Právní předpis byl sestaven k datu 23.02.2025.
Zobrazené znění právního předpisu je účinné od 01.01.2025.
Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti)
479/2024 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - INFORMAČNÍ BEZPEČNOST
Bezpečnostní požadavky §3
Bezpečnostní požadavky v oblasti počítačové bezpečnosti §4 §5
Systémově závislé bezpečnostní požadavky na informační systém odvozené z bezpečnostního provozního módu §6 §7
Bezpečnostní požadavky v oblasti komunikační bezpečnosti §8
Bezpečnostní požadavky na bezpečné propojení informačních nebo komunikačních systémů §9 §10
Bezpečnostní požadavky na řízení kapacit a kontinuity §11
Bezpečnostní požadavky na ochranu rozmístitelných nebo mobilních zařízení §12
Bezpečnostní požadavky na bezpečnost nosičů informací §13 §14 §15
Bezpečnostní požadavky na přístup uživatele k utajované informaci v systému §16 §17
Bezpečnostní požadavky na bezpečnostní a provozní správu §18
Bezpečnostní požadavky personální bezpečnosti při provozu systému §19
Bezpečnostní požadavky na činnost subjektu systému §20
Bezpečnostní požadavky na fyzickou bezpečnost §21 §22
Bezpečnostní požadavky na administrativní bezpečnost v informačním systému §23
Bezpečnostní požadavky na informační systém s distribuční službou §24
Bezpečnostní požadavky na testování a prověřování §25
Bezpečnostní požadavky na bezpečnost vývoje a instalace §26
Bezpečnostní požadavky na bezpečnost provozu §27 §28 §29 §30 §31 §32
Bezpečnostní požadavky na softwarové vybavení §33
Zvláštní bezpečnostní požadavky na softwarové vybavení informačního systému §34
Bezpečnostní požadavky při nově identifikovaných hrozbách a zvýšení rizik §35
ČÁST TŘETÍ - OBSAH DOKUMENTACE §36
Bezpečnostní politika §37
Analýza rizik §38
Popis bezpečnosti systému §39
Dokumentace k bezpečnostním testům §40
Provozní bezpečnostní směrnice §41
Evidence aktiv §42
Evidence uživatelů §43
Provozní deník §44
ČÁST ČTVRTÁ - CERTIFIKACE A AKREDITACE INFORMAČNÍHO SYSTÉMU A SCHVALOVÁNÍ PROJEKTU BEZPEČNOSTI
HLAVA I - Informační systém
Díl 1 - Certifikace informačního systému
Žádost o certifikaci informačního systému §45
Způsob a podmínky provádění certifikace informačního systému §46
Certifikační zpráva §47
Opakovaná žádost o certifikaci informačního systému §48
Díl 2 - Smlouva o zajištění činnosti §49
Díl 3 - Akreditace informačního systému §50
Díl 4 - Podmínky bezpečného provozování informačního systému §51
HLAVA II - Komunikační systém
Náležitosti projektu bezpečnosti §52
Žádost o schválení projektu bezpečnosti §53
Způsob a podmínky schvalování projektu bezpečnosti §54
HLAVA III - Posuzování modulů §55
ČÁST PÁTÁ - SAMOSTATNÁ ELEKTRONICKÁ ZAŘÍZENÍ
Podmínky bezpečného provozování samostatného elektronického zařízení §56 §57
ČÁST ŠESTÁ - PŘECHODNÁ A ZÁVĚREČNÁ USTANOVENÍ
Přechodná ustanovení §58
Zrušovací ustanovení §59
ČÁST SEDMÁ - ÚČINNOST §60
Příloha č. 1 - Fyzická bezpečnost
Příloha č. 2 - Vzor certifikátu
479
XXXXXXXX
xx dne 19. xxxxxxxx 2024
x xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx x utajovanými informacemi x x xxxxxxxxx xxxxxxxxxxxxx žádosti x xxxxxxxx xxxxxxx o xxxxxxxxx xxxxxxxx (xxxxxxxx x informační xxxxxxxxxxx)
&xxxx;
Xxxxxxx xxxx pro xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxx podle §34 xxxx. 7, §35 xxxx. 6, §36 xxxx. 4 x §53 xxxx. x) xx x) a x) xxxxxx č. 412/2005 Xx., o xxxxxxx utajovaných xxxxxxxxx x o xxxxxxxxxxxx xxxxxxxxxxxx, ve xxxxx xxxxxx x. 255/2011, xxxxxx x. 205/2017 Xx. x zákona x. 267/2024 Xx., (xxxx xxx „xxxxx“):
XXXX XXXXX
XXXXXX USTANOVENÍ
§1
Předmět xxxxxx
(1) Xxxx xxxxxxxx xxxxxxxx x xxxxxxxxxx xx xxxxxxxx Evropské xxxx1)
x) xxxxxxxxx na xxxxxxxxxx systém xxxxxxxxxxx x xxxxxxxxxxx informacemi (xxxx xxx „xxxxxxxxxx xxxxxx“) x podmínky xxxx xxxxxxxxxx provozování x xxxxxxxxxx xx xxxxxx xxxxxxx utajovaných xxxxxxxxx, x nimiž xxxxxxx, a xx xxxxxxxxxxxxx provozním módu,
b) xxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx certifikovaného xxxxxxxxxxxx xxxxxxx x xxxxxxxx dalších xxxxxxx xxxxxxxxxxxxxx funkcí nebo xxxxxxxx podle §34 xxxx. 7 xxxx. x) xxxxxx,
x) xxxxx xxxxxxx x xxxxxxxxx xxxxxxxx bezpečnosti xxxxxxxxxxxxx xxxxxxx nakládajícího x xxxxxxxxxxx xxxxxxxxxxx (dále xxx „komunikační xxxxxx“),
x) xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx (xxxx xxx „projekt xxxxxxxxxxx“) x xxxxxx x xxxxxxxx xxxx xxxxxxxxxxx xxxxx §35 xxxx. 6 xxxxxx,
x) xxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx systému xxxx moci xxxxxxxxxxxxx x utajovanými xxxxxxxxxxx x provozovaného xx xxxxx Xxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxx a xxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxx x xxxxxxxxx certifikace xxxxxxxxxxxx xxxxxxx,
x) způsob x xxxxxxxx provádění xxxxxxxxxxx nebo akreditace xxxxxxxxxxxx xxxxxxx, xxxxxx xxxxxxxxx a obsah xxxxxxxxxxxx zprávy xxxxx §46 xxxx. 13 x
x) xxxx xxxxxxxxxxx xxxxxxxxxxxx systému.
(2) Xxxx xxxxxxxx xxxx xxxxxxx xxxxxxxx xxxxxxxxxx provozování xxxxxxxx, xxxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx (dále xxx „xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx“), x xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §36 xxxx. 2 xxxx. x) zákona.
(3) Xxxx xxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxxxx x uzavření xxxxxxx x xxxxxxxxx činnosti xxxxx §52 xxxxxx, xxxxxx xxxxxxxxx je xxxxxxxxx dílčích xxxx xxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx.
§2
Xxxxxxxx xxxxx
Xxx xxxxx xxxx vyhlášky xx xxxxxx
x) objektem xxxxxxxxxxxx xxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx (dále xxx „xxxxxx“) pasivní xxxxx, xxxxx obsahuje nebo xxxxxxx xxxxxxxxx,
x) subjektem xxxxxxx xxxxxxx xxxxx, xxxxx xxxxxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxxx xxxxxxx xxxx xxxxx xxxxx systému,
c) xxxxxxx xxxxxxx xx xxxxxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxxxxx a xxxxxxxxxx xxxxxxxx, dokumentace x xxxxxxxxx, které xxxx x xxxxxxx uloženy,
d) xxxxxxxx záznamem záznam xxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxx xxxx xxxxx xxxxxxx xxxx x činnosti xxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxx systému xxxxxx xxxxxxx předložených xxxxxxxxxxxxxxx xxxxx poskytující xxxxxx, xx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxx xx xxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxxx proces xxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx x provádění xxxxxxxx xxxxxxx x určenými xxxxxxx systému,
g) xxxxxxxxxx xxxxxxxxxxx xxxxxx, xxxxxxxxxx x xxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxx cílem xx xxxxxxxx xxxxxxxxx, xxxxxxxxx a xxxxxxxxxx xxxxx systému, x xxxxxxxxxxx xxxxxxxx xxxxxxx xx jejich xxxxxxx x xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx opatření xxxxxxx x xxxxxxxxx xxxxxxxxxxx informací x xxxxxxx xxx přenosu xxxxxxxxxxxx xxxxxxx,
x) komunikačním xxxxxxx prostředí sloužící x xxxxxxx xxxxxxxxx xxxx xxxxxxx systému, xxxxxxxx subjekty xxxxxxx x xxxxx jednoho xxxx několika xxxxxxxxxxx xxxxxxx,
x) bezpečnostní xxxxxxxx xxxxxxx, xxxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxxx incidentem xxxxxxxx xxxxxxxxxx xxxxxxxxxxx,
x) uživatelem xxxxxxx osoba xxxx xxxxxxx xxxxxxx v xxxxxx xxxx,
x) rolí xxxxxx xxxxxxxx xxxxxxxx x potřebných xxxxxxxxx,
x) xxxxxxx xxxxxxxxx zařízení x energeticky xxxxxxxxxx xxxxxx, xxxxx xx xxxxxx výhradně xxx xxxxxxx x provozu xxxxxxx xxxx xxxx xxxxxxx, a které xxxx xxxxxx x xxxxxxxx xxxx doručení xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx x nelistinné xxxxxx xxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxx,
x) řízením přístupu xxxxxxxxxx xxx omezení xxxxxxxx subjektů xxxxxxx x objektům xxxxxxx, xxxxxxxxxxx, xx xxxxxxx x xxx získá xxx xxxxxxxxx xxxxxxx xxxxxxx,
x) volitelným xxxxxxx xxxxxxxx xxxxxx přístupu xxxxxxxx xx xxxxxxxx xxxxxxxxxxxx xxxx subjektu xxxxxxx x xxxxxxx xxxxxxx, přičemž xxxxxxx xxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx pro xxxxxxx x objektu xxxxxxx xxxx zvolit, xxxxx xxxxx subjekty xxxxxxx xxxxxxxxxx x xxxxxxxx x xxxxxx xxxxxxx systému, x xxxx xxx xxxxxxxxxx xxx xxxxxxxxx xxxx xxxxxxx xxxxxxx, a
q) xxxxxxxx řízením xxxxxxxx xxxxxx xxxxxxxx xxxxxxxx xx xxxxxxxxx xxxxxx xxxxxxx xxxxxxxxx informace xxxxxxxx x xxxxxxx xxxxxxx a úrovně xxxxxxxxx xxxxxxxx xxxxxxx xxx xxxxxxx k xxxxxxxxx informaci x xxxxxxxxxxx správný xxx xxxxxxxxx mezi xxxxxxx xxxxxxx x xxxxxxx xxxxxx xxxxxxx nezávisle xx volbě xxxxxxx xxxxxxxxxx.
XXXX XXXXX
XXXXXXXXXX XXXXXXXXXX
§3
Xxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx na xxxxxx, xxxx xxxxxx, xxxxxx x provoz x na xxxxxxx, xxxxxxxx x xxxxxx xxxxxxx, xxxxxxx xxxxx xx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx
x) xxxxxxxxxx x komunikační xxxxxxxxxxx,
x) xxxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxx xxxxxx xxxxxxxxxxx informací xxxxxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx bezpečnosti a
f) xxxxxxx bezpečnosti.
(2) Xxxxxxxxxxxx xxxxxxxxx naplňuje xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxxx x xxxxxxxxx bezpečnostní xxxxxxxxxxx, xxxxx xxxx xxx autorizována xxxxxxxxxx xxxxxx, xx xxxxxxxxx xxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxx.
(3) Xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxx, xxx xxxxxx, xxxxxx xx xxxxxxxxx informace v xxxxxxxxxxxx xxxxxx v xxxxxxx xxxxxxxxx, xxxx xxxxxxx xx xxxxxxxxxxx xxxxxx.
(4) Bezpečnostní opatření xxxxxxxxx xxxxxxxxxxxx systému xxxxxxxxxx zaváděním x xxxxxxxxxx xxxxxxxxxx technických xxxxxxxxxx xxxxxxx (xxxx xxx „bezpečnostní funkce“).
(5) Xxxxxxx soubor bezpečnostních xxxxxxxx xxxx xxx xxxxxxxxxxxxxx xxxxxxx xxxxx xxx, xxx xxxx xxxxxxxxx xxxxxxxxx jeho xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxxxxx, xxxxxxxxxxxxx, xxxxxxxxx x xxxx xxxxxxxxxx.
(6) Xxxxxxxxxxxx opatření xxxxxxx x zajištění xxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxxxxxxx xxxxxxx
x) xxxxxxxxxxxx xxxxxxxxx xxxxxxx x xxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx únikem xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxx pro xxxxxxx xxxxxxxxxxx informací xxxxxxx x xxxxxxx xxxxxxxx upravujícím xxxxxxxxxxxxxxx xxxxxxx a
d) výsledky xxxxxxx rizik xxxxx §38.
Xxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxx bezpečnosti
§4
(1) Xxxxxxxx musí xxx xxxxxxxxx bezpečnostní xxxxxx
x) xxxxxxxxxxxx a xxxxxxxxxxx xxxxxxxx xxxxxxx, xxxxx xxxx předcházet xxxx xxxx xxxxxx činnostem, x xxxx xxx xxxxxxxxx xxxxxxx důvěrnosti x integrity xxxxxxxxxxxx xxxxxxxxx, nestanoví-li analýza xxxxx a xxxxx xxxxxxxxxxx xxxxxxx xxxxx,
x) xxxxxxxxxxx xxxxxx xxxxxxxx x objektům xxxxxxx xx xxxxxxx rozlišování x správy xxxxxxxxxxxx xxxx xxxxxxxx systému x jeho xxxxxxxx xxxx xxxxxxxx ve xxxxxxx xxxxxxxx se xxxxxxx xxxxxxxxxx,
x) nepřetržitého xxxxxxxxxxxxx xxxxxxxx, které xxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxx xxxxxxx, xx xxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxx neautorizovaným xxxxxxxxx, xxxxxx xxxx xxxxxxxx; xxxxxxxxxxx xx xxxxxxx xxxxxxx xxxxxxxxxxxxxxx x xxxxxxxxxxxxxx informací, xxxxx o xxxxx xxxxxxxxxxxx xxxx, xxxxxxxxx xxxx xxxxxx xxxxxxx xxxxxxx xxxx činnost xxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxx bezpečnost xxxxxxxxx xxxx systému,
d) xxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx odpovědnosti xxxxxxx xxxxxxxx xxxxxxx,
x) xxxxxxxx xxxxxxxxxx objektů xxxx jejich xxxxxx xxxxxxxx nebo přidělením xxxxxx subjektu xxxxxxx, xxxxx xxxxxxxx zjistit xxxxxx předchozí xxxxx,
x) xxxxxxx důvěrnosti x xxxxxxxxx xxx během xxxxxxx xxxx xxxxxx xxxxxxx x xxxxx x
x) xxxxxxx před xxxxxxxxx xxxxx.
(2) Xxxxxxxxxxxx xxxxxx uvedené x xxxxxxxx 1 xx xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx. Xxxxxx popisu xxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxx v xxxxxx xxxxxxxxxxx xxxxxxx musí xxxxxxx xxxxxx xxxxxxxxx xxxxxxxxx a xxxxxxxxxx xxxxxx dostatečnosti.
(3) Xxxxxxxxxx, xxxxx xx realizují xxxxxxxxxxxx funkce xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, musí xxx v xxxxx xxxxxxxx xxxxx xxxxxxx xxxxxxxx před xxxxxxxxx xxxx xxxxxxxxxxxxxxxx xxxxxxx.
(4) Xxxxxxxxxxxx systému xxxx xxxxxxxx, aby xxx xxxxxxxxxxx xxxxxxxxxxxxx událostí x xxxxxx xxxxxxxxxxxxx xxxx nastaveno xxxxxxxx xxxxx x čas xx celou dobu xxxxxxx xxxxxxx.
(5) Xx xxxxxxx analýzy xxxxx xx x rozsáhlých xxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxx xxxxxxxx xxxxxxxxx nástroje pro xxxxxxxxxxxxx xxxxxxxx, které xxxxxxxx i nepřetržité xxxxxxxxxxxxx xxxxxxxx s xxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxxx xxxxxx xxxxxxxx xxxxxxxx určených xxxx. Xxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxx se xxxxxx systém xxxxxx xxxxxxx 200 uživatelů.
§5
(1) Xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx x zavedení xxxxxxxxx xxxxxxxxxxxxxx xxxxxx xxxxxxxxxx bezpečnosti podle §4 lze x xxxxxxxxxxxx xxxxxxxxx nahradit xxxxxxxx jiných xxxxxxxxxxxxxx xxxxxxxx personální, administrativní x fyzické bezpečnosti xxxxx použitím vhodných xxxxxxxxxxxxx bezpečnostních xxxxxxxx.
(2) Xxx nahrazení xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx funkcí xxxxxxxxxx bezpečnosti náhradním xxxxxxxxxxxxx xxxxxxxxx podle xxxxxxxx 1 xxxx xxx xxxxxxxx xxxx xxxxxxxxxxxx funkce x xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx opatřením.
(3) Nahrazení xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx x zavedení xxxxxxxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx opatřením xxxxx odstavce 1 xxxx být popsáno x xxxxxxxxxx v xxxxxxx xxxxx nebo xxxxxx bezpečnosti xxxxxxx.
Xxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx xxxxxx odvozené x xxxxxxxxxxxxxx xxxxxxxxxx módu
§6
(1) Xxxxxxxxxx systémy mohou xxx xxxxxxxxxxx pouze x xxxxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx, xxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxx mód xxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxx xxx s nejvyšší xxxxxx,
x) xxxxxxxxxxxx provozní xxx s nejvyšší xxxxxx x formálním xxxxxxx xxxxxxxx x xxxxxxxxxx, nebo
d) bezpečnostní xxxxxxxx xxx xxxxxxxxxxxx.
(2) Xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxx xx takové xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxx, xxxxxxx všechny xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxx xxxxxxxx pro xxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx stupně xxxxxxx, se kterými xx informační systém xxxxx xxxxxxxx, x xxxxxxx musí být xxxxxxxxx xxxxxxxx se xxxxx xxxxxxxxxx utajovanými xxxxxxxxxxx. V bezpečnostním xxxxxxxxx módu xxxxxxxxxxx xxxx xxxxxxxxx bezpečnostní xxxxxx xxxxx §4 xxxx. 1 xxxx. x) x x).
(3) Xxxxxxxxxxxx provozní mód x nejvyšší úrovní xx takové xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxx, xx kterém xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxx podmínky xxx xxxxxxx k xxxxxxxxxx informacím nejvyššího xxxxxx xxxxxxx, xxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxx být xxxxxxxxx pracovat xx xxxxx xxxxxxxxxx utajovanými xxxxxxxxxxx.
(4) Xxxxxxxxxxxx xxxxxxxx xxx x xxxxxxxx xxxxxx s formálním xxxxxxx xxxxxxxx k xxxxxxxxxx xx xxxxxx xxxxxxxxx, xxxxx odpovídá xxxxxxxxxxxxxx provoznímu módu x xxxxxxxx úrovní, xxx však formální xxxxxx přístupu xxxxx xxxxxxxxxxx formální xxxxxxxxx xxxxxx xxxxxxxx přístupu.
(5) Xxxxxxxxxxxx xxxxxxxx mód xxxxxxxxxxxx xx xxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx utajovaných xxxxxxxxx xxxxxxx xxxxxx xxxxxxx, kde všechny xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxx splňovat xxxxxxxx xxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x xxxxxx xxx oprávněny xxxxxxxx xx všemi xxxxxxxxxxx xxxxxxxxxxx. Xxx xxxxxxx x bezpečnostním provozním xxxx xxxxxxxxxxxxx xxxx xxx xxxxxxxxx xxxxxxxxxxxx xxxxxx povinného xxxxxx xxxxxxxx subjektu xxxxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxx.
§7
(1) Xxxxxxxxxxxx xxxxxx xxxxxxxxx xxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxx musí xxxxxxxxxx
x) xxxxxx xxxxxxx xxxxxxx xxxxxxxx a objektu xxxxxxxxxxxx systému x xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxx xxxxxxx xxxxxxxxxxxx xxxxxxx vyjadřují úrovně xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxx informačního systému x xxx xxxxxx xxxxxxxxxxxx xxxxxxx stupeň xxxxxxx utajované xxxxxxxxx, xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx nebo xxxxxxx,
x) ochranu xxxxxxxxx xxxxxxxxxxxxxx příznaku,
c) xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx správce x xxxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxx subjektů x xxxxxxx informačního xxxxxxx x
x) xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxx xxxxxxxxx objekty xxxxxxxxxxxx systému a xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxx xxxxxxxxxxx xxxxxxxxxxxx funkce xxxxxxxxx řízení přístupu xxxxxxxx informačního xxxxxxx x objektům xxxxxxxxxxxx xxxxxxx xxxx xxxxxxx xxxxxxxxxxxx xxxxxxx
x) xxxx xxxxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx xxxxx, je-li xxxx xxxxxxxxxxxx xxxxxxx xxxxxx xxxx vyšší než xxxxxxxxxxxx xxxxxxx objektu xxxxxxxxxxxx xxxxxxx, x
x) xxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxxxxx systému xxxxx xxxxx, xx-xx xxxx xxxxxxxxxxxx příznak xxxxxx xxxx nižší xxx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxxxxx systému.
(3) Xxxxxxx informačního xxxxxxx xxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxx x xxxxxxx informačního xxxxxxx, xxxxxxxx xxx povolují xxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxx, xxx xxxxxxxx volitelného xxxxxx xxxxxxxx.
(4) Při xxxxxxx xxxxxxxxxxxx systému x xxxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxxx musí xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxx stupněm xxxxxxx x utajované xxxxxxxxx vstupující xx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxx xxxxxxx.
(5) Při xxxxxxx informačního xxxxxxx x xxxxxxxxxxxxx provozním xxxx xxxxxxxxxxxxx, ve xxxxxx xx xxxxxxx x xxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx Xxxxxx xxxxx, xxxx xxx xxxxxxxxx, xxx nedochází x xxxxxxxxx výměně xxxxxxxxx mezi xxxxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx, který xxxx xxx komunikaci přímo xxxxx x xxx xxxxxxxxxxxx, x xxx xxxxxx xxxxxxx k xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
§8
Bezpečnostní xxxxxxxxx v xxxxxxx xxxxxxxxxxx xxxxxxxxxxx
(1) Xxx přenosu utajované xxxxxxxxx komunikačním xxxxxxx xxxx xxx zajištěna xxxxxxx xxxxxxxxxx a xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx prostřednictvím kryptografické xxxxxxx nebo xxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx, aby nebyla xxxxxxxx informační xxxxxxxxxx.
(2) X xxxxxxxxxxxxx xxxxxx, xxxxx jsou xxxxxx x rámci xxxxxxxxxxxxx xxxxxxx nebo objektů, xxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxxxxxxxx xxxxxxxx xx nižší xxxxxx, xxx xx xxx daný xxxxxx xxxxxxx přenášené xxxxxxxxx xxxxxxxxx xxxxxxxxxx, nebo xxx xxxxxxxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx vhodných xxxxxxxxxxxxxx xxxxxxxx fyzické bezpečnosti.
(3) X xxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxxx musí xxx zajištěna spolehlivá xxxxxxxxxxxx x autentizace xxxxxxxxxxxxxx xxxxxxxx xxxxxxx, xxxxxx xxxxxxx xxxxxxxxxxxxxxx x xxxxxxxxxxxxxx dat. Xxxx xxxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx informace.
(4) Xxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxx xxxx xxxxxxxxxxxx xxxxxx nebo xxxxxx xxxx xxx xxxxxxx pomocí kryptografického xxxxxxxxxx xxxxxxxxxxxxxxx alespoň xxx xxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx informace.
(5) Xxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxx narušení xxxxxxxxxxx xxxxxxxxxxxxx kanálu a xxxxxxxxxxxxxx opatření xxx xxxxxxxx následků bezpečnostní xxxxxxxx přijatých na xxxxxxx xxxxxxx xxxxx xxxx Xxxxxxx úřad xxx xxxxxxxxxxxxx x xxxxxxxxxx bezpečnost v xxxxx xxxxxxxxxxx informačního xxxxxxx nebo schvalování xxxxxxxx xxxxxxxxxxx schválit x odlišný způsob xxxxxxxxxxx, xxx xx xxxxxx v xxxxxxxxxx 2 x 4.
(6) Xxxxxx použité ochrany xxxxxxxxxxxxx xxxxxx xxxxx xxxxxxxx 1 musí xxxxxxxxx xxxxxx xxxxxxx xxxxxxxxxx xxx xxxxxxxx xxxxxx utajení xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxx.
Bezpečnostní xxxxxxxxx xx xxxxxxxx xxxxxxxxx informačních xxxx xxxxxxxxxxxxx systémů
§9
(1) Xxxxxxxxxxx xxxxx xxxx xxxxxxxxxxxx xxxx komunikačními xxxxxxx, xxxxx jsou xxxxxx x xxxxxxxxx x utajovanými xxxxxxxxxxx xxxxxxxx xxxx různých xxxxxx xxxxxxx, xxxxxxxx xx-xx xxxxxxx z xxxx xxxxx pouze x xxxxxxxxx x xxxxxxxxxxxxx informacemi, xxx xxxxxx xxxxx x xxxxxxx xxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xx stanoven xxxxxx xxxx xxxxxxx prostřednictvím xxxxxxxxxxxxxx xxxxxxxx xxxx xxxxx vhodným bezpečnostním xxxxxxxxx.
(2) Popis xxxxxxxxx x bezpečnostního rozhraní xx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx komunikačního xxxxxxx.
(3) Xxxxxxxxx informačních xxxx komunikačních systémů xxxxxxxx x xxxxxxxxx x utajovanou xxxxxxxxx xxxxxxxxx xxxxxx utajení xxxx být provedeno xxx, xxx xxxx xxxx bylo zabráněno xxxxxxx xxxxxxxxx informace xxxxxxx xxxxxx xxxxxxx, xxx xx xxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx, xxx xxxxx je xxxxxxxxxx xxxx komunikační xxxxxx xxxxx.
(4) Xxxx xxxxxxxxxxx informačními xxxx xxxxxxxxxxxxx xxxxxxx musí xxx komponenty xxxxxxxxxxxxxx xxxxxxxx xxxxxxxx v xxxxxxxxxxx oblasti xxxxxxx xxxxxx xxxxxxxxx, xxxxx xx xxxxxxxx stupeň xxxxxxx utajované xxxxxxxxx, xx xxxxxx xx xxxxx xxxxxxxx x xxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx.
(5) Xxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx komunikačního xxxxxxx, xxxxx xx xxxxx x xxxxxxxxx x vyšším xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx. Xxxx-xx xxxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx xxxxxx x xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx stupně xxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx komunikačního xxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxx xxxxxxxxxxx xxxxxxx.
§10
(1) Xxxxxxxxxx nebo xxxxxxxxxxx systém nesmí xxx propojen x xxxxxxxx xxxxxxxxxxx xxxx xxxxx právního předpisu xxxxxxxxxxxx elektronické xxxxxxxxxx, xxxxxx xx xxx xxxxx účel xxxxxxxxxxx xxxxxx xxxxxxxxxxxx rozhraní.
(2) Xxxxxxxxxxxx xxxxxxxx podle xxxxxxxx 1 xxxx xxxxxxx průniku xx xxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx x xxxx xxxxxxx xxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx, který xxxxxxxxxx xxxxxxxxx, xxxxxxxxx x xxxxxxxxxx xxxxxxxxx x služeb tohoto xxxxxx.
(3) Informační nebo xxxxxxxxxxx xxxxxx xxxxxx x nakládání x xxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx Xxxxxx tajné, xxxx s xxxxxxxxxx xxxxxxxxx vyžadující zvláštní xxxxx xxxxxxxxx xxxxxxxxx xxxxxx „ATOMAL“, „XXXX“, „XXXXXX“, „BOHEMIA“ xxxx „XXXXXX“, xxxxx xxx xxxxx xxx xxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxx.
(4) Pokud xx xxxxxxx xxxxxxxxxxx xxx využívána xxxxxxxx x přenosu xxxxxxxxx x xxxxxxxxx utajované xxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx certifikovaným xxxxxxxxxxxxxxx xxxxxxxxxxx, nepovažuje xx xxxxxx xxxxxxxxx za xxxxxxxxxxx xxxxxxxxxxx kanál.
§11
Bezpečnostní požadavky xx xxxxxx kapacit x xxxxxxxxxx
(1) Systém xxxx xxxxxxxx, xx xxxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxxxxx xx stanoveném xxxxx, v xxxxxxxxxx xxxxx x x xxxxxxx časovém rozmezí.
(2) X xxxxx zajištění xxxxxxxxxx provozu xxxxx xxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx, xxxxx xxx xxxxxxxx xxx omezení xxxxxxxxxx xxxx xxxxxxx, x xxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx x xxxxxxxxxx, xxx xxxxxxx selhání xxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxx.
(3) Xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxx aktiv xxxxxxx x sleduje xxxxxxxxx xxxxxxxxx tak, xxx xxxxxxxxxxx x xxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxx kapacit.
(4) Popis xxxxxxxxxxx systému xxxxxxxx xxxx na xxxxxxxx xxxxxxxx systému xx xxxxxxx. V případě xxxxxxx xxxx xxx xxxxxxxx xxxxxxx xx xxxxxxx xxxxxxxxxxxxx stavu xxxxxxxxx xxxxxxxxxxx, nebo xxxxxxxx xxxxxxxxx xxxxxxxx. Xxxxxxx xxxxxxxx, xxxxx xxxx provedeny pro xxxxxxxx xxxxxxxx, xxxx xxxxxxxxxxx xx xxxxxxxxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxx nebo xxxxxxxx. Xxxxx xxxxxxxx xxxxx xxxx xxxxx xxxxx zaznamenat do xxxxxxxxx xxxxxxx, xxxxxxxxxxx xx xx xxxxxxxxxx xxxxxx.
§12
Bezpečnostní xxxxxxxxx xx xxxxxxx xxxxxxxxxxxxxxx nebo xxxxxxxxx xxxxxxxx
(1) Xxx xxxxxxxxxxxxx xxxxxxxx se x xxxxxxx xxxxx xxxxxxxx i rizika, xxxxx xxxx xxxxxxx x xxxxxxxxxx, ve xxxxxx xx xxxxxxxxxxx xxxxxxx xxxxxx zařízení.
(2) Xxx xxxxxxx xxxxxxxx xx x analýze xxxxx xxxxxxxx i xxxxxx, xxxxx xxxx xxxxxxx x xxxxxxxx xx místo, xxx xxxx xxxxxxxx používáno.
(3) Xxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxx xxxxxxxxxx utajovaný xxxxx xxxxxxxxx se xxx xxxxx bezpečnostních xxxxxxxx xxxxxxxx xx xxxxx xxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. 2.
Bezpečnostní xxxxxxxxx xx xxxxxxxxxx nosičů xxxxxxxxx
§13
(1) Xx-xx xxxxx informací xxxxxxxxx, musí xxxx xxxxxx xxxxxxx odpovídat xxxxxxxxxx stupni utajení xxxxxxxxx xxxxxxxxx, xxxxxx xxx xx nosiči xxxxxxxxx xxxxxxxxx.
(2) Xx xxxxxx xxxxxxxxx xxxx xxx xxxxxxx xxxxxxxxx xxxxxxxx xxxxx §42 xxxx. 4 xxxx. x) a xxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx. Xxxxxxxxx xx xx nosič xxxxxxxxx xxxxxxxxx přímo, xxxxxx xxxxxx, xxxxxxx xxxx xxxxx vhodným xxxxxxxx.
(3) V analýze xxxxx xx xxxxxxxxxxxxx xxxxx informací podle xxxxxxx xxxx xxxxxxxx xx xxxxxxxx jako
a) xxxxxxxxxxx, pokud xxx xxx xx zařízení xxxxxxx x bez xxxxxxxx použití xxxxxxxx, xxxx xx xxxxx x xxxxxxxxxx xxxxxxxxx xxxxxxxx nebo x xxxxxxxxx xxxxxxxxxx xxxxx xxxxxxxx,
x) xxxxxxxxxxx, xxxxx xxx xxx xx xxxxxxxx vyjmout xxxxx x xxxxxxxx xxxxxxxx, xxxx xx xxxxx x xxxxxxxxxx xxxxxxxxx xxxxxxxx, xxxx
x) xxxxxxxxxx, xxxxx xxx xxx xx xxxxxxxx xxxxxxx xxxxx xxxxxxxx, xxx xxxx xxxxx k xxxxxxxxxx xxxxxxxxx xxxxxxxx.
(4) X xxxxxxxxx odůvodněných x xxxxxx xxxxxxxxxxx xxxxxxx xxx xxxxxxxx x označit xxxxxxx xxxxxxx xxxxx xxxxxxxxx xxxxxxxx v xxxxxxxx xxxxxxxxxx xx xxxxxx xxxxxxxx zařízení. Xxxxxxxx x xxxxxxxxxxxx nosičem xxxxxxxxx podle věty xxxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §22.
§14
(1) Xxxxxx utajení xxxxxx xxxxxxxxx xxxxxx xxxxxxx Přísně xxxxx, Xxxxx nebo xx xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx být zrušen.
(2) Xxxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxx xxxxxxx Xxxxxx xxxxx, Xxxxx xxxx se zvláštním xxxxxxx nakládání xxxx xxx xxxxxx, xxxxx xxxxx xx xxxxxxxxx, xx na xxx xxxx během xxxx xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxx utajované xxxxxxxxx xxxxxxx xxxxxx xxxxxxx nevyžadující xxxxxxxx xxxxx nakládání xxxx xxxxxxxxx xxxxxxxxxxx.
(3) Xxxxxx xxxxxxx nosiče informací xxxxxx xxxxxxx Xxxxxxx xxxx být snížen xxxx xxxxxx, pouze xxxxx
x) xxxxxxxx utajovaných xxxxxxxxx x xxx xxxx xxxxxxxxx způsobem xxxxxxxx v §15 xxxx. 1,
b) xx xxxxxxxxx, xx na xxx xxxx xxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx pouze xxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx, xxxx
x) xx prokázáno, xx xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx uložených na xxx během xxxx xxxxxxxxxxx xxxxxxxxx xxxxx xxx xxxxxx xxxx xxxxxx.
(4) Xxxxxx xxxxxxx xxxxxx xxxxxxxxx stupně xxxxxxx Vyhrazené může xxx xxxxxx, xxxxx xxxxx
x) vymazání xxxxxxxxxxx xxxxxxxxx x xxx xxxx provedeno xxxxxxxx xxxxxxxx x §15 xxxx. 1,
x) xx xxxxxxxxx, xx xx xxx xxxx během xxxx dosavadního životního xxxxx xxxxxxx xxxxx xxxxxxxxx xxxxxxxxxxx, xxxx
x) xx xxxxxxxxx, že xxxxxx utajení xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxx xxxxx jeho xxxxxxxxxxx xxxxxxxxx cyklu xxx zrušen.
(5) Xxxxxx xxxxxxx xxxxxx informací xxxxxxxxxxxx xxxxxx xxxxxxxxx xx xxxxxx xxxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxxxx informací, xx xxxxxxx může xxxxxx xxxxxxxx.
§15
(1) Vymazání xxxxxxxxx xxxxxxxxx x nosiče xxxxxxxxx, xxxxx umožňuje xxxxxxx xxxx zrušení xxxx xxxxxx utajení, xxxx xxx xxxxxxxxx xxx, xxx xxxxxxxxxx x xxxxxx xxxxxxxxx xxxxxxxx získat, xxx xxxxxxxxxxxxx metodami, utajovanou xxxxxxxxx xx něm xxxxxxxxx xxxxx jeho xxxxxxxxxxx životního xxxxx.
(2) Xxxxxx xxxxx xxxxxxxx 1 musí xxx xxxxxx v xxxxxx xxxxxxxxxxx xxxxxxx.
(3) Ničení xxxxxx xxxxxxxxx musí xxx provedeno v xxxxxxx x xxxxxxx xxxxxx xxxxxx informací xxxx xxx xxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx bezpečnost xxx, xxx xxxxxxxxxx x xxxx xxxxxxxx xxxxxx, xxx laboratorními xxxxxxxx, xxxxxxxxxx informaci na xxx xxxxxxxxx xxxxx xxxx dosavadního xxxxxxxxx xxxxx.
(4) Xxxxx xxxxxxxxxxx xxxxxxx xxxxxxx řízení xxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx informací x ke xxxxxxx xxxxxxxxx xxxxxx, xxxx xxxxx xxxx xxxx xxxxxx informací x xxxxxxxx xxxxxxxxxxx.
(5) Xxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxx xxxxxx xxxxxxxx xxxxxxx a postupy xxxxxxxxxxxx zjistit jejich xxxxxxxxx xxxxx.
Bezpečnostní xxxxxxxxx xx xxxxxxx uživatele x xxxxxxxxx xxxxxxxxx v xxxxxxx
§16
(1) Uživatel xxxx xxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx x popisu xxxxxxxxxxx systému.
(2) Xxxxxxxx xxxx xxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxx xxxxx x xxxxxxxxx xxxxxxxxx stupně utajení, xxxxx xx stanovuje x závislosti xx xxxxxxxxx xxxxxx utajení xxxxxxxxxxx informací, xx xxxxxxx xxxx xxxxxx xxxxxxxx. Xxxxxxxx x xxxxxxxxxxx xxxxxxx xxxx xxxx xxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxx xxxxx k xxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx, xxxxx xx xxxxxxxxx x xxxxxxx x xxxxxxxxxxxxx provozním xxxxx xxxxxxxxxxxx xxxxxxx.
(3) Privilegovaným xxxxxxxxxx xx xxxxxx xxxx uživatele s xxxxxxxxxxx, která xx xxxxx xxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx xxxx bezpečnostní xxxxxx, zejména xxxx xxxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxxx xxxxxx.
(4) Xxxxxxxx xxxxxxxxxx xx xxxxxx xxxx xxxxxxxxx x xxxxxxxxxxx, xxxxx xx xxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxxxxxx xxxxxxx x nakládání x xxxxxxxxxxx informacemi.
(5) Xxxxxxxxxxxxx xxxxxxxx xxxx xxxxxxx, xxxxx xxxx xxxxxxxxxxxx xxxx xxxxxxxx xxxxxxx, xxxxxxxx xxxx xxxxxxx xxxxxxxx.
§17
(1) Xxxxxxxx v xxxx xxxx xx xxxx xxxxxxxxx x xxxxxxxxx v xxxxxxx xxxxx x xxxxxxx xxxxxxxxx xxx jejich xxxxxxxxx.
(2) Xxxxxxxx systému, xxxxx xx xxxxx x xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx stupně xxxxxxx Xxxxxxxxx, Xxxxxxx xxxx Xxxxx, x xxxx
x) xxxxxxxxxx xxxxxxxx xxxxxx x oprávněním xxxxxxxxxxxxxx x x xxxxxxxxxx xxxxxxx xxxxxx, xxxx
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxxx xxxxxxx xxxx xxxxxxxx podmínky xxx xxxxxxx fyzické xxxxx x xxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx x jeden stupeň xxxxx, xxxxx xx xxxxxxxx stupeň xxxxxxx xxxxxxxxxxx xxxxxxxxx, se xxxxxxx xxxx xxxxxx xxxxxxxx.
(3) Xxxxxxxx systému, xxxxx xx xxxxx x nakládání x xxxxxxxxxxx xxxxxxxxxxx stupně xxxxxxx Xxxxxx xxxxx, x xxxx
x) xxxxxxxxxx xxxxxxxx xxxxxx s xxxxxxxxxx xxxxxxxxxxxxxx x x oprávněním xxxxxxx xxxxxx, xxxx
x) pracovníka xxxxxxxxxxxx xxxxxx xxxxxx xxxxxxx musí xxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxx xxxxx k xxxxxxxxx informaci stupně xxxxxxx Xxxxxx xxxxx.
(4) Xxxxxxx xxxxxxxxx podle xxxxxxxx 2 xx xxxxxxxxxx u systému
a) xxxxxx xxxxxxx, xxxxxx xx xxxxxx xxxxxx xxxxxx xxxxxxx 30 xxxxxxxxx, xxxx
x) zpracovávajícího xxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx, xxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxx xxxx xxxx Xxxxxxxxxx Xxxxxxxxxxxxxxxx xxxxxxx x xx xxxxxxxx xxxxxxxxxxxxxxxx xxxxx xx x analýze rizik xxxx popisu xxxxxxxxxxx xxxxxxx xxxxxxx jako xxxxxxxxxxx xxxxxxx podmínek xxx přístup fyzické xxxxx x xxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx utajení xxxxxxxxxxx xxxxxxxxx, se kterými xxxx systém xxxxxxxx.
(5) Xxxxxxxx v xxxx
x) xxxxxxxxxx provozní správy xxxxxxx s xxxxxxxxxx xxxxxxxxxxxxxx x x xxxxxxxx oprávněním xxxxxx xxxxxxx, zejména xxxxxx xxxxxxx, xxxxxx aplikace xxxx xxxxxxx xxxxxx, xxxx
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxx xxxxx xxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx bezpečnostní xxxxxxxxxxx nebo lokální xxxxxx, xxxx xxxxxxxx xxxxxxxx xxx přístup xxxxxxx osoby x xxxxxxxxx xxxxxxxxx stupně xxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx utajení xxxxxxxxxxx xxxxxxxxx, se xxxxxxx může xxxxxx xxxxxxxx.
(6) Xxxx uživatele xxxxxxx xx xx xxxxxxx autorizace xxxxxxxx xxxxxxxxx identifikátor. Xxxx x xxxxxxxxxx xxxxxxxxxxxxxxx xxxxx věty první xxxx xxxxxxxx xxxxxxx xxxxxxxxx, xx-xx to xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx dostupnosti xxxxxxx xxxx správy xxxxxxx x je-li zaveden xxxxxx xxxxxxxxxx xxxxx, xxxxx xxxxxxxx x xxxx době xxxx xxxx využívá; xx xxxx xxx popsáno x xxxxxxxxxx x xxxxxx bezpečnosti xxxxxxx.
§18
Xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxx a provozní xxxxxx
(1) Popis bezpečnosti xxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxx. X xxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxx zavede xxxxxxxxxxxx xxxxxxx roli bezpečnostního xxxxxxx odděleně od xxxxxx xxxx xxxxxx, xxxxx není dále xxxxxxxxx jinak. X xxxxx struktury xxxxxxxx xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx roli xxxxxxxxxx xxxxxxx.
(2) Xxxxxxxxxxxx xxxxxxx xx uživatel x xxxx xxxxxxxxxx xxxxxx x xxxxxxxxxxx, xxxxx xx xxxxx xxxxxxxxxx xxxxxxxx k xxxxxxxxxxxx xxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx k xxxxxxxxx bezpečnosti xxxxxxx.
(3) Xxxxxxxx správce xx xxxxxxxx x xxxx xxxxxxxxxx xxxxxx s xxxxxxxxxxx, xxxxx xx xxxxx xxxxxxxxxx xxxxxxxx x poskytovaným službám xxxxxxxx i xxxxxxxxx xxxxxxxx x zajištění xxxxxxxxxx funkčnosti xxxxxxx x xxxxxx xxxx xxxxxxx.
(4) V xxxxxxx xxxxxxx zajistit xxxxxxxxx xxxxxx xxxxxxxx x xxxxxxxxx bezpečnosti xxxx xxxxxxxxxxxxxxxxx systému zavede xxxxxxxxxxxx xxxxxxx organizační xxxxxxxxx bezpečnostních xxxx xxxxxxxxxx xxxxxxx xxxx xxxxx xxxx v xxxxxxxxxxxx xxxx provozní xxxxxx.
(5) Výkon bezpečnostní xxxxxx xxxxxxx x
x) xxxxxxxxxxx xxxxxxxxxxxx práv,
b) xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx systému,
d) xxxxxx x xxxxxxxxxxxxx xxxxxxxxx xxxxxxx,
x) aktualizaci bezpečnostní xxxxxxxxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxx,
x) xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxx x vypracování xxxxx x xxxx,
x) xxxxxxxxx xxxxxxx uživatelů x oblasti xxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx.
(6) Xxxxx xxxxxxxx xxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx x zajištění xxxxxxxxxxxxxxxxx xxxxxxx x x xxxxxxx činnostech xxxxxxxxxxx x bezpečnostní xxxxxxxxxxx.
(7) X xxxxxxxxxxxx xxxxxxxxx xxx x xxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx role bezpečnostní x provozní správy.
§19
Xxxxxxxxxxxx požadavky xxxxxxxxxx xxxxxxxxxxx xxx xxxxxxx xxxxxxx
(1) Uživatel xxxx xxxxxxxxx xxxxx xxxxxxx xxxx, xxxxxx xxx xxxxxxx.
(2) Pověření podle xxxxxxxx 1 xxxx xxxxxxxx xxxxx odpovědná xxxxx provozovatele systému xxxx jí xxxxxxxx xxxxx xxxxxxxx xxxxxxxxxx x xxxxxx xxxxxxxxxxx xxxxxxx.
(3) Odpovědná xxxxx xxxx xx pověřená xxxxx zruší xxxxxxxxx xxxxxxxx
x) x xxxxxxx xxxxx xxxx xxxx,
x) x případě ukončení xxxxxxxxxxxxxxxx xxxx obdobného xxxxxx x xxxxxxxxxxxxxx xxxxxxx, xxxx
x) xxxxx xxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx k utajované xxxxxxxxx xxxxx xxxxxx.
(4) Xxxxxxxx může xxxxxxxxx xxxxxxx roli, pouze xxxxx xxx xxxxxxxxx xx správném xxxxxxx xxxxxxx x x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Xxxxxxx xx xxxxxxxx xxxx xxx podstatných xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxx xxxxxxx, xxxxx nejméně xxxxxx xxxxx.
(5) Přehled xxxxxxxxxxx xxxxxxx, jejich xxxxx x seznam xxxxxxxxx, xxxxx xxxxxxx xxxxxxxxxxx, xxxxxx záznamů o xxxxxxxxxxxxx xxxxxxxxxxx xxxxxxx, xx xxxxxxxx provozní xxxxxxxxxxxx dokumentace. Přehled xxxxx xxxx xxxxx xxxx xxx xxxxx x xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx. Xxxxxx xxxxxx přehledu xxxxx xxxx druhé stanoví xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
§20
Xxxxxxxxxxxx požadavky na xxxxxxx xxxxxxxx xxxxxxx
(1) Xxxxxxx subjektu xxxxxxx xxx xxxxxxxx xxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxxxx směrnici.
(2) Xxxxxxxxx o činnosti xxxxxxxx xxxxxxx xx x xxxxxxxx xxxxxxx xxxxxxxxxxx xxx, xxx xxxx možno xxxxxxxxxxxxx xxxxxxxx bezpečnosti xxxxxxx xxxx xxxxxx x xx.
Xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxx xxxxxxxxxx
§21
(1) Xxxxxx xxxxxxx xxxx být xxxxxxxx před bezpečnostními xxxxxxxx x xxxxxx xxxxxxxxxxxxx z xxxxxxxxx, xx xxxxxx xxxx xxxxxxxx.
(2) Aktiva xxxxxxx xxxx xxx umístěna xx xxxxxxxx, xx xxxxxx xx xxxxxxxxx xxxxxxx xxxxxxx před xxxxxxxxxxxx přístupem x xxxxxxxxxx a xxxxxxxxxx xxxxx xxxxxxx. Xx xxxxxxx xxxxxxx xxxxx xx xxxxxxxxx, která xxxxxx systému xxxx xxx xxxxxxxx x xxxxxxxxxxx xxxxxxx xxxx xxxxxxx x požadovaná xxxxxxxxx xxxxxxxxxxx oblasti xxxx xxxxxxx.
(3) Xxxxxx xxxxxxxx aktiv xxxxxxx xxxxxxx popis bezpečnosti xxxxxxx.
(4) Umístění xxxxx xxxxxxx musí xxx xxxxxxxxx tak, xxx xxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxx x xxxxxxxxxxxx x autentizaci xxxxxxxxx.
§22
(1) Xxxxxxxx možná xxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxx xxxxxxxx xxxxxxxx, v němž xxxxx xxx xxxxxxxx xxxxxxxxx informace, xx xxxxxx x souladu x xxxxxxxxx bodových xxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx fyzickou xxxxxxxxxx.
(2) Bodové ohodnocení xxxxxxx bezpečnosti zařízení, x němž xxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx, xx xxxxxxx xx xxxxxxx xxxxxxxxx xxxxxxxxxx
x) informací xxxxxxxxx x xxxxxxxx a
b) xxxxxxxxxxxxxx xxxxx uložených x autentizačních xxxxxxxxxx.
(3) Xxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx podle odstavce 2 xx uvedeno x příloze č. 1 x xxxx xxxxxxxx.
(4) Xxxxxxxx, x xxxxx mohou xxx ukládány utajované xxxxxxxxx x jejich xxxxxxxxxx xxxxxxxxxx, jsou xxxxxxxx x opatřeny xxxxxxxxxx prvky xxxxxxxx xxxxxxxx v popisu xxxxxxxxxxx systému.
(5) Xxxxxxxx xxxxx xx umísťuje xxx, aby xxx xxxxxx x rozebrání xxxxxxxx, x němž xxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxx xxxx hardwarové xxxxxxxxxx, xxxxx x xxxx xxxxxxxxx.
(6) Popis bezpečnosti xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxx podle xxxxxxxx 2 x xxxx xxxxxxxx x xxxxxxxxx bezpečnosti xxx
x) xxxxx umístění xxxxxxxx x jeho xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxx x xxxx hardwarových xxxxxxxxx,
x) provozování xxxxxxxx xxxx xxxx hardwarových xxxxxxxxx xxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxx x
x) xxxxxxxx xxxxxxxxx xxxx xxxxxxxxxx použití zařízení xxxx xxxx hardwarových xxxxxxxxx.
§23
Xxxxxxxxxxxx xxxxxxxxx na xxxxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxx
(1) Xxxxxxxxxx xxxxxxxxx xxx xxxxxxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxx xxxxxxxxxxx xxxxx adresáta, xxxxx xxxxx jsou xx xx xxxxxxxxx
x) xxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxxxx podle právního xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx odesílatele x
x) datum xxxxxx.
(2) Xxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxx místu xxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxx bez xxxxxxxxxx xxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxx systému xxxxxxx xxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxx nebo v xxxxxxxx protokolu x xxxxxxxx xxxx xxxxxxxxxxxx xxxxxx. Xxxxxxxxxx právního xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxx se xxxxxxx xxxxxxx.
(3) X xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxx, xx pověřená xxxxx xxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx, xxx xx postupy xxxxx odstavců 1 x 2 xxxxxxxxx. Xxxxxxxx xxx xxxxxxxxxxx xxxxxxx podle xxxx xxxxx stanoví xxxxx xxxxxxxxxxx systému.
§24
Xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx xxxxxx s xxxxxxxxxxx službou
(1) Xxxxxxxxxx xxxxxx xxxxxx x xxxxxxxxxx utajovaných xxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx musí xxx
x) xxxxxx xxx každé xxxxxxxxx místo v xxxxx tohoto xxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxxx, xxxxxx xx xxxxxx xxxxxxxxxxxx xxxxx xxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx, x
x) xxxxx xxxxxx xxxxxxxxxxxx xxxxx xxxxx evidenčních xxxx x rámci tohoto xxxxxxxxxxxx systému xxxxxxxx xxxx uživatelům xxxxxxxxxxxx xxxxxxx, xxxxx jej xxxxxxxx xxxxxxxxx x xxxxxx xxx xxxxxx, xxxxxxxx xxxx xxxx xxxxxxxx.
(2) Způsob a xxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx podle xxxxxxxx 1 xxxx xxx xxxxxxxxx x xxxxxx xxxxxxxxxxx informačního systému.
§25
Xxxxxxxxxxxx požadavky xx xxxxxxxxx x xxxxxxxxxxx
(1) Xxxxxx xxxxxxxxxxxxxx xxxxxxxx x bezpečnostní dokumentací xxxxxxx xxxxxxxxxxxx systému xxxxxxxxxx. K xxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx xxxxxxxxx informace.
(2) Xxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxx, vnitřními xxxxxxxx a xxxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxx, x xxxxxxxxxxxx xxxxxxx nejpozději xxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxx §48.
(3) Xxxxxxxx xxxxxxxxx xxxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 2 a xxxxxx xxxxxxxx xxxx xxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxx xxxxxx.
§26
Xxxxxxxxxxxx xxxxxxxxx na xxxxxxxxxx xxxxxx a xxxxxxxxx
(1) Ve xxxxxxxxx xxxxxxxxx xxxxxxx xxxx xxx xxxxxxxxx xxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx před jejich xxxxxxxxx xx xxxxxxx.
(2) Xxxxxx instalace xxxxx xxxxxxx xxxx provozovatel xxxxxxx xxxxxxxxxxx xxx, xxx xxxxxx ohrožena xxxxxxxxxx bezpečnost x xxxxxxxx xxxxxxxxxxxx funkce.
(3) X popisu xxxxxxxxxxx xxxxxxx xxxx být xxxxxxxxx xxxxxxxx nebo xxxxxxxxxx, které xxxxxxxxx xxxxxxxxxxxx xxxxxx xxxx xxxx xxxxxxxxxx xx xxxx xxxxxxxxx.
(4) Zařízení xxxx komponenty xxxxx xxxxxxxx 3 xxxx xxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxx xxxxx x xxxxxxxxx informaci xxxxxxxxxx stupně xxxxxxx xxxxxxxxx informace, x xxx xx systém xxxxx xxxxxxxx. Xxxxxxx xxxxxxxx xxxx xxxxxxxxxx xxxxx být xxxxxxxxxxx x osobami nesplňujícími xxxxxxxx xxx xxxxxxx x utajované informaci xxxxx xxxx xxxxx, xxxxx jsou xxxx xxxxx xxx neustálým xxxxxxx dohledem příslušného xxxxxxxxxx xxxxxx x xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxxx, xx xxxxxxxxx xxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxx.
Bezpečnostní xxxxxxxxx xx xxxxxxxxxx xxxxxxx
§27
(1) Xxx xxxxxxxx xxxxxx xxxxxxx xxxx x xxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxx
x) xxxxx a xxxxxxxxxx xxxxxxxxx v xxxxxxxxxxxx xxxxxx x
x) provozní xxxxxxxx x postupy
1. xxx xxxxxxx xxxxxxx xx xxxxxxx, xxxxxxxx xxxxxxx a obnovení xxxxxxx xx xxxxxxx, xxxxx xxxx xxxxxxxxx xxxxxxxx,
2. xxx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx xxxxxxx a xxx xxxxxxx xxxxxxxx x xxxxx auditním záznamům,
3. xxx xxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
4. xxxxxx x schvalování xxxxxxxxxx xxxx.
(2) Xxxxx xxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxx x vyhodnocování bezpečnosti xxxxxxx.
(3) Provozovatel xxxxxxx xx xxxxxxx xxxxx xxxxxxx změny x xxxxx provozu systému. X xxxxxx xxxxxxxxxxx xxxxxxx xxxx xxx xxxxxxx xxxxxxx x xxxxxxxxxx, které příslušné xxxxx xxxxxxxx.
§28
(1) Xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x informací xxxx xxx chráněna xxxx xxxxxxxxx xxxxxxxxxx xxxx.
(2) Xxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxx xxxx xxx uvedeno x xxxxxxxx xxxxx x xxx být xxxxxxxxx pouze v xxxxxxx x podmínkami x xxxxxxxxx popisu xxxxxxxxxxx xxxxxxx a xxxxxxxx xxxxxxxxxxxx xxxxxxxx.
(3) Xxxxxxx xxxxx x xxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx na xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx a uložených xxxxxxxxx. Xxxxxx xxxx xxx uložena tak, xxx nemohlo dojít x xxxxxx xxxxxxxxx, xxxxxxx xxxx xxxxxxxx.
(4) Xxxxx bezpečnosti systému xxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxx před xxxx vyřazením z xxxxxxxxx, xxxxxxxx xxxx xxxx xxxxxxxx.
§29
(1) Xxxxxxxx xxxxxxx xxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxx xxx, xxx xxxxxx xxxxxxxx bezpečnost x xxxxxxx k xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx informací.
(2) X xxxxxxxxx, kdy xxxxx xxxxxxx xxxxxxxxxxxxx seznámení x utajovanou xxxxxxxxx, xxxx být x xxxxxx informací přístupných xxx xxxxxxxx xxxxxxxx xxxxxxxx vymazány xxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxxx musí xxx xxxxxxxxxxx xxxx xxxxxxxxx.
(3) Xxxxxx xxxxxxxx xxxx xxxxxxxxx zajišťujících xxxxxxxxxxxx xxxxxx musí zajišťovat xxxxx splňující podmínky xxx xxxxxxx xxxxxxx xxxxx k utajované xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx, s níž xx xxxxxx určen xxxxxxxx. Xxxxxx xxxxxxxxx xxxxxxxx nebo xxxxxxxxx xxxx xxx prováděna x xxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx x xxxxxxxxx xxxxxxxxx xxxxx xxxx xxxxx, xxxxx jsou xxxx xxxxx xxx xxxxxxxxx xxxxxxx xxxxxxxx příslušného xxxxxxxxxx xxxxxx x xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxxx, jí pověřenou xxxxxx xxxx bezpečnostním xxxxxxxxx.
§30
(1) X xxxxx xxxxxxx systému xxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxx x termínech xxxxxxxxxxx x popisu bezpečnosti xxxxxxx a při xxxxxx xxxxxxx xxxxxxx xxx zbytečného xxxxxxx.
(2) Xxxxxxx záznamy musí xxx xxxxxxxx xxxx xxxxxx xxxx xxxxxxxx x xxxxxxxxxx xx xxxx xxxxxxxxxx v xxxxxx xxxxxxxxxxx xxxxxxx, xxxxxxx xxxx xx xxxx 5 let xx vzniku.
(3) V xxxxxx bezpečnosti systému xxxx být xxxxxxx xxxxxxxx klasifikace krizových xxxxxxx x pro xxxxxx x xxxx xxxx být specifikována xxxxxxx
x) následující bezprostředně xx vzniku xxxxxxx xxxxxxx zaměřená xx xxxxxxxxxxxx xxxx x xxxxxxxxx informací xxxxxxxxxx xxx zjištění příčin x xxxxxxxxxx vzniku xxxxxxx situace x
x) xxxxxxxx xx xxxxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxxx osobní xxxxxxxxxxxx xx jednotlivé xxxxx.
(4) Xxx xxxxxx xxxxxxxxx situací musí xxx v xxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx zaměřená xx xxxxxxx xxxxxxx xx xxxxx xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(5) Při xxxxxxxx bezpečnostních událostí x bezpečnostních xxxxxxxxx xxxx xxx
x) přijata xxxxxxxx bezpečnostní opatření xxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx událostí xx xxxxxx xxxxxxxxx x xxxxxxxxx xxxxxx xxxxxxx x těchto oznámeních,
b) xxxxxxxxx prostředí xxx xxxxxxxxx xxxxxxxxxxxxx oznámených xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxx xxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) provedena xxxxxxxxxxx bezpečnostních xxxxxxxxx x přijata xxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxx a xxxxxxxx xxxxxx bezpečnostních xxxxxxxxx,
x) xxxxxxxxxx a určeny xxxxxxx xxxxxxxxxxxxxx incidentu, xxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx a xx xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx bezpečnostní xxxxxxxx k zamezení xxxxxxxxx daného xxxxxxxxxxxxxx xxxxxxxxx x
x) xxxxxxxxxxxxx xxxxxxxx bezpečnostních incidentů.
(6) Xxx případ havárie xxxxxxxxxxxx nebo hardwarového xxxxxxxx xxxxxxx xxxx xxx xxxxxx x xxxxxx bezpečnosti xxxxxxx xxxxxx
x) xxxxxxxxxx a xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxxxxx xxxxxxxx,
x) xxxxxxxxx nouzového xxxxxxx s vyjmenováním xxxxxxxxxx funkcí xxxxxxx, xxxxx xxxx xxx xxxxxxxxx, x
x) xxxxxx xxxxxxxxxx xxxxxxx x xxxxxxx do xxxxxxxxxx xxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx.
§31
Xxxxx xx xx xxxxxxx, xxxxxxx xxxx xxxxxxxxx xxxxxxxxxx bezpečnosti xxxxxx xxxxxxxxx, xxxxxxx xxxxx xxxxxxx
x) xxxxxx xxxxxxxxx rizik dodavatele,
b) xxxxxxxxxxx xxxxxxx x xxxxxxxxxxx, xxxxxxx xxxx xxxxxxx xxxxxxxx x xxxxxx xxxxxxxxxx xxxxxx, x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x x xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx, x
x) pravidla xxx ověření xxxxxxxxxxxxxx xxxxxxxx zavedených xxxxxxxxxxx.
§32
Xxxxx xxxxxxxxxxx xxxxxxx xxxxxxx bezpečnostní opatření xxxxxxxx xx xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx xx ukončení provozu xxxxxxx, xxxxxxx xxxxxx xxxxxxxx x xxxxxx xxxxxxxxx x uložení xxxxxxxxxxxxxxxx xxxxxxxxxx, xxxx-xx xxxxxxx.
§33
Xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx xxxxxxxx
(1) Xxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxxxxx funkce xxx xxxxxxxxx xxxxxxx utajovaných xxxxxxxxx xxxxxxxxxxxxxx použitým xxxxxxxxxxx vybavením.
(2) Je-li x xxxxx xxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx, xxxx splňovat xxxxxx xxxxxxxxxxxx xxxxxxxxx jako xxxxxxx xxxxxxxxxxx xx xxxx xxxxxxxxx.
§34
Xxxxxxxx bezpečnostní xxxxxxxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxxxxxxx-xx xx činnost, xxx xxxxxx je xxxxxxxxxx xxxxxx xxxxxx, je x xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxxx provozovatelem informačního xxxxxxx stanovených xxxxxxx xx událostí, kterou xx xxxxxx xxxxxxxxx xxxx, xx lze xxxxxxxx xxxxxxx přičíst xxx provedené předání xxxxxxxxx xxxx xxxxxxxxx xxxxx stavu systému.
(2) Xx-xx xxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxx služby xxxxxxxx x evidenci xxxxxxxxxxx xxxxxxxxx, xxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx vybavení, xxxxxx xx realizován, xxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
§35
Bezpečnostní xxxxxxxxx při xxxx xxxxxxxxxxxxxxxx hrozbách x xxxxxxx xxxxx
(1) Xxxxxxxx xxxxxxx rizik x xxxxxx bezpečnosti xxxxxxxxxxxx systému je x xxxxxxxxxx Xxxxxxxxx xxxxx pro xxxxxxxxxxxxx x informační xxxxxxxxxx x stanovení xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxxx xxxxx §34 odst. 4 xxxxxx, xxxx-xx xxxxxx.
(2) Xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxxxx informačního xxxxxxx x xxxxxxxx xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxxx podle §34 xxxx. 4 xxxxxx xxxx
x) xxxxxxxxxxxxx xxxxx xxxxxxxxxxxxx certifikovaného xxxxxxxxxxxx systému,
b) jednoznačný xxxxxxxxxxxxx rozhodnutí xxxxx §34 xxxx. 4 xxxxxx x
x) xxxxxxxxxxx x xxxxxxxx bezpečnostní xxxxxx xxxx xxxxxxxx, xxxxxxx xxxx
1. xxxxx x čas zavedení,
2. xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxx nebo xxxxxxxx x
3. xxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxx xxx zavádění bezpečnostní xxxxxx xxxx opatření.
XXXX TŘETÍ
OBSAH XXXXXXXXXXX
§36
(1) Xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxx
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(2) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx obsahuje
a) xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxx x
x) xxxxxxxxxxx x xxxxxxxxxxxxx xxxxxx.
(3) Xxxxxxxx bezpečnostní xxxxxxxxxxx xxxxxxxx
x) provozní xxxxxxxxxxxx xxxxxxxx xxx každou xxxxxxxxx xxxx,
x) xxxxxxxx xxxxx xxxxxxx, xxxxxxx xxxxxx informací,
c) xxxxxxxx xxxxxxxxx,
x) xxxxxxxx xxxxxx x
x) další provozní xxxxxxxxxxxx xxxxxxxxxxx definovanou x xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
§37
Bezpečnostní politika
(1) Xxxxxxxxxxxx xxxxxxxx
x) je xxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx x postupů, xxxxx xxxxxxxx xxxxxx, jakým xx být xxxxxxxxx xxxxxxxxxx xxxxxxxxxx a xxxxxxxxxxx xxxxxxxxx xx xxxx xxxxxxx x xxxxxxx, který xx xxxxxxxxxxxxx xxxx bezpečnostní xxxxxxxx x xxxxxx xxxxxxxxxxx xxxxxxx,
x) obsahuje xxxxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx z xxxxxxx xxxxxxx utajovaných xxxxxxxxx a
c) xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxxxx xxxxxxxxx, xx-xx xx nutné.
(2) X xxxxxxxxxxxx xxxxxxx xxxx xxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxx, xxxxxxxxxxxxx x aktualizována, xxxxxxxxxx xxxx xxxxxxxxxxxxx xxxx xxxxxxx opakované xxxxxxx o xxxxxxxxxxx xxxxx §48.
§38
Xxxxxxx rizik
(1) Xxx xxxxx xxxxxxx xxxxx xx xxxxxx
x) xxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) zranitelností slabé xxxxx xxxxxx xxxxxxx, xxxxx xxxx být xxxxxxx xxxxxxx,
x) rizikem xxxxxxxxx pravděpodobnosti xxxxxxxx x xxxxxx následku xxxx souhrnu xxxxxxxx, xx xxxxxx využije xxxxxxxxxxxx x xxxxxxx xxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x xxxxxxxxxxxx xxxxxxxx a u xxxxxxxxxxxx systému i xx stanoveného xxxxxxxxxxxxxx xxxxxxxxxx xxxx.
(3) Xxxxxxx xxxxx xxxxxxxx
x) xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx xxx identifikaci a xxxxxxxxx xxxxx systému x xxx xxxxxxxxxxxx x xxxxxxxxx rizik xxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxxxx x xxxxxxxx xxxxxx, xxxxxxxxxxxxx x dopadů,
c) xxxxxxxxxxxx xxxxx, která xxxxxxxxxx xxxxxx, xxxxxxxxxxxxx x xxxxxx,
x) určenou x xxxxxxxxxxxxxxx xxxx rizika x
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(4) X xxxxxxxxxxxx xxxxxxx xxxx xxx analýza xxxxx xxxxxxxxxxxxx, vyhodnocována x xxxxxxxxxxxxx, xxxxxxxxxx xxxx xxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx xxxxxxx o xxxxxxxxxxx xxxxx §48.
§39
Xxxxx xxxxxxxxxxx systému
(1) Xxxxx xxxxxxxxxxx systému xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxx x xxxxxxx xxxxx xxx xxxxxxx požadavků xxxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxx kryptografické xxxxxxx, xxxxx xx xxxxxxxxxx. Xxxxx bezpečnosti xxxxxxx musí xxx xxxxxxxxx x xxxxxx.
(2) X xxxxxxxxxx xxxxxxx xxx xxxxx xxxxxxxxxxx xxxxxxx xxxxxxxx do xxxxxxxx samostatných dokumentů, xxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx částí xxxxxxx, xxxxxxxxx xx xxxxxx xxxxxxxxxxxxx xxxxxx.
§40
Xxxxxxxxxxx x xxxxxxxxxxxxx xxxxxx
Xxxxxxxxxxx x xxxxxxxxxxxxx xxxxxx obsahuje souhrn xxxxxxxxxxxxxx xxxxx x xxxxxx výsledků x xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxx v xxxxxxx rizik x xxxxxxxxx v xxxxxx xxxxxxxxxxx xxxxxxx.
§41
Xxxxxxxx xxxxxxxxxxxx směrnice
(1) Xxx každou definovanou xxxx x systému xxxx xxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx.
(2) Xxxxxxxx bezpečnostní xxxxxxxx xxx xxxxxx roli xxxxxxx
x) práva uživatele x roli,
b) xxxxxxxxxx xxxxxxxxx x xxxx,
x) xxxxxxxx xxxxxxxx xxxxxxxxx x roli x
x) xxxxxxx xxxxxxx x xxxxxxxxxxx, xxxxx x xxxxxxxxxx činnostmi podle xxxxxx x) xx x).
(3) Xxxxxxxx xxxxxxxxxxxx xxxxxxxx pro xxxx xxxxxxxxx xxxxxxxxx xxxxxxxx xxxx
x) xxxxxxx x xxxxxxxxxxxx xxxxx xxxxxxx xxxxxx jeho xxxxxxx x případného umístění,
b) xxxxxxxx a klasifikaci xxxxxxxxx xxxxxxx včetně xxxxxxxxxx xxxxxx toho, xxx xx koncový xxxxxxxx podílí na xxxxxx xxxxxx,
x) definici x klasifikaci xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxx základního popisu xxxx, xxx se xxxxxxx uživatel podílí xx xxxxxx řešení,
d) xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx xxxxxx xxxx, xxx xx uživatel xxxxxx xx xxxxxx,
x) xxxxxx xxxxxxxxxx x xxxxxx xxxxxxxxx x xxxxxx xxxxxx xxxxxxxxx,
x) xxxxxxxx provádění tisku x
x) xxxxxx xxxxxxxxx xxxxxxxxxxxx softwarového vybavení.
§42
Xxxxxxxx xxxxx
(1) Xxxxxxx xxxxxx xxxxxxx xxxx xxx xxxxxxxxx v xxxxxxxx xxxxx.
(2) Xxxxxx x xxxxxxxx aktiv xxxx xxxxxxxxx přesný xxxxx, xxx, xxxxxxx xxxx výrobní číslo xxxxxx x xxxxx xxxxxxxxx, které xxxxxx xxxxxxxxxxxx identifikaci xxxxxxxxxxx xxxxxx.
(3) Evidovaná hmotná xxxxxx xxxx být, xxxxx xxxxxxx uvedených x xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx xxx, xxx xxxx xxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxxxx x xxxxxxx.
(4) Evidence xxxxxx xxxxxxxxx xxxxxxxx xxxxxxx:
x) xxxxxxxx xxxxx,
x) stupeň xxxxxxx nebo informaci x tom, že xxxxx informací xx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxx, xxxxx xxxxx xxxxxxx xxxxxx xxxxxxx, xx-xx xxxxx xxxxxxxxx xxxxxxxxx, xxxx zkratka informace x xxx, xx xxxxx xxxxxxxxx xx xxxxxxxxxxx, xxxxxxxx xxxxx, xxx xxxxxxxx xx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx,
x) xxxxx xxxxxxxx do xxxxxxxx,
x) xxx nosiče informací,
f) xxxxxxxxxxx xxxxxxxxxxxxx nosiče xxxxxxxxx, xxxxxx xx xxxxxxxxx xxxxxxx číslo, x
x) jméno, xxxxxxxx x podpis uživatele, xxxxxxx xxx xxxxx xxxxxxxxx xxxxxxxx, datum xxxxxxxx, xxxxx xxxxxxx xxxxxx xxxxxxxxx x xxxxx, xxxxxxxx a xxxxxx uživatele, xxxxxxx xxx nosič informací xxxxxx.
(5) Xxxxxxxx xxxxxx xxxxxxxxx xxxx xxx xxxxxx x samostatně xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx. Xxxxxx vedení xxxxxxxx xxxxxx xxxxxxxxx xxxxx xxxx xxxxx xx xxxxxx x xxxxxxxxxxxx xxxxxxxxxxx.
§43
Xxxxxxxx xxxxxxxxx
(1) Xxxxx xxxxxxxx musí xxx xxxxxxxx x xxxxxxxx xxxxxxxxx.
(2) Xxxxxxxx uživatelů xxxxxxxx
x) jméno x xxxxxxxx xxxxxxxxx,
x) xxxxx x oznámení o xxxxxxx xxxxxxxx xxx xxxxxxx x xxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx Xxxxxxxxx, xxxxxxx xxxxx xxxx xxxxxx; xx xxxxxxx, xx-xx xxxxxxxx xxxxxxx x utajované xxxxxxxxx xxxxxx utajení Xxxxxxxxx xxxxx §58a xxxxxx,
x) xxxxx o xxxxxxxxx xxxxxxx xxxxx, xxxx-xx xxxxxxxxx xxxxxx, xxxxxxx xx xxxxxx xxxxx xxxxxxxxx, datum xxxxxx, xxxx xxxxxxxxx xxxxxxxxx x nejvyšší xxxxxx utajení xxxxxxxxxxx xxxxxxxxx, xx xxxxxx xxxxxxxxx xxxxxxxx přístup,
d) xxxxx x osvědčení xxxxxxx xxxxx xxx xxxx xxx, xxxx-xx xxxxxxxxx xxxxxx, xxxxxxx xx rozumí xxxxx xxxxxxxxx, xxxxx xxxxxx, xxxx platnosti osvědčení x nejvyšší xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx, xx kterým xxxxxxxxx xxxxxxxx přístup, a
e) xxxxx x xxxx, xxxxxx xxx xxxxxxxx xxxxxxx, xxxxxxx o xxxxxxx xxxx xxxxxxxxx, xxxx xxxxxxxx x xxxx xxxxxxx xxxxxxxx x datu proškolení xxxxx §19 xxxx. 5.
(3) V případě, xx má uživatel xxxxxxx k xxxxxxxxx xxxxxxxxx xxxxx §58 xxxxxx, xxxx x xxxxxxxxx informaci stupně xxxxxxx Vyhrazené xxxxx §58a zákona, xxxx xxxx xxxxx xxxxxxx x evidenci uživatelů.
§44
Xxxxxxxx deník
(1) Xxxxxxxx xxxxx slouží x xxxxxx změn x xxxxxxx a jejich xxxxxxxxxxxxxxx. Xx xxxxxxxxxx xxxxxx xx xxxxxxxxxxxxx xxxxxxx změny prováděné x systému pracovníky xxxxxx.
(2) Xxxxxxxx xxxxx xxx xxxx x x elektronické xxxxxx, xx-xx xxxxxxxxxx proti xxxxxxxxxxxxx xxxxxxxx xxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx zaznamenává všechny x xxx xxxxxxxxx xxxxx.
XXXX XXXXXX
XXXXXXXXXXX A XXXXXXXXXX INFORMAČNÍHO XXXXXXX X XXXXXXXXXXX PROJEKTU XXXXXXXXXXX
XXXXX I
Informační systém
Díl 1
Xxxxxxxxxxx informačního xxxxxxx
§45
Xxxxxx x xxxxxxxxxxx informačního xxxxxxx
(1) Žádost x xxxxxxxxxxx informačního xxxxxxx xxxxxxxx
x) xxxxx osvědčení xxxxxxxxxxx s xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx xxxx xxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxx, xx-xx xxxxxxxxx xxxxxxxxxx,
x) xxxxx x příjmení kontaktní xxxxx xxxxxxxx a xxxxxxxxx spojení, xxxxxx xx rozumí xxxxxxx xxxx telefonní číslo x xxxxxx elektronické xxxxx,
x) popis účelu x rozsahu xxxxxxxxxxxx xxxxxxx,
x) xxxx x xxxxxx xxxxxxx utajovaných xxxxxxxxx, xx kterými xxxx xxxxxxxxxx xxxxxx xxxxxxxx,
x) údaj o xxxxxxxxx xxxxxxxxxxxxxx provozního xxxx informačního systému x
x) xxxxxxxxxxxxx xxxxx xxxxxxxxxx informačního systému xxxx xxxx xxxxxxxxx xxxxxxxxxxxxx bezpečnost informačního xxxxxxx a xxxxx xxxxxxxxx podnikatele s xxxxxxxx příslušného xxxxxx xxxxxxx xxxx xxxxx xxxxxxxx prohlášení xxxxxxxxxxx, xx-xx dodavatel xxxxxxxxxxxx.
(2) X xxxxxxxxx certifikace xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxx
x) xxxxxx o xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx xxxxxxxx 1,
x) xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §36 odst. 2,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx §36 odst. 3 xxxx. x),
x) xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxx x
x) xxxxx podklady xxxxxxxxxx informace, xxxxx xx xxxxx mít xxxx na xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxx xxxxxx.
(3) X provedení xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx Xxxxxxx xxxx vyššího žadatel xxxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxx, které jsou xxxxxxxx informačního xxxxxxx, x xxxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxx.
(4) X xxxxxxx žadatel xxxxxxx xxxxxxxx dílčích úloh x rámci xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx x nakládání x xxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxx státu, xxxxxxxxxx xxxxxx xxxxx §60b xxxxxx xxxx podnikatelem xx základě xxxxxxx x zajištění činnosti xxxxxxxx x Národním xxxxxx xxx kybernetickou x informační xxxxxxxxxx xxxxx §52 zákona, xxxx-xx tyto dílčí xxxxx xxxxxxxxx.
(5) Zpravodajská xxxxxx xxxxx x xxxxxxx podle xxxxxxxx 1 xxxxx xxxxx xxxxxx c) xx x) xxxxx x xxxxxxx, xxxxx neohrozí xxxxxx jejích úkolů xxxxx xxxxxx xxxxxxxx xxxxxxxx. Zpravodajská služba xxxxxxxxx xxxxxxxx xxxxx xxxxxxxx 2 xxxxx x xxxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxx xxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx.
§46
Xxxxxx a xxxxxxxx xxxxxxxxx xxxxxxxxxxx informačního xxxxxxx
(1) X rámci xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx Xxxxxxx úřad xxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx
x) vhodnost xxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxxxxxxx bezpečnosti informačního xxxxxxx xxxxx §3,
x) xxxxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx a
c) xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxx bezpečnostních xxxxxxxx x xxxxx xxxxxxxxxxx xxxxxxx x xxxx xxxxxx x bezpečnostní xxxxxxxxxxx.
(2) Certifikace xxxxxxxxxxxx xxxxxxx se xxxxxxx xx základě předložených xxxxxxxx x provedených xxxxxxxxxxxxxx testů. Xxxxxxxxxxxx xxxxx xxxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xx xxxxxxxxxxx Xxxxxxxxx xxxxx xxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx, xxxxxxxx i xxxxxxxxxx. Xxxxxxx-xx xxxxxxxxxxxx xxxxx xxxxx xxxx xxxxx xxxxxxxxxxxx xxxxxx, xxxxxxxxxx Xxxxxxxxx xxxxx xxx xxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxx.
(3) Xxxxxxxxxxx informačního xxxxxxx xxx xxxxxxxx xxxxxxxx xx xxxxxxxx xxxxxxxxxxxx fází xxxxxxxx xxxxxxxxxxxx xxxxxxx nebo xx xx jejím xxxxxxxxx, xxxxx-xx xx xxxxxxx x xxxxxxx x certifikaci xxxxxxxxxxxx xxxxxxx xxxxx §45.
(4) Xxxxx-xx x xxxxxxxxxxx xxxxxxx, který byl xxxxxxxxxxxx x xxxxxxxx xx xxxxxxx, xx xxxxxx xxxxxxxx x §51 xxxx. 2, xxxxxxx xx xxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxxxx xxxx. Xxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xx xxxxxxxxx xxxxx odstavce 1 x xxxxxxxxx xxxxxxx. Výsledek doplňujícího xxxxxxxxx xx xxxxxxxx xxxxxxxxxxxx xxxxxx.
(5) Vzor xxxxxxxxxxx xxxxxxxxxxxx systému xx xxxxxx x příloze č. 2 x xxxx xxxxxxxx.
§47
Xxxxxxxxxxxx xxxxxx
Xxxxxxx xxxx xxx kybernetickou x xxxxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx, xxxxx xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxxxx xxxx xxxxx, xxxxxxxx xxxxx x xxxxxx xxxxxxx xxxxxxxxxxx informací, xxx xxxxx xxxx xxxxxxxxxxx informačního xxxxxxx xxxxxxx,
x) popis xxxxxxxxxxxx xxxxxxx,
x) zásady a xxxxxxxx provozování xxxxxxxxxxxx xxxxxxx, xxxxxx typů xxxx informačního xxxxxxx, xxxxx xxxxxxxx provedení xxxxxxxxxxxx posouzení xxxxxxxxxxxx xxxxxxx, x xxxxxxxx xxxxxxxx jeho provozu,
d) xxxxxxxxxxxx xxxxxxxxxxxx rizik xxxxxxxxxxxxx s provozem xxxxxxxxxxxx xxxxxxx x
x) xxxx xxxxxxxxxxxxxxxx xxxxxxxxxx, xxxx-xx xxxxxxx, x xxxxxx, xxxxx xxxx xxxxxxxx výkon xxxxxxxxxxxxxx xxxxxxx x souladu x certifikační xxxxxxx xxxxxxxxxxxxxxxx prostředku.
§48
Opakovaná xxxxxx x xxxxxxxxxxx xxxxxxxxxxxx systému
(1) Xxxxxxxxx žádost x xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx
x) číslo xxxxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxxxxxx stupně utajení xxxx kopii xxxxxxxx xxxxxxxxxx xxxxxxxxxxx, xx-xx xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxxxx xxxxxxxxxxxx jeho xxxxxxxx, evidenční xxxxx, xxxxx xxxxxx x xxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxx název, xxxxxxxx xxxxx a stupeň xxxxxxx utajovaných xxxxxxxxx, xxx xxxxx byla xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxx, x
x) xxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx x kontaktní xxxxxxx xx ni.
(2) Xxxxxxxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxx xxxxx xxxxx bezpečnostní dokumentace, xxxxx ji xx xxx ukončení platnosti xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx systému navrhuje.
(3) Xxxxx x xxxxxxxxx xxxxxxx provozovatel xxxxxxxxxxxx xxxxxxx xxxxxx, že xx xxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému xxxx xxxxxxxxxx xxxxxx xxxxxxxxxx xx xxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx zprávě x x xxxx xxxxxxxxxxx xxxxxxxxx xxxxx, xx xxxxxx xxxxxxxxxx xxxxx §46 odst. 1 xxxxxx xxxxx xx xxxxxxx c).
(4) Xxxxx v opakované xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx navrhuje xxxxx xxxxxxxxxxxx dokumentace, je xxxxxx xxxxxxxxxx xxxxx §46 xxxx. 1 xxxx. x) a x) xxxxxx xx xxxx navrhované xxxxx.
(5) Xxxxx xxxxxxxxxx změny xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx podstatné xxx celkovou bezpečnost xxxxxxxxxxxx systému, xxxx Xxxxxxx xxxx pro xxxxxxxxxxxxx x informační xxxxxxxxxx postupovat xxxx x xxxxxxx xxxx xxxxxxxxxxx.
(6) Xxxxxxxxxxxx xxxxxx xxxxx v xxxxxxx xxxxx xxxxxxxx 1 xxxxx xxxxx xxxxxx x) a x) xxxxx v rozsahu, xxxxx xxxxxxxx xxxxxx xxxxxx xxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx. Xxxxxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxx xxxxxxxx 2 xxxxx x xxxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxx úkolů xxxxx jiného xxxxxxxx xxxxxxxx.
Xxx 2
Xxxxxxx o xxxxxxxxx činnosti
§49
(1) Xxxxxx x xxxxxxxx xxxxxxx x Národním xxxxxx xxx xxxxxxxxxxxxx a xxxxxxxxxx bezpečnost x xxxxxxxxx xxxxxxxx podle §52 xxxxxx, xxxxxx xxxxxxxxx xx xxxxxxxxx xxxxxxx úloh xxx xxxxxxxxx xxxxxxxxxxxx informačního xxxxxxx x xxxxxxxxx x utajovanými informacemi (xxxx xxx „xxxxxxx x xxxxxxxxx činnosti“), xxxxxxxx
x) číslo xxxxxxxxx xxxxxxxxxxx x uvedením xxxxxxxxxxx xxxxxx xxxxxxx, xx-xx žadatelem xxxxxxxxxx,
x) xxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxx x kontaktní xxxxxxx xx xx x
x) xxxxxxxxxxx xxxxxxxx, xxxxx xxxx být xxxxxxxxx xxxxx xxxxxxx o xxxxxxxxx xxxxxxxx.
(2) Žádost xxx xxxxxxxx 1 xxxxxxxx dále
a) xxxxxx xxxxxxxx xxxxxxxxxx provádějícího xxxxxxxxxx činnosti,
b) xxxxxxxxxx xxxxxxxxx osoby nebo xx xxxxxxxx xxxxx x splnění požadavků xx fyzickou a xxxxxxxxxx bezpečnost pracoviště,
c) xxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x
x) údaje o xxxxxxxxxx a xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
Díl 3
Akreditace informačního xxxxxxx
§50
(1) Akreditaci informačního xxxxxxx xxxx moci xxxxxxx Xxxxxxx xxxx xxx xxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxx xx xxxxxx, xxxxx xxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxx xxxx xxxxx xxxxxxxxxxx xxxxxxxx Xxxxxxxx xxxx2) a podle xxxxxxxxxxx smlouvy3).
(2) Xxxxx Xxxxxxx xxxx xxx xxxxxxxxxxxxx x informační xxxxxxxxxx xxxxx naplnění xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxx xxxx, předá xxxxxxxxxx xxxxx xxxxxxxx 1 bezpečnostní xxxxxxxxxxx xxxxxxxx xxxx xxxx.
(3) Xx základě rozhodnutí xxxxxxxxxxxx akreditační xxxxxxxx xxxx moci o xxxxxxxxxx xxxxxxxxxxxx systému xxxx moci Xxxxxxx xxxx xxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxx xxxxxxxxxx.
(4) Xxxxx xx xxx xxxxxxxxxx xxxxxx xxxx xxxx xxxxxxxx i xxxxxxxxxxxxx xx uplynutí xxxx xxxxxxxxx jeho xxxxxxxxxx, xxxxxx xxxx xxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx podle xxxxxxxx 1 xxxxxxx xxxxxxxxxx 6 měsíců xxxx xxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx moci.
Xxx 4
Xxxxxxxx xxxxxxxxxx xxxxxxxxxxx informačního xxxxxxx
§51
(1) Xxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx spočívají x
x) xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxxxxxxx informačního xxxxxxx xxxxxxxxxxx v certifikační xxxxxx x
x) informování Xxxxxxxxx úřadu pro xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxx xxxxxxxx xx xxxxxxx informačního systému, xxxxx xx xxxxx xxx xxxx xx xxxxxxxxxx xxxxxxxxxx.
(2) Xxxxx x rámci xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx xx xxxxx xxxxx xxxxxxxx 1 písmene x) xxxx ke xxxxx xxxxx §47 xxxx. x), xxxx xxx xxxxxx změna xxx xxxxxxxxxx xxxxxxx xxxxxxxxxx x bezpečnostní xxxxxxxxxxx, xxxxxxx x xxxxxxx xxxxx.
HLAVA XX
Xxxxxxxxxxx xxxxxx
§52
Xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx
(1) Xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, x xx xxxxxxx v rozsahu §36 odst. 2 xxxx. a) xx x) x xxxx. 3 písm. x).
(2) Xxxxx xxxxxxxxxxx xxxxx §39 xxxxxxxx xxx xxxxxxxxxxx systém popis
a) xxxxxxx, xxxxx xxxx xxxxxxxx výkon kryptografické xxxxxxx x xxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxx x xxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx x
x) bezpečnostních xxxxxxxx x xxxxx xxxxxxxxxx postupů, jejichž xxxxxxxxxxx bude zajištěna xxxxxxxxxx xxxxxxxxxx.
(3) Bezpečnostní xxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxx pro xxxxxxxxxxx xxxxxx
x) xxxxxxxxx xxxxxxx x §41 x
x) xxxxx konkrétních xxxxxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxx správy komunikačního xxxxxxx x xxxxxx xxxxxxxxxxxxxx ochrany.
(4) Xxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx, xxxxx xxx xxxxxxxxx xxxxxxxxxx a xxxxxx xxxxxxx xxxxx xxxxxxxxx xxxxxxxx, xxxx xxxxxxxxx xxxxx xxxxxxxxxxx infrastruktury x xxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§53
Xxxxxx x xxxxxxxxx xxxxxxxx bezpečnosti
(1) Žádost x xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx
x) jméno x xxxxxxxx kontaktní xxxxx xxxxxxxx a xxxxxxxxx xxxxxxx xx xx,
x) číslo xxxxxxxxx xxxxxxxxxxx s xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx xxxx xxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxx, xx-xx xxxxxxxxxxxxxx xxxxxxxxxxxxx systému xxxxxxxxxx,
x) xxxxx komunikačního xxxxxxx x xxxxx xxxx xxxxx x xxxxxxx xxxxxx xxxxxxxxx xxxx běžných provozních xxxxxx,
x) xxxx o xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx, xx xxxxxxx xxxx xxxxxxxxxxx xxxxxx xxxxxxxx,
x) identifikační xxxxx xxxxxxxxxx jednotlivých komponent xxxxxxxxxxxxx xxxxxxx majících xxxx xx xxxxxxxxxx xxxxxxxxxxxxx systému a xxxxx xxxxxxxxx podnikatele x xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx nebo xxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxx, je-li xxxxxxxxx xxxxxxxxxxxx, x
x) xxxxxxx xxxxxxxxxxx.
(2) Ke schválení xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx nakládajícího s xxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx Xxxxxxx xxxx xxxxxxx žadatel xxxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxxx elektrických xxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx součástí xxxxxxxxxxxxx xxxxxxx, x xxxxxxx před únikem xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxx.
(3) Xxxxx žadatel xxxxxxxxx xxxxxxxxxx xxxxx xxxxxxxx bezpečnosti v xxxxxxx xxxx xxxxxxxxxxx xxxxxxxx, xxxx xx xxxxxxxxxx x xxxxxx xxxxx §36.
(4) Xxxxxxxxxxxx xxxxxx xxxxx x xxxxxxx xxxxx xxxxxxxx 1 xxxxx xxxxx xxxxxx c) až x) xxxxx x xxxxxxx, xxxxx xxxxxxxx xxxxxx jejích úkolů xxxxx jiného xxxxxxxx xxxxxxxx. Xxxxxxxxxxxx xxxxxx xxxxxxxxx podklady xxxxx xxxxxxxx 2 xxxxx x rozsahu, xxxxx xxxxxxxx xxxxxx xxxxxx xxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx.
§54
Xxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx
(1) X xxxxx schvalování xxxxxxxx xxxxxxxxxxx posuzuje Xxxxxxx xxxx pro xxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxx
x) xxxxxxxx navrženého xxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxx §3,
b) správnost x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx a
c) správnost xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx v xxxxx komunikačním xxxxxxx x xxxx xxxxxx x bezpečnostní xxxxxxxxxxx.
(2) Xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xx xxxxxxx posouzením xxxxxxxx předložených xxxxxxxxxxxxxx xxxxxxxxxxxxx systému a xxxxxxxxxx xxxxxxxxxx realizace xxxxxxxx xxxxxxxxxxx Národním xxxxxx xxx kybernetickou x informační bezpečnost x xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx komunikačního xxxxxxx.
(3) Xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxx provádět průběžně xx xxxxxxxx jednotlivých xxxx xxxxxxxx komunikačního xxxxxxx xxxx xx xx xxxxx xxxxxxxx xxxxxxxxx, xxxxx xxxxxxxxx xxxxxxxx, xxxxxx-xx o xx x xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxxx podle §53.
(4) Xxxxxx-xx Xxxxxxx xxxx xxx xxxxxxxxxxxxx a xxxxxxxxxx bezpečnost xxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx komunikačního xxxxxxx x nakládání x xxxxxxxxxxx xxxxxxxxxxx, xxxx xxxxxxxxxx x xxxxxxxxx projektu xxxxxxxxxxx.
(5) Xxxxx-xx v xxxxxxxxxxxx xxxxxxx xx xxxxxx, xxxxx xxxx vliv xx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxx, provádí xx xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxxxx k xxxxxxxxx xxxxxxxxxxx změn. Xxx xxxxxxxxx doplňujícího xxxxxxxxx xxxxxxxx bezpečnosti xx xxxxxxxxx obdobně xxxx při xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx.
XXXXX XXX
Xxxxxxxxxx modulů
§55
(1) X xxxxx certifikace xxxxxxxxxxxx systému xxxx xxxxxxxxxxx xxxxxxxx bezpečnosti xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx xx xxxxxx, xxxxx mohou xxx xxx dalšího xxxxxxxxxx xxxxxxx použity x x xxxxxx informačních xxxx xxxxxxxxxxxxx xxxxxxxxx xxxxx §46 nebo 54 xxx xxxxxxxxx xxxxxx xxxxxx informační xxxxxxxxxxx.
(2) Xxxxx xx xxxxxxx xxxxx xxxxxxx
x) xxxxxxxxxxx vybavením, zejména xxxxxxxxxxxxx systémem xxxxxxx xxxxxx, sloužícím x xxxxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx x xxxxxxx, xxxx
x) xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxx, zejména xxxxxxxxxxxxx oddělovacím xxxxxx, xxxxxxxx má jasně xxxxxxxxxx hranice určující xxxxxx xxxx začlenění xx systému.
(3) Národní xxxx pro xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxx xxxxxxxxxx jiného xxxxxxx xxxxx §46 xxxx. 3 a §54 odst. 1 x 2 xxxxxxxxx xxxxx, xxxxxxxx xxxxx
x) xxx xxxxxxxx x xxxxxx x xxx xxxxxxxxxxx systému xxxxx §46 nebo 54 x
x) xx být xxxxxxx xxxxxx v xxxxx xxxxxxx xx xxxxxx xxxxxxxxxxx x xx stejných xxxxxxxx xxxx v xxxxx xxx existujícím systému xxxxx xxxxxxx a).
ČÁST PÁTÁ
SAMOSTATNÁ ELEKTRONICKÁ XXXXXXXX
§56
Xxxxxxxx bezpečného xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx zařízení xxxxx §36 xxxx. 4 xxxxxx xx xxxxxxxxxx xxxxxxxxxxxx provozní xxxxxxxx obsahující xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx v xxxxxxx §36 odst. 2 písm. c) x odst. 3 xxxx. a).
(2) Xxxxx xxxxxxxxxxx xxxxxxx podle §36 xxxx. 2 xxxx. x) xxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx x ohledem xx xxxxxx samostatného xxxxxxxxxxxxxx xxxxxxxx a způsob xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx elektronické xxxxxxxx xxxxx funkce xxxx
x) xxxxxxxxxxx, xxxxx xxxxxxxxx xxxxxxxxx informace,
b) xxxxxxxxxxxxx, xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxx, xxxxxxx psací xxxxx x xxxxxx, xxxxxxxxxx, xxxxxx nebo xxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxx, xxxxx xxxxxxxx xxxx převádí utajované xxxxxxxxx x xxxxxxx xxxxxxx xx xxxxxxx, x
x) xxxxxxxxxxx, xxxxx xxxxxxxxx xxxxxx uvedené x xxxxxxxxx x) xx x).
(3) Xxxxxxxx-xx xxxxxxxxxx xxxxxxxxxxxx zařízení xxxxx xxxxxxxxx, xxx xxxxx xxxxxxxxxxx xxxxxxx xxxxxxxx x xxxx xxxxxxxxxxxx podle xxxxxxx xxxxxxxx do zařízení xxxxx §13 xxxx. 3.
(4) Xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx zařízení xxxxxxxxx více xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxx x xxxxxxx integrace xxxxxx informací, xxx xxxx xxxxxxxxx xxxxx xxxxxxxxxxxx provozní směrnici xxx xxxx xxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
§57
Oznámení x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxxxx §36 xxxx. 2 xxxx. b) xxxxxx xxxxxxxx
x) xxxxxxxxxxxxx xxxxx provozovatele samostatného xxxxxxxxxxxxxx xxxxxxxx x
x) xxxxxx provozovaných xxxxxxxxxxxx xxxxxxxxxxxxxx zařízení obsahující xxx každé xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx
1. xxx samostatného elektronického xxxxxxxx xxxxx §56 xxxx. 2 x 3 x
2. stupeň xxxxxxx utajovaných xxxxxxxxx, xxx xxx je xxxxxx.
ČÁST ŠESTÁ
PŘECHODNÁ A XXXXXXXXX XXXXXXXXXX
§58
Xxxxxxxxx xxxxxxxxxx
(1) Xxxxxxxxxxxx xxxxxxxxx xx
x) xxxxxxxxxx xxxxxxx certifikované xxxx xxxxxxxxx xxxx xxxxxxxx x
x) komunikační xxxxxxx, xxxxxxx xxxxxxx xxxxxxxxxxx byl schválen xxxxx dnem xxxxxx xxxxxxxxx xxxx xxxxxxxx, xx posuzují podle xxxxxxxxxxx xxxxxxxx xxxxxxxx.
(2) Xxxxxxxxx xx xxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx podobě v xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxx xxxxxxx xx xxxxxxx xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, xx xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx po xxxx 1 xxxx xxx xxx xxxxxx xxxxxxxxx xxxx xxxxxxxx.
(3) Xxxxxxxxx, xxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxx xxxxx x utajované xxxxxxxxx xxxxx §17 xxxx. 2, xxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxx xx 12 xxxxxx xxx xxx xxxxxx účinnosti této xxxxxxxx.
§59
Xxxxxxxxx ustanovení
Zrušují xx:
1. Xxxxxxxx č. 523/2005 Sb., o xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systémů x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx x o xxxxxxxxxxx stínicích xxxxx.
2. Xxxxxxxx č. 453/2011 Sb., kterou xx xxxx xxxxxxxx x. 523/2005 Xx., x bezpečnosti xxxxxxxxxxxx x komunikačních systémů x xxxxxxx elektronických xxxxxxxx nakládajících x xxxxxxxxxxx informacemi x x certifikaci xxxxxxxxx xxxxx.
ČÁST SEDMÁ
ÚČINNOST
§60
Tato xxxxxxxx xxxxxx xxxxxxxxx dnem 1. xxxxx 2025.
&xxxx;
Xxxxxxx:
Xxx. Xxxxx x. x.
Xxxxxxx x. 1
Fyzická xxxxxxxxxx
Xxx xxxxxxx výpočtu xxxxxxxx hodnot zabezpečených xxxxxxx, x xxxxx xx xxxxxxx xxxxx xxxxxxxxxxxx systému, komunikačního xxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxx x sobě xxxxxx xxxxxxxxx, které pro xxxxxxxx informace xxxxxxxxxxx xxxxxx připojení xx xxxxxx elektrické xxxxxxx, xx použijí následující xxxxxxx xxxxxxxxx S1.
S1
|
Tabulka x. 1: Bezpečnostní xxxxxxxxxx xxxxxxxxx X1 |
|
|
Xxxxxxx X1 |
Xxxxx xxxxxxxxxxx xxxxxxxx xxxxxxx |
|
0 |
xxx autentizace* |
|
1 |
identifikace xxxxxx x xxxxxxxxxxx heslem x systém xxx xxxx nejsou xxxxxxxxx |
|
2 |
xxxxxxxxxxxx xxxxxx x xxxxxxxxxxx xxxxxx xxxxxxxx xxxxx xxxxxxx a xxxxxx xxx xxxx xxxxxx xxxxxxxxx |
|
2 |
xxxxxxxxxxx xxxxxxxxx x xxxxxxx identifikačním xxxxxx (XXX) x systém xxx xxxx nejsou xxxxxxxxx |
|
2 |
xxxxxxxxxxx xxxxxx biometrických xxxxxxxxxxxxxx x systém xxx xxxx xxxxxx xxxxxxxxx |
|
2 |
xxxxxxxxxxxx xxxxxx x xxxxxxxxxxx xxxxxx x xxxx xxxxxx xxxx xxxx xxxx šifrovaná** |
|
3 |
identifikace xxxxxx x xxxxxxxxxxx xxxxxx xxxxxxxx jiným xxxxxxx a celý xxxxxx nebo xxxx xxxx šifrovaná** |
|
3 |
autentizace xxxxxxxxx x osobním identifikačním xxxxxx (XXX) x xxxx systém xxxx xxxx jsou šifrovaná** |
|
3 |
autentizace xxxxxx biometrických xxxxxxxxxxxxxx x celý systém xxxx xxxx xxxx xxxxxxxxx** |
|
4 |
xxxxxxxxxxx předmětem x xxxxxxxxxx***&xxxx;xxxxxxx x xxxxxxx xxxxxxxxxxxxxx číslem (PIN) x systém ani xxxx xxxxxx xxxxxxxxx |
|
4 |
xxxxxxxxxxx xxxxxxxxx s šifrovaným*** obsahem x osobním identifikačním xxxxxx (XXX) a xxxxxxxx x xxxxxx xxx data nejsou xxxxxxxxx |
|
5 |
xxxxxxxxxxx předmětem s xxxxxxxxxx***&xxxx;xxxxxxx s xxxxxxx xxxxxxxxxxxxxx xxxxxx (XXX) x celý systém xxxx xxxx xxxx xxxxxxxxx** |
|
5 |
xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxx***&xxxx;xxxxxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxx (XXX) x přenosem x xxxx systém xxxx xxxx xxxx xxxxxxxxx** |
|
*&xxxx;xxxxx xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx |
|
Příloha x. 2
Xxxx xxxxxxxxxxx
XXXXXXX XXXX
XXX KYBERNETICKOU X INFORMAČNÍ BEZPEČNOST
Národní xxxx pro xxxxxxxxxxxxx x informační xxxxxxxxxx xxxxxxxxx podle §137a xxxx. x) xxxxxx x. 412/2005 Xx., x ochraně xxxxxxxxxxx xxxxxxxxx x o xxxxxxxxxxxx způsobilosti, xx xxxxx xxxxxxxxxx xxxxxxxx
&xxxx;
xxxxxx
&xxxx;
XXXXXXXXXX
&xxxx;
xxxxxxxxxxxx xxxxxxx
xxxxx §46 xxxxxx x. 412/2005 Xx., x xxxxxxx xxxxxxxxxxx xxxxxxxxx x o xxxxxxxxxxxx xxxxxxxxxxxx, xx xxxxx xxxxxxxxxx předpisů.
Evidenční xxxxx certifikátu: ______________________________
________________________________________________
(název, xxxxx)
&xxxx;
|
Xxxxxxx xxxxxxxxxxx: Xxxxxx:&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx;&xxxx; XXX: |
Xxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx x schválení xxxxxxxxxxxx xxxxxxxxxxxx systému
k xxxxxxxxx x utajovanými informacemi xx a xxxxxx xxxxxx xxxxxxx
_______________________________________
&xxxx;
Xxxxxxxx xx:
Xxxxxxxx xx:
&xxxx;
xxxxx xxxxxxxx razítka
_________________________
podpis xxxxxxxxxxx xxxxxxxx
Xxxxx xxxxxx:
Xxxxxxx:
Informace
Právní xxxxxxx x. 479/2024 Xx. nabyl xxxxxxxxx dnem 1.1.2025.
Xx xxx xxxxxxxx xxxxxx xxxxxxx xxxxx xxxxx xx doplňován.
Znění xxxxxxxxxxxx xxxxxxxx xxxxx jiných xxxxxxxx xxxxxxxx x xxxxxxxx není xxxxxxxxxxxxx, xxxxx se xxxx xxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxxxx právního xxxxxxxx.
1) Xxxxxxxxxx Komise (XX, Euratom) 2021/259 xx xxx 10. xxxxx 2021, kterým xx stanoví prováděcí xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxx x xxxxxxx xx xxxxxxxxx xxxxxx.
Xxxxxxxxxx Xxxx (XX) 2013/488/EU xx xxx 23. xxxx 2013 x xxxxxxxxxxxxxx xxxxxxxxxx na xxxxxxx xxxxxxxxxxx informací XX, v platném xxxxx.
2) Rozhodnutí Rady 2013/488/XX.
3) Xxxxxx xxxx xxxxxxxxx stranami Xxxxxxxxxxxxxxxx xxxxxxx x bezpečnosti xxxxxxxxx, xxxxxxxxx pod č. 75/2001 Sb. m. s.