Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
XXXXXXXX
xx xxx 15. xxxxxxxx 2014
o xxxxxxxxxxxxxx xxxxxxxxxx, kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x x stanovení xxxxxxxxxxx podání v xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx xxxxxxxxxxxx xxxx xxxxxxx xxxxx §28 xxxx. 2 zákona x. 181/2014 Xx., x kybernetické xxxxxxxxxxx x o xxxxx xxxxxxxxxxxxx xxxxxx (xxxxx x xxxxxxxxxxxx xxxxxxxxxxx), (xxxx xxx "xxxxx") x xxxxxxxxx §6 xxxx. a) xx x), §8 xxxx. 4, §13 odst. 4 x §16 xxxx. 6 xxxxxx.
XXXX XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxxx xxxxxxxxx se xxxxxxx xxxxx x xxxxxxxxx xxxxxxxxxxxx dokumentace xxx xxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxx xxxxxxxxxx xxxxxx, xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxx xxxxxxxx, xxxx a kategorie xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx x xxxxxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx oznámení x xxxxxxxxx reaktivního xxxxxxxx x xxxx xxxxxxxx x xxxx xxxxxxxx kontaktních xxxxx x xxxx formu.
§2
Xxxxxxxx xxxxx
X xxxx xxxxxxxx xx xxxxxx
x) xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx část xxxxxxx xxxxxx xxxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxxxx xx přístupu x rizikům xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, která stanoví xxxxxx xxxxxxxx, xxxxxxxx, xxxxxx, monitorování, přezkoumání, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx aktivum x xxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx nebo xxxxxx, xxxxxx xxxxxxxxxx xxxx poskytuje xxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významný xxxxxxxxxx xxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, zaměstnanci x dodavatelé xxxxxxxxxx xx na xxxxxxx, xxxxxxx, správě xxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxxxxxx aktivem technické xxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx systému x xxxxxxx, xx xxxxxxx xxxx xxxx xxxxxxx xxxxxxxx,
x) rizikem xxxxxxx, xx určitá xxxxxx xxxxxxx zranitelnosti xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x způsobí xxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxx xxxxxx, xxx xxxx xx xxxxxxxx xxxxxxxxxx xxxxx x xxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxx xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx, xxxxx a xxxxxxxx xxxxxxxx xx zvládání xxxxx, xxxxxxx xxxxxxxxx x riziku a xxxxxxxxx a xxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxxxx xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu, xxxxxx xxxxxxxxx může být xxxxxxxxx xxxxxx,
x) zranitelností xxxxx místo xxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx může xxx xxxxxxxx xxxxxx xxxx xxxx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxx riziko zbývající xx xxxxxxxxx bezpečnostních xxxxxxxx, jehož úroveň xxxxxxxx xxxxxxxxx pro xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxx x pravidel, které xxxxxx způsob zajištění xxxxxxx aktiv xxxxxxx x osobou uvedenou x §3 xxxx. x) až x) xxxxxx,
x) garantem xxxxxx xxxxxxx xxxxx xxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxx x §3 xxxx. c) xx x) zákona x xxxxxxxxx xxxxxxx, xxxxxxx x xxxxxxxxxxx aktiva,
n) xxxxxxxxxx xxxxxxx nebo xxxxxxxxx osoba xxxxx xxxxx xxxxxxx xxxx, xxxxx xxxxxxx primární xxxxxx,
x) administrátorem xxxxxxx xxxxx xxxxxxxx garantem xxxxxx xxxxxxxxxxx správu, xxxxxx, xxxxxxx, údržbu x bezpečnost technického xxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx x xxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx s xxxxxxx na aktiva x xxxxxxxxxxx xxxxxxxxxx xxxxxx x hranice xxxxxxx řízení bezpečnosti xxxxxxxxx, ve xxxxxx xxxx, xxxxxxx xxxxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxx se systém xxxxxx xxxxxxxxxxx informací xxxx,
x) xxxx xxxxxx xxxxx §4 odst. 1,
x) xxxxxxx x xxxxxxx bezpečnostní xxxxxxxx x xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxx, cíle, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx ve xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxx x xx xxxxxxx xxxxxxxxxxxxxx potřeb x xxxxxxxx hodnocení xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §5 x xxxxxx příslušná xxxxxxxxxxxx opatření,
d) xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx a xxxxxxxx bezpečnostní xxxxxxxx xxxxx §5,
x) zajistí xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §15, x xx xxxxxxx xxxxxx ročně,
g) xxxxxxx xxxxxxxxxxx účinnosti xxxxxxx xxxxxx bezpečnosti informací, xxxxx xxxxxxxx hodnocení xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxx, xxxxxxxxx výsledků provedených xxxxxxx x xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xx systém xxxxxx xxxxxxxxxxx informací, x to xxxxxxx xxxxxx xxxxx,
x) xxxxxxxxxxx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx na základě xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx informací x x souvislosti s xxxxxxxxxxx nebo xxxxxxxxxxx xxxxxxx a
i) xxxx xxxxxx x xxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx, xxxxxxxxxxx činnosti xxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx rizik.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xxxxxx x xxxxx xxxxxxx xxxxxx bezpečnosti informací
a) xxxx xxxxxx podle §4 odst. 2,
x) xxxxxxx x schválí xxxxxxxxxxxx xxxxxxxx x xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxx zásady, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx xx xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxx x na základě xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x dalších xxxxxxxxx xxxxx §5, x xxxxxx příslušná xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxx xxxxxxxxxxx zprávy x xxxxxxxxx aktiv x xxxxx, xxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, a xx nejméně jednou xx xxx roky xxxx x xxxxxxxxxxx x prováděnými xxxx xxxxxxxxxxx změnami.
