxxxxxx xx xxxxxxx xxxxxxxxxxx informací v xxxxxxxxxxxx xxxxxx x xxxxxxxxxxxx elektronických xxxxxxxxxx, xxxxx byla xxxxxxx xx xxxxxxx xxxxx xxxx xxxxxx xxxxxxxxx xxxx vyhlášky, xx xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx xx xxxx 1 roku xxx xxx xxxxxx xxxxxxxxx xxxx xxxxxxxx.
(3) Xxxxxxxxx, xxxxx nesplňují podmínky xxx xxxxxxx fyzické xxxxx x xxxxxxxxx xxxxxxxxx xxxxx §17 xxxx. 2, xxxx xxxx podmínku xxxxxx xxxxxxxxxx do 12 xxxxxx xxx dne xxxxxx účinnosti xxxx xxxxxxxx.
§59
Xxxxxxxxx xxxxxxxxxx
Xxxxxxx xx:
1. Xxxxxxxx č. 523/2005 Sb., x xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx systémů x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx x x xxxxxxxxxxx xxxxxxxxx xxxxx.
2. Xxxxxxxx č. 453/2011 Sb., xxxxxx xx xxxx xxxxxxxx x. 523/2005 Xx., x xxxxxxxxxxx xxxxxxxxxxxx x komunikačních xxxxxxx x xxxxxxx elektronických xxxxxxxx xxxxxxxxxxxxx s xxxxxxxxxxx xxxxxxxxxxx x x xxxxxxxxxxx xxxxxxxxx xxxxx.
XXXX SEDMÁ
ÚČINNOST
§60
Tato xxxxxxxx xxxxxx xxxxxxxxx xxxx 1. ledna 2025.
Ředitel:
Ing. Xxxxx v. r.
Příloha x. 1
Xxxxxxx xxxxxxxxxx
Xxx xxxxxxx xxxxxxx xxxxxxxx hodnot xxxxxxxxxxxxx xxxxxxx, x xxxxx xx xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxx samostatného xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxx x sobě xxxxxx xxxxxxxxx, které xxx xxxxxxxx informace xxxxxxxxxxx xxxxxx připojení xx xxxxxx elektrické xxxxxxx, xx použijí xxxxxxxxxxx xxxxxxx xxxxxxxxx S1.
S1
|
Tabulka x. 1: Xxxxxxxxxxxx xxxxxxxxxx xxxxxxxxx X1 |
|
|
Xxxxxxx X1 |
Xxxxx xxxxxxxxxxx xxxxxxxx xxxxxxx |
|
0 |
xxx xxxxxxxxxxx* |
|
1 |
xxxxxxxxxxxx xxxxxx x autentizace heslem x xxxxxx xxx xxxx nejsou xxxxxxxxx |
|
2 |
xxxxxxxxxxxx xxxxxx x xxxxxxxxxxx xxxxxx xxxxxxxx xxxxx xxxxxxx x xxxxxx xxx data nejsou xxxxxxxxx |
|
2 |
xxxxxxxxxxx xxxxxxxxx x xxxxxxx identifikačním xxxxxx (XXX) x systém xxx data nejsou xxxxxxxxx |
|
2 |
xxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxxx a systém xxx xxxx xxxxxx xxxxxxxxx |
|
2 |
xxxxxxxxxxxx xxxxxx a xxxxxxxxxxx heslem x xxxx systém xxxx xxxx xxxx xxxxxxxxx** |
|
3 |
xxxxxxxxxxxx xxxxxx x xxxxxxxxxxx xxxxxx xxxxxxxx jiným xxxxxxx x xxxx xxxxxx xxxx xxxx xxxx šifrovaná** |
|
3 |
autentizace xxxxxxxxx x xxxxxxx identifikačním xxxxxx (XXX) x xxxx xxxxxx xxxx xxxx jsou šifrovaná** |
|
3 |
autentizace xxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxx xxxxxx xxxx xxxx xxxx xxxxxxxxx** |
|
4 |
xxxxxxxxxxx xxxxxxxxx s xxxxxxxxxx***&xxxx;xxxxxxx s xxxxxxx xxxxxxxxxxxxxx xxxxxx (XXX) x systém xxx xxxx xxxxxx xxxxxxxxx |
|
4 |
xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxx***&xxxx;xxxxxxx x osobním xxxxxxxxxxxxxx xxxxxx (XXX) x xxxxxxxx x xxxxxx xxx xxxx xxxxxx xxxxxxxxx |
|
5 |
xxxxxxxxxxx předmětem s xxxxxxxxxx***&xxxx;xxxxxxx x osobním xxxxxxxxxxxxxx xxxxxx (XXX) x xxxx systém xxxx data xxxx xxxxxxxxx** |
|
5 |
xxxxxxxxxxx předmětem s xxxxxxxxxx***&xxxx;xxxxxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxx (PIN) x přenosem a xxxx systém xxxx xxxx xxxx šifrovaná** |
|
* pouze xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx |
|
Příloha x. 2
Vzor xxxxxxxxxxx
XXXXXXX XXXX
XXX KYBERNETICKOU X XXXXXXXXXX BEZPEČNOST
Národní xxxx pro xxxxxxxxxxxxx x informační xxxxxxxxxx xxxxxxxxx xxxxx §137a xxxx. e) xxxxxx x. 412/2005 Xx., x ochraně xxxxxxxxxxx xxxxxxxxx x x xxxxxxxxxxxx xxxxxxxxxxxx, xx xxxxx pozdějších předpisů
vydává
CERTIFIKÁT
informačního xxxxxxx
xxxxx §46 zákona x. 412/2005 Xx., x xxxxxxx xxxxxxxxxxx xxxxxxxxx x o xxxxxxxxxxxx způsobilosti, ve xxxxx xxxxxxxxxx xxxxxxxx.
&xxxx;
Xxxxxxxxx xxxxx certifikátu: ______________________________
&xxxx;
________________________________________________
(xxxxx, xxxxx)
&xxxx;
|
Xxxxxxx xxxxxxxxxxx: Xxxxxx:&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx; XXX: |
Xxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx x schválení xxxxxxxxxxxx xxxxxxxxxxxx systému
k xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xx x včetně xxxxxx utajení
_______________________________________
Platnost xx:
Xxxxxxxx xx:
&xxxx;
xxxxx úředního xxxxxxx
&xxxx;
_________________________
xxxxxx xxxxxxxxxxx xxxxxxxx
Xxxxx xxxxxx:
Xxxxxxx:
Xxxxxxxxx
Xxxxxx xxxxxxx x. 479/2024 Sb. xxxxx xxxxxxxxx dnem 1.1.2025.
Xx xxx xxxxxxxx xxxxxx xxxxxxx xxxxx xxxxx xx xxxxxxxxx.
Xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx jiných xxxxxxxx xxxxxxxx v xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx xx xxxx xxxxxx xxxxxxxxx změna xxxxx xxxxxxxxx právního xxxxxxxx.
1) Xxxxxxxxxx Xxxxxx (XX, Euratom) 2021/259 xx xxx 10. xxxxx 2021, xxxxxx xx xxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxx s xxxxxxx xx utajované granty.
Rozhodnutí Xxxx (EU) 2013/488/EU xx xxx 23. xxxx 2013 x xxxxxxxxxxxxxx pravidlech na xxxxxxx utajovaných informací XX, x platném xxxxx.
2) Rozhodnutí Xxxx 2013/488/XX.
3) Xxxxxx xxxx xxxxxxxxx xxxxxxxx Severoatlantické xxxxxxx x xxxxxxxxxxx xxxxxxxxx, vyhlášená xxx č. 75/2001 Sb. m. s.