§4
Xxxxxx rizik
(1) Orgán x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx x xxxxx xxxxxx rizik
a) xxxxxxx xxxxxxxx pro xxxxxxxxxxxx x hodnocení xxxxx x xxx xxxxxxxxxxxx x hodnocení rizik xxxxxx xxxxxxxxx kritérií xxx xxxxxxxxxxxx rizik,
b) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxx, která xxxxx do rozsahu xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxx §8 x xxxxxxx přílohy č. 1 x xxxx xxxxxxxx x výstupy xxxxxxxxx xx zprávy x xxxxxxxxx aktiv x xxxxx,
x) identifikuje xxxxxx, xxx xxxxxxx xxxxxxxx xxxxxx a xxxxxxxxxxxxx, xxxxxxx xxxxx xxxxxx xx xxxxxx, xxxxxxx xxxx xxxxxx xxxxxxxxx x xxxxxxx xxxxx přílohy č. 2 x xxxx xxxxxxxx, určí x xxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxx zprávu x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxx xx základě bezpečnostních xxxxxx x výsledků xxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxxxxxxx, které xxxxxxxx xxxxxxx xxxxxxxxx x zavedených bezpečnostních xxxxxxxx,
x) xxxxxxxx x xxxxxx plán xxxxxxxx xxxxx, xxxxx obsahuje xxxx a xxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx, xxxxxx xxxxx zajišťující xxxxxxxxxxx xxxxxxxxxxxxxx opatření pro xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, technické, lidské x informační xxxxxx, xxxxxx jejich xxxxxxxx x xxxxx xxxxx xxxx xxxxxx a xxxxxxxxxxx bezpečnostními opatřeními x
x) xxxxxxxx xxx xxxxxxxxxx xxxxxxx reaktivní x xxxxxxxx xxxxxxxx xxxxxx Národním bezpečnostním xxxxxx (xxxx jen "Xxxx") x xxxxxxxxx xxxxx a x xxxxxxx, že hodnocení xxxxx xxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxx x realizací reaktivního xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx stanovená kritéria xxx xxxxxxxxxxxx xxxxx, xxxxxx plán xxxxxxxx xxxxx.
(2) Xxxxx a xxxxx uvedená v §3 xxxx. x) xxxxxx x xxxxx xxxxxx xxxxx
x) stanoví xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx aktiv x xxx identifikaci x xxxxxxxxx xxxxx xxxxxx stanovení kritérií xxx xxxxxxxxxxxx rizik,
b) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxx, xxxxx patří do xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, podle §8 xxxxxxxxx v xxxxxxx přílohy č. 1 x xxxx xxxxxxxx x xxxxxxx xxxxxxxxx xx xxxxxx x hodnocení xxxxx x rizik,
c) xxxxxxxxxxxx rizika, xxx xxxxxxx zohlední xxxxxx x xxxxxxxxxxxxx, xxxxxxx xxxxx dopady na xxxxxxxx aktiva, xxxxxxx xxxx xxxxxx minimálně x xxxxxxx xxxxx přílohy č. 2 k této xxxxxxxx x xxxxxxxx xxxxxx x xxxxxxxxx xxxxx x rizik,
d) xxxxxxxx xx základě xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxxxxxxx x aplikovatelnosti, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx x xxxxxx plán xxxxxxxx rizik, xxxxx xxxxxxxx cíle a xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxx osoby zajišťující xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx zvládání xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x xxxxxxxxxx xxxxxx, termíny xxxxxx xxxxxxxx x popis xxxxx xxxx identifikovanými xxxxxx x příslušnými xxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxx xxx zbytečného xxxxxxx reaktivní a xxxxxxxx xxxxxxxx vydaná Xxxxxx x hodnocení xxxxx a x xxxxxxx, xx hodnocení xxxxx xxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx reaktivního xxxx xxxxxxxxxx opatření xxxxxxxx stanovená xxxxxxxx xxx xxxxxxxxxxxx xxxxx, xxxxxx xxxx xxxxxxxx xxxxx.
(3) Xxxxxx xxxxx xxxx xxx zajištěno x xxxxxx způsoby, xxx xxx xx xxxxxxxxx v xxxxxxxxxx 1 a 2, xxxxx orgán a xxxxx uvedená x §3 písm. c) xx x) xxxxxx xxxxxxxxx, xx používá xxxxxxxx zajišťující stejnou xxxx xxxxx úroveň xxxxxx rizik.
(4) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx při xxxxxxxxx xxxxx xxxxxxx zejména xxxx hrozby
a) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, provedení xxxxxxxxxxxxx xxxxxxxx, zneužití xxxxxxxxx xx xxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxx selhání xxxxxxxxxxx anebo programového xxxxxxxx,
x) zneužití xxxxxxxx xxxxxxx osoby,
d) xxxxxxx xxxxxxxxxxxx vybavení x xxxxxxx s xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx útok x xxxxxxxxxxx sítě,
f) xxxxxxxx kód (například xxxx, xxxxxxx, trojské xxxx),
x) xxxxxxxxxx při xxxxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx dodávek elektrické xxxxxxx,
x) zneužití xxxx xxxxxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxx působící hrozby x
x) xxxxxxxx xxxx xxxxxxxxx xxxxxx.
(5) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxx xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx
x) nedostatečná xxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) nevhodné nastavení xxxxxxxxxxxx xxxxxxxxx,
x) nedostatečné xxxxxxx xxx xxxxxxxxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx jevů, xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx nevhodné xxxx xxxxxxx způsoby xxxxxxx x
x) xxxxxxxxxxxx stanovení xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxx xxxx x povinností xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx.
(6) Xxxxx x osoba xxxxxxx x §3 písm. x) x d) xxxxxx xxx xxxxxxxxx xxxxx xxxx zvažuje xxxx xxxxxx
x) xxxxxxxx xxxxxxxxxxxx politiky, xxxxxxxxx xxxxxxxxxxxxx činností, xxxxxxxx xxxxxxxxx xx strany xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xx xxxxxx zaměstnanců,
c) zneužití xxxxxxxxx prostředků, xxxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxxxxxxxxx energie xxxx jiných důležitých xxxxxx,
x) xxxxxxxxxx zaměstnanců x potřebnou xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxxxxxxx xxxx pomocí xxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxx x
x) xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx nosičů xxx.
(7) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx xxx xxxxxxxxx xxxxx xxxx xxxxxxx xxxx xxxxxxxxxxxxx
x) nedostatečná xxxxxxx xxxxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,
x) nedostatečná xxxx xxxxxxxxx xxxxxxxx x
x) xxxxxxxxxxx včasného xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxxx.
§5
Bezpečnostní politika
(1) Orgán x xxxxx uvedená x §3 xxxx. x) a d) xxxxxx xxxxxxx bezpečnostní xxxxxxxx v oblastech
a) xxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) organizační xxxxxxxxxx,
x) xxxxxx xxxxxx s xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx lidských xxxxxx,
x) xxxxxx xxxxxxx a xxxxxxxxxx,
x) xxxxxx přístupu,
h) xxxxxxxx xxxxxxx uživatelů,
i) xxxxxxxxxx x xxxxxx,
x) xxxxxxxx předávání x xxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx,
x) bezpečné xxxxxxxxx mobilních xxxxxxxx,
x) xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx,
x) dlouhodobé xxxxxxxx a xxxxxxxxx xxxxxxxxx,
x) ochrana xxxxxxxx xxxxx,
x) fyzická xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxxx před xxxxxxxxx xxxxx,
x) nasazení x xxxxxxxxx xxxxxxxx xxx xxxxxxx kybernetických bezpečnostních xxxxxxxx,
x) využití x xxxxxx xxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x
x) používání xxxxxxxxxxxxxx xxxxxxx.
(2) Xxxxx x xxxxx uvedená v §3 xxxx. e) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxxxx
x) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) organizační xxxxxxxxxx,
x) xxxxxx xxxxxxxxxx,
x) klasifikace xxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxxx,
x) řízení xxxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x xxxxxx,
x) poskytování a xxxxxxxx xxxxxxx programového xxxxxxxx x informací,
k) xxxxxxx xxxxxxxx údajů,
l) xxxxxxxxx kryptografické xxxxxxx,
x) xxxxxxx xxxx škodlivým xxxxx a
n) nasazení x xxxxxxxxx xxxxxxxx xxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx x osoba uvedená x §3 xxxx. x) až x) xxxxxx pravidelně hodnotí xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx ji.
§6
Organizační bezpečnost
(1) Orgán x osoba uvedená x §3 xxxx. x) xx e) xxxxxx xxxxxx organizaci xxxxxx xxxxxxxxxxx informací, x xxxxx které xxxx výbor xxx xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxx role x jejich práva x xxxxxxxxxx související x xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx xxxxxxxxxxxx role
a) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx bezpečnosti a
d) xxxxxx xxxxxx xxxxx §2 xxxx. x).
(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) určí xxxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxx 2.
(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx, odpovědná xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx, která xx xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x řízením xxxxxxxxxxx xxxxxxxxx xx xxxx xxxxxxx xxx xxx.
(5) Architekt xxxxxxxxxxxx xxxxxxxxxxx je osoba xxxxxxxxxxx xxxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xx xxx xxxx činnost xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xx dobu nejméně xxx xxx.
(6) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx xxxxxxxxxxx audit xxxxxxxxxxxx bezpečnosti, xxxxx xx xxx xxxx xxxxxxx vyškolena x xxxxxxx odbornou způsobilost xxxxx s xxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxx xxxxxxx xxx xxx. Xxxxxxx xxxxxxxxxxxx bezpečnosti vykonává xxxxx xxxx nestranně x xxxxx xxxx xxxx xx oddělen xx výkonu rolí xxxxxxxxx x xxxxxxxx 2 xxxx. x), x) nebo x).
(7) Xxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti je xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx, které jsou xxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx, xxxxx xx xxxxxxxx xxxxxxxx na xxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx těchto xxxxxxx.
(8) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) zákona xxxxxxx odborné xxxxxxx xxxx, které zastávají xxxxxxxxxxxx xxxx x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 odst. 1 xxxx. x).
§7
Xxxxxxxxx xxxxxxxxxxxxxx požadavků xxx xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxx pravidla xxx dodavatele, která xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx informací, a xxxxxxxx xx u xxxxxxxxxx nebo xxxxxx xxxx, xxxxx xx xxxxxxxx xx xxxxxxx, xxxxxxx xxxx zajištění xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx systému kritické xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx informačního xxxxxxx. Xxxxxx zapojení xxxxxxxxxx xx rozvoji, xxxxxxx xxxx zajištění bezpečnosti xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxxxxx, xxxxx součástí xx xxxxxxxxxx o xxxxxxxxxxx xxxxxxxxx.
(2) Orgán x osoba uvedená x §3 xxxx. x) x x) xxxxxx x dodavatelů xxxxxxxxx v xxxxxxxx 1 xxxx
x) xxxx xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx rizik podle přílohy č. 2 x této xxxxxxxx, xxxxx xxxx xxxxxxx s xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxx x xxxxxx xxxxxx, xxxxx xxxxxxx způsoby x xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx x xxxx xxxxx vzájemné xxxxxxx odpovědnosti za xxxxxxxx a kontrolu xxxxxxxxxxxxxx opatření, x
x) xxxxxxx pravidelné hodnocení xxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxxxxx bezpečnostních xxxxxxxx u poskytovaných xxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxx xx dohodě s xxxxxxxxxxx zajistí jejich xxxxxxxxxx.
§8
Xxxxxx xxxxx
(1) Orgán x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx x xxxxx xxxxxx aktiv
a) xxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxx,
x) určí xxxxxxx xxxxx, kteří xxxx xxxxxxxxx xx primární xxxxxx, x
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx důvěrnosti, xxxxxxxxx a xxxxxxxxxxx x zařadí xx xx xxxxxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxx xxxxx přílohy č. 1 x xxxx xxxxxxxx.
(2) Při xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx je třeba xxxxxxxxx xxxxxxxx
x) xxxxxx x xxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxxxxx,
x) rozsah dotčených xxxxxxxx povinností xxxx xxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx x kontrolních činností,
d) xxxxxxxxx veřejných, obchodních xxxx ekonomických zájmů,
e) xxxxx xxxxxxxx ztráty,
f) xxxxxx narušení xxxxxxx xxxxxxxx xxxxxx x xxxxx uvedené x §3 písm. x) xx e) xxxxxx,
x) xxxxxx spojené s xxxxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti x
x) xxxxxx xx xxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx xxxxx xxxxxxx.
(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx dále
a) xxxxxxxxxxxx x eviduje xxxxxxxx xxxxxx,
x) xxxx xxxxxxx aktiv, kteří xxxx xxxxxxxxx xx xxxxxxxx xxxxxx, a
c) xxxx xxxxx xxxx xxxxxxxxxx a podpůrnými xxxxxx a xxxxxxx xxxxxxxx závislostí mezi xxxxxxxxxx a xxxxxxxxxx xxxxxx.
(4) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxx
x) xxxxxxx xxxxxxxx xxxxxxx, xxxxx pro xxxxxxxxxxx xxxxxxxxxxxx úrovní xxxxx xxx, xx
1. xxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxx xxxxxxxx xxx xxxxxxxxxx x evidenci x xxxxxx xxxxx xxxxxx aktiv, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxx xxxxx x
3. xxxxxxx přípustné xxxxxxx xxxxxxxxx xxxxx,
x) xxxxxx pravidla ochrany xxxxxxxxxxxx xxxxxx aktiv x
x) xxxx způsoby xxx xxxxxxxxxx smazání xxxx ničení technických xxxxxx xxx x xxxxxxx xx xxxxxx xxxxx.
§9
Xxxxxxxxxx xxxxxxxx zdrojů
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) zákona x xxxxx xxxxxx bezpečnosti xxxxxxxx xxxxxx
x) stanoví xxxx xxxxxxx bezpečnostního xxxxxxxx, xxxxx obsahuje xxxxx, xxxxx x xxxxxx potřebných školení x xxxx osoby xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, které jsou x plánu xxxxxxx,
x) x souladu s xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx zajistí xxxxxxx xxxxxxxxx, administrátorů a xxxx zastávajících xxxxxxxxxxxx xxxx x xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx a xxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role x
x) xxxxxxx vrácení xxxxxxxxx xxxxx x xxxxxxxx přístupových xxxxxxxxx xxx xxxxxxxx smluvního xxxxxx s xxxxxxxxx, xxxxxxxxxxxxxx nebo xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
(2) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxx x školení xxxxx xxxxxxxx 1 xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxx a xxxxxx xxxx, xxxxx školení xxxxxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) x x) xxxxxx xxxx
x) xxxxxxx xxxxxxxx xxx xxxxxx xxxx, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx role, xxxx xxxxxxxxxxxxxx nebo xxxxxxxxx,
x) xxxxxxx xxxxxxxx plánu xxxxxxx xxxxxxxxxxxxxx povědomí, xxxxxxxxxxx xxxxxxx a xxxxxxx činností xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxx xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxx porušení xxxxxxxxxxx bezpečnostních xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx bezpečnostní xxxx x
x) zajistí xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx postavení xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
§10
Řízení xxxxxxx x xxxxxxxxxx
(1) Orgán x xxxxx uvedená v §3 xxxx. x) xx x) xxxxxx x xxxxx řízení xxxxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx x §21 xx 23 xxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxxxxxxxxx vyhodnocuje xxxxxxx xxxxxxxxx x na xxxxxxxx nedostatky xxxxxxx x xxxxxxx s §13.
(2) Xxxxx x xxxxx xxxxxxx v §3 písm. x) xx e) xxxxxx x rámci xxxxxx xxxxxxx x xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xx xxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx.
(3) Xxxxxxxx xxxxxxxx a xxxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. c) a x) zákona xxxxxxxx
x) xxxxx x xxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx a xxxxxxxxx,
x) xxxxxxx xxx xxxxxxxx a xxxxxxxx xxxxx systému, pro xxxxxxx xxxx obnovení xxxxx xxxxxxx xx xxxxxxx x xxx xxxxxxxx chybových xxxxx xxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxx xxxxxxx xxxxxxxx k xxxxxxxx x xxxxxx xxxxxxxxxx,
x) xxxxxxx xx xxxxxxxxx xxxxx, které jsou xxxxxx xxxx xxxxxxx xxx řešení xxxxxxxxxxxxx xxxxxxxxxxx xxxx technických xxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxxxx provozních xxxx x
x) xxxxxxx xxx sledování, xxxxxxxxx x xxxxxx kapacity xxxxxxxx a xxxxxxxxxxx xxxxxx.
(4) Xxxxxx xxxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx spočívá x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x prověřování xxxxxxxxxxxxx xxxxxxxxxxx xxxxx.
(5) Xxxxxx xxxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxx v
a) xxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) xxxxxx reaktivních xxxxxxxx xxxxxxxx Úřadem xxx, že orgán x osoba xxxxxxx x §3 písm. x) x x) xxxxxx
1. posoudí xxxxxxxxx xxxxxx reaktivního xxxxxxxx xx xxxxxxxxxx systém xxxxxxxx informační xxxxxxxxxxxxxx xxxx komunikační xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x na xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxx negativní xxxxxx x xxx zbytečného xxxxxxx xx oznámí Xxxxx a
2. xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxx, x xxxx xxxxxx plán xxxx xxxxxxxxx.
(6) Xxxxx a xxxxx uvedená v §3 xxxx. x) x x) zákona x rámci řízení xxxxxxxxxx
x) zajišťuje bezpečnost x xxxxxxxxx xxxxxxxxxxxxx xxxx x xxxxxxxxxx xxxxxxxxxxxxx služeb xxxxx §17,
x) xxxx xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxx, které xxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxx xx základě xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx xx současného zajištění xxxxxxxxxxx informací a xxxx xxxxxxxx xxxxxxxxxxx x
x) x xxxxxxx xx klasifikaci aktiv xxxxxxx výměnu x xxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxx smluv, xxxxxxx xxxxxxxx xx xxxxxxxxxx o bezpečnosti xxxxxxxxx.
§11
Xxxxxx xxxxxxxx x xxxxxxxx xxxxxxx uživatelů
(1) Xxxxx a osoba xxxxxxx x §3 xxxx. x) až x) xxxxxx na xxxxxxx xxxxxxxxxx a xxxxxxxxxxxxxx potřeb xxxx xxxxxxx x informačnímu xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačnímu xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x významnému informačnímu xxxxxxx x xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx.
(2) Orgán a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxx opatření, která xxxxxx x xxxxxxxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx uživatelů x xxxxxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx systému xxxxx §18 x 19, x která xxxxx ve xxxxxxxx xxxxxx xxxxx neoprávněnou xxxxxx.
(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxx x xxxxx xxxxxx přístupu
a) xxxxxxx xxxxxxxxxxxxx aplikacím xxxxxxxxxx xxxxxxxxxxxxx,
x) omezí xxxxxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx,
x) provádí pravidelné xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx rozdělení xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxx,
x) xxxxxxx xxxxxxx xxx ověřování identity xxxxxxxxx podle §18 x xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §19 x
x) xxxxxx bezpečnostní xxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxx i bezpečnostní xxxxxxxx xxxxxxx x xxxxxxxx technických zařízení, xxxxxxx xxxxx a xxxxx uvedená x §3 xxxx. x) x x) zákona xxxxxxxxxxx.
§12
Akvizice, vývoj x xxxxxx
(1) Orgán x xxxxx xxxxxxx v §3 xxxx. c) xx e) zákona xxxxxxx xxxxxxxxxxxx požadavky xx změny informačního xxxxxxx kritické informační xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx informační infrastruktury xxxx významného xxxxxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxx, vývojem x xxxxxxx x xxxxxx xx do xxxxxxxx akvizice, xxxxxx x údržby xxxxxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. c) a x) zákona dále
a) xxxxxxxxxxxx, xxxxxxx x xxxx xxxxxx xxxxxxxxxxx x xxxxxxxx, xxxxxxx x údržbou informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx; xxx xxxxxxx xxxxxxxxx x xxxxxx xxxxx xx metodiky xxxxx §4 xxxx. 1 písm. a) xxxxxxx xxxxxxx,
x) zajistí xxxxxxxxxx xxxxxxxxxx prostředí x zajistí xxxxxxx xxxxxxxxxxx testovacích xxx x
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx jejich xxxxxxxxx xx xxxxxxx.
§13
Xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx xxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx, která zajistí xxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x informačního xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx informačního xxxxxxx xx xxxxxx xxxxxxxxx, administrátorů a xxxx xxxxxxxxxxxxx bezpečnostní xxxx x x xxxxxxxxxx vede záznamy,
b) xxxxxxxx prostředí xxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí a xxxxxxxxxxxxxx bezpečnostních xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx §21 xx 23, xxxxxxx jejich xxxxxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx incidenty,
c) xxxxxxx xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, přijímá xxxxxxxx xxx odvrácení x xxxxxxxx dopadu xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §32 a xxxxxxx xxxx věrohodných podkladů xxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx,
x) xxxxxxxx x xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a xx xxxxxxx xxxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxx opatření x xxxxxxxx opakování xxxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
§14
Xxxxxx kontinuity činností
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona x xxxxx xxxxxx xxxxxxxxxx xxxxxxxx stanoví
a) práva x povinnosti xxxxxxx xxxxx, administrátorů x xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) cíle xxxxxx xxxxxxxxxx činností formou xxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx, která xx přijatelná pro xxxxxxx, provoz x xxxxxx informačního xxxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx systému,
2. xxxx obnovení xxxxx, xxxxx xxxxx bude xx kybernetickém bezpečnostním xxxxxxxxx obnovena minimální xxxxxx poskytovaných služeb xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx, x
3. xxxx xxxxxxxx dat xxxx termínu, xx xxxxxxx budou obnovena xxxx po kybernetickém xxxxxxxxxxxxx xxxxxxxxx, x
x) xxxxxxxxx xxxxxx kontinuity xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx b).
(2) Xxxxx x xxxxx uvedená x §3 písm. x) x x) xxxxxx xxxx
x) xxxxxxxxx x xxxxxxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx x xxxxxxx xxxxx xxxxxx související x xxxxxxxxx kontinuity xxxxxxxx,
x) xxxxxxx, aktualizuje x xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxx činností xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) realizuje xxxxxxxx pro xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x využívá xxxxxxx pro zajišťování xxxxxx dostupnosti podle §26 x
x) xxxxxxx x xxxxxxxxxxx postupy xxx xxxxxxxxx xxxxxxxx xxxxxxxx Úřadem podle §13 a 14 xxxxxx, xx xxxxxxx xxxxxxxx
1. xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxx xxxxxxxx,
2. xxxx dotčených xxxxxxxxxxxxxx xxxxxxxx x
3. xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx dopadů xx xxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§15
Xxxxxxxx x xxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významných xxxxxxxxxxxx xxxxxxx
(1) Xxxxx a xxxxx uvedená v §3 xxxx. x) xx x) zákona x xxxxx xxxxxxxx x xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx (xxxx jen "xxxxx xxxxxxxxxxxx xxxxxxxxxxx")
x) xxxxxxxx xxxxxx bezpečnostních xxxxxxxx x xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxxx xx x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému x určí xxxxxxxx xxx jeho prosazování x
x) provádí a xxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx bezpečnostní politiky x xxxxxxxx xxxxxx xxxxxxx xxxxxxxx v xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x plánu xxxxxxxx xxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxxxx provedení xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxxx xxxxx §6 xxxx. 6, která xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx v §3 písm. c) x d) zákona xxxx xxx informační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx automatizovaných xxxxxxxx x jejich xxxxxxx xxxxxxxxxxx x reaguje xx zjištěné zranitelnosti.
XXXXX XX
XXXXXXXXX XXXXXXXX
§16
Xxxxxxx xxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx x xxxxx xxxxxxx xxxxxxxxxxx
x) přijme xxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxxxx xx xxxxxxxxxx xxxxxxx, xxx xxxx zpracovávány xxxxxxxxx x umístěna xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx informačního xxxxxxx,
x) xxxxxx nezbytná xxxxxxxx x xxxxxxxx xxxxxxxxx x xxxxxxx xx xxxxxxxxxx prostor, xxx xxxx uchovány xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx informačního xxxxxxx, x
x) předchází xxxxxxxxx, xxxxxxx xxxx xxxxxxxx xxxxx nebo xxxxxxxxx xxxxxxxxxxx služeb xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx informačního xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx uplatňuje xxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxx xxxxxxxxx xxxxxxx na xxxxxx xxxxxxx x
x) xxx xxxxxxxxx ochrany x xxxxx xxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxx, xx xxxxxxx xxxx umístěna xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.
(3) Xxxxxxxxxx fyzické xxxxxxxxxxx xxxx zejména
a) xxxxxxxxxx zábranné prostředky,
b) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxx působení xxxxxxx xxxxxxxxx událostí,
e) xxxxxxx xxx xxxxxxxx xxxxxx,
x) xxxxxxxx xxxxxxx,
x) xxxxxxxx xxx xxxxxxxxx ochrany xxxx selháním xxxxxxx xxxxxxxxxxxx napájení x
x) xxxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxx.
§17
Xxxxxxx xxx ochranu xxxxxxxxx xxxxxxxxxxxxx xxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) zákona xxx xxxxxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx sítě, xxxxx xxxx pod xxxxxxx xxxxxx xxxx xxxxx, a vnitřní xxxxxxxxxxx xxxx, xxxxx xx pod xxxxxxx xxxxxx xxxx xxxxx, xxxxxx
x) řízení xxxxxxxxxx xxxxxxxx xxxx xxxxxx x vnitřní xxxx,
x) xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxxxxxx xxx jako xxxxxxxxxxx xxxx sítě xxxxxxxxxxx xx zvýšení xxxxxxxxxxx aplikací xxxxxxxxxx x xxxxxx xxxx x k xxxxxxxx xxxxx xxxxxxxxxx xxxxxxx xxxx s vnější xxxx,
x) xxxxxxxxxxxxxx xxxxxxxxxx (§25) xxx vzdálený xxxxxxx, xxxxxxxxx xxxxxx xxxx xxx xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x
x) opatření xxx xxxxxxxxxx nebo xxxxxxxxx xxxxxxxxxxx xxx, které xxxxxxxxxxxx xxxxxxxxxx xx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx využívá xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxx komunikační xxxx, xxxxx xxxxxxx xxxx xxxxxxxxxx.
§18
Xxxxxxx pro xxxxxxxxx xxxxxxxx xxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 písm. x) až x) xxxxxx xxxxxxx xxxxxxxx xxx ověření identity xxxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx systému.
(2) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx xxxx zahájením xxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxx informačním xxxxxxx.
(3) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxx xxxxxxx xxxxxxxxxxx xxxxx xxxxxx, xxxxxxxxx
x) xxxxxxxxx xxxxx xxxxx xxx znaků,
b) xxxxxxxxx xxxxxxxxx hesla xxx, xx heslo xxxx xxxxxxxxx xxxxxxx 3 x xxxxxxxxxxxxx xxxx xxxxxxxxx
1. xxxxxxx xxxxx xxxxx xxxxxxx,
2. xxxxxxx xxxxx xxxx xxxxxxx,
3. xxxxxxx jednu číslici, xxxx
4. nejméně xxxxx xxxxxxxxx xxxx xxxxxxx xx xxxxxxxxx xxxxxxxxx x bodech 1 xx 3,
x) xxxxxxxxx xxxx pro xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxxx xxx dnů; xxxxx xxxxxxxxx xxxx xxxxxxxxx xxx samostatné xxxxxxxxxxxxxx xxxxxxxx.
(4) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) zákona xxxx
x) xxxxxxx xxxxxxx xxx ověření xxxxxxxx, xxxxx
1. xxxxxx xxxxxxxxxx xxxxxxxxx dříve xxxxxxxxxxx xxxxx x xxxxxxxx xxxx změn hesla xxxxxxx xxxxxxxxx během xxxxxxxxxxx xxxxxx, které xxxx xxx xxxxxxx 24 hodin, x
2. xxxxxxx opětovné xxxxxxx xxxxxxxx xx xxxxxx xxxx nečinnosti a
b) xxxxxxx nástroj pro xxxxxxxxx xxxxxxxx administrátorů. X xxxxxxx, xx xxxxx xxxxxxx využívá xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxxxx xxxxxxxxx délky xxxxx xxxxxxx xxxxx xxx xxxxxxxx xxxxxxxxx xxxxx odstavce 3 xxxx. x) x x).
(5) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxx být xxxxxxxx x xxxxxx způsoby, xxx xxxx xxxx xxxxxxxxx x xxxxxxxxxx 3 až 5, xxxxx xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxxxx xxxxxx xxxxxxxxx xxxxx.
§19
Xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx nástroj xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, kterým xxxxxxx xxxxxx xxxxxxxxx
x) pro xxxxxxx x xxxxxxxxxxx xxxxxxxxx a xxxxx x
x) xxx xxxxx xxx, xxx xxxxx xxx x xxx xxxxx xxxxxxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxx xxxxxxx xxxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxx, který xxxxxxxxxxx xxxxxxx přístupových xxxxxxxxx x souladu x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx.
§20
Xxxxxxx pro xxxxxxx xxxx xxxxxxxxx xxxxx
Xxxxx x osoba xxxxxxx x §3 xxxx. x) až x) xxxxxx xxx řízení xxxxx spojených x xxxxxxxxx škodlivého xxxx xxxxxxx nástroj xxx xxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx škodlivým xxxxx, xxxxx xxxxxxx ověření x stálou xxxxxxxx
x) xxxxxxxxxx xxxx xxxxxxx xxxx x xxxxxx xxxx,
x) xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxx x
x) pracovních xxxxxx,
xxxxxxx xxxxxxx xxxxxxxxxxx a xxxxxxx xxxxxxxxxxx xxxxxxxx xxx ochranu xxxx xxxxxxxxx kódem, jeho xxxxxxx a xxxxxxxx.
§21
Xxxxxxx xxx zaznamenávání xxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systémů, jejich xxxxxxxxx x xxxxxxxxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxxx xxxxxxx pro xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačního xxxxxxx, xxxxx zajistí
a) xxxx xxxxxxxxx o xxxxxxxxxx x bezpečnostních xxxxxxxxxx, xxxxxxx xxx xxxxxxxx, xxxxx x xxx, xxxxxxxxxxxx technického xxxxxx, xxxxx xxxxxxx xxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx a xxxxx xxxxxxxx x xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx x
x) ochranu xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxx xxxxxx xxxx xxxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxx xxxxxx nástroje xxx zaznamenávání činnosti xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxxxxxx x xxxxxxxxx xxxxxxxxx x administrátorů,
b) xxxxxxxx xxxxxxxxx administrátory,
c) xxxxxxxx xxxxxxx xx xxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx činností x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x další xxxxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxx a xxxxxxxx xxxxxxxx technických xxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významného xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxx xxxx xxxxxxx xxxxxxx xxxxxxxxxxx xxxxx,
x) xxxxxxxx k xxxxxxxx x xxxxxxxxxx, xxxxxx x xxxxxxxxxx xx xxxxxxx x činnostech x xxxxx nastavení xxxxxxxx xxx zaznamenávání xxxxxxxx a
h) xxxxxxx xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxx včetně xxxxx xxxxx, xxxxx xxxxxx x přihlášení.
(3) Xxxxx x osoba uvedená x §3 xxxx. x) x x) xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx podle xxxxxxxx 2 xxxxxxxx xxxxxxx xx xxxx 3 xxxxxx.
(4) Xxxxx x xxxxx uvedená x §3 písm. x) xx x) xxxxxx xxxxxxxxx xxxxxxx xxxxxx xx 24 xxxxx xxxxxxxxxxxxx jednotného xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx.
§22
Xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) až x) zákona xxxxxxx xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx vychází xx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx hodnocení xxxxx x xxxxx xxxxxxx xxxxxxx, kontrolu x xxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxx x xxxxxx xxxx.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx dále xxxxxxx xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxxxx zajistí ověření, xxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxx
x) v xxxxx xxxxxxx xxxxxxxxxxx xxxx x
x) xxxxxxx xxxxxxxxx xx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§23
Xxxxxxx xxx sběr x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí
(1) Xxxxx x osoba uvedená x §3 xxxx. x) x x) xxxxxx xxxxxxx xxxxxxx xxx xxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, který x souladu s xxxxxxxxxxxxxx potřebami a xxxxxxxx xxxxxxxxx xxxxx xxxxxxx
x) xxxxxxxxxxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury,
b) xxxxxxxxxxx xxxxxxxxx xxx xxxxxx xxxxxxxxxxxx role x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x informačním xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx krit é xxxxxxxxxx infrastruktury a
c) xxxxxxxxxxx vyhodnocování kybernetických xxxxxxxxxxxxxx xxxxxxxx s xxxxx identifikace xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, včetně xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxx.
(2) Orgán x osoba uvedená x §3 xxxx. x) x x) xxxxxx xxxx zajistí
a) xxxxxxxxxxx aktualizaci xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x včasné xxxxxxxx, xxx xxxx xxxxxxxxx xxxxxxx nesprávného xxxxxxxxxxx xxxxxxxx xxxx případy xxxxxxxxx xxxxxxxx, x
x) xxxxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxxxx nástrojem xxx xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§24
Aplikační xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až e) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx aplikací, xxxxx xxxx xxxxxxxxx x xxxxxx xxxx, x xx před xxxxxx uvedením do xxxxxxx a xx xxxxx xxxxxxx xxxxx xxxxxxxxxxxxxx xxxxxxxxxx.
(2) Orgán x osoba uvedená x §3 písm. x) x x) xxxxxx xxxx v xxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx trvalou xxxxxxx
x) xxxxxxxx x xxxxxxxxx xxxxxxxxxx x xxxxxx xxxx xxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxx provedených xxxxxxxx, xxxxxxxxxxxx nebo xxxxxxxxxxxxxxx změnou x
x) xxxxxxxxx xxxx xxxxxx xxxxxxxxxxxx, nesprávným xxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxxxxxx duplikováním xxxx xxxxxxxxxx.
§25
Kryptografické xxxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) až x) xxxxxx
x) xxx xxxxxxxxx xxxxxxxxxxxxxx ochrany stanoví
1. xxxxxx ochrany x xxxxxxx xx xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx x
2. xxxxxxxx xxxxxxxxxxxxxx ochrany xxxxxxxxx xxx přenosu po xxxxxxxxxxxxx xxxxxx xxxx xxx xxxxxxx xx xxxxxxx xxxxxxxx nebo xxxxxxxxxxx xxxxxxxxx nosiče xxx a
b) x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxxx xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxx xxx x průkaznou xxxxxxxxxxxx xxxxx za xxxxxxxxx xxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxx xxx xxxxxxxxx kryptografických xxxxxxxxxx xxxxxx xxxxxx klíčů, xxxxx xxxxxxx xxxxxxxxxx, xxxxxxxxxx, ukládání, xxxxxxxxx, xxxxx, xxxxxx, xxxxxxxx x xxxxx klíčů, x
x) xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx klíče; x xxxxxxx xxxxxxxxx s xxxxxxxxxxx xxxxxxxxx na xxxxxxxxxxxxxx algoritmy xxxxxxxxx x příloze č. 3 x xxxx vyhlášce xxxx xxxxxx xxxxxxx x xxxxx nesouladem.
§26
Nástroj xxx xxxxxxxxxxx xxxxxx dostupnosti
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx x xxxxxxx x xxxxxxxxxxxxxx potřebami x výsledky hodnocení xxxxx používá xxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx informací.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxxxxxx nástroj xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxx xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx xxxxx xxxxxx xxxxxxxxxx, x
x) xxxxxxxxxx xxxxxxxxxx technických xxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx
1. xxxxxxxx xxxxxxxxxx x návrhu xxxxxx a
2. xxxxxxxxxx xxxxxxxxxx technických xxxxx x xxxxxxx xxxx.
§27
Xxxxxxxxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxx
Xxxxx x xxxxx uvedená x §3 xxxx. c) x x) xxxxxx xxx xxxxxxxxxx průmyslových x xxxxxxxx xxxxxxx, xxxxx xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxx xxxxxx součástí, xxxxxxx xxxxxxxx, které zajistí
a) xxxxxxx xxxxxxxxx xxxxxxxx x xxxx x xxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx,
x) omezení xxxxxxxxx x xxxxxxxxxx xxxxxxxx x xxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx,
x) xxxxxxx jednotlivých xxxxxxxxxxx xxxxx průmyslových x xxxxxxxx systémů xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx průmyslových x xxxxxxxx xxxxxxx po xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu.
XXXXX XXX
XXXXXXXXXXXX XXXXXXXXXXX
§28
Xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) x d) xxxxxx xxxx x xxxxxxxxxxx xxxxxxxxxxxx dokumentaci, xxxxx xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxx xxxxx §5 xxxx. 1,
x) zprávy z xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §3 xxxx. 1 xxxx. f),
c) xxxxxx z xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxx §3 xxxx. 1 xxxx. x),
x) metodiku xxx xxxxxxxxxxxx a hodnocení xxxxx x pro xxxxxxxxxxxx x hodnocení xxxxx,
x) zprávu o xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxxxx x xxxxxxxxxxxxxxxx,
x) xxxx zvládání xxxxx,
x) plán rozvoje xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 xxxx. a),
i) zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. x),
x) xxxxxxxxx řízení xxxxxxxxxx činností xxxxx §14 xxxx. 1 xxxx. x) a
k) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx předpisů a xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxx §15 xxxx. 1 xxxx. x).
(2) Xxxxx x xxxxx uvedená x §3 písm. x) xxxxxx xxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx obsahuje
a) xxxxxxxxxxxx politiku xxxxx §5 odst. 2,
b) xxxxxxxx pro xxxxxxxxxxxx x hodnocení xxxxx x pro xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxx §4 xxxx. 2 xxxx. a),
c) xxxxxx x hodnocení xxxxx x rizik xxxxx §4 odst. 2 xxxx. x) x x),
x) xxxxxxxxxx x aplikovatelnosti xxxxx §4 xxxx. 2 xxxx. x),
x) plán xxxxxxxx rizik xxxxx §4 xxxx. 2 xxxx. e),
f) xxxx xxxxxxx xxxxxxxxxxxxxx povědomí xxxxx §9 odst. 1 xxxx. x),
x) xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. x),
x) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxx §14 xxxx. 1 písm. x) x
x) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx předpisů x jiných xxxxxxxx x smluvních závazků xxxxx §15 odst. 1 xxxx. x).
(3) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) xx x) zákona vede xxxxxxxxxxxx xxxxxxxxxxx xxx, xxx záznamy x xxxxxxxxxxx činnostech xxxx xxxxx, čitelné, xxxxxx xxxxxxxxxxxxxxxxx a xxx xx xxxx xxxxxx xxxxxxxx. Xxxxxxxx xxxxxxxx x identifikaci, uložení, xxxxxxx, xxxxxxxxx, době xxxxxxxxx x xxxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxx v příloze č. 4 x této xxxxxxxx.
§29
Prokázání xxxxxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 písm. c) xx x) zákona, xxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxx xxxxxx kritické xxxxxxxxxx infrastruktury nebo xxxxxxxx informační systém xx zcela zahrnut xx rozsahu xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxx xxx xxxxxxxxxxxx xxxxx příslušné technické xxxxx1) xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx, x xxxxx xxxx xxxxxxxxx xxxxxxxxxx
x) xxxxx xxxxxxx systému xxxxxx xxxxxxxxxxx informací,
b) xxxxxxxxxx xxxxxxxx a xxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxx metody hodnocení xxxxx x xxxxxx x xxxxxxxxx xxxxx,
x) xxxxxxxxxx x aplikovatelnosti,
e) xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací xxxxxxxxx xxxxxxxxx příslušné xxxxxxxxx xxxxx xxxxxxxxxx se xxxxxxxxxxx xxxxxxxxx1),
x) xxxxxx x přezkoumání systému xxxxxx bezpečnosti informací xxxxxx xxxxxxxxxxxxx xxxxxx x výstupů přezkoumání x
x) xxxxxx x xxxxxx xxxxxxxxxxx certifikačním xxxxxxx včetně xxxxxxxxxxx xxxxxxx o xxxxxxx xxxxxxxxxx xxxxxx s xxxxxxxxxx normou,
splňuje požadavky xx zavedení xxxxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx x xxxx xxxxxxxx.
XXXX TŘETÍ
KYBERNETICKÝ BEZPEČNOSTNÍ XXXXXXXX
§30
Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Podle příčiny xxxx kybernetické xxxxxxxxxxxx xxxxxxxxx rozděleny xx xxxxxxxxxxxxx xxxx
x) kybernetický xxxxxxxxxxxx incident způsobený xxxxxxxxxxxxx xxxxxx xxxx xxxxx xxxxxxxx vedoucí x xxxxxxx xx xxxxxxx xxxx x xxxxxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx xxxxxxxxxx technických xxxxxxxx,
x) kybernetický bezpečnostní xxxxxxxx xxxxxxxxx porušením xxxxxxxxxxxxx opatření,
e) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx x projevem trvale xxxxxxxxxx xxxxxx x
x) xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx.
(2) Podle dopadu xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx rozděleny xx xxxxxxxxxxxxx typů
a) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobující xxxxxxxx xxxxxxxxxxx xxxxx, nebo
d) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx x písmenech x) xx x).
§31
Kategorie kybernetických xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxx xxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xx xxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxx xx xxxxxxxxxxxxx kategorií
a) Xxxxxxxxx XXX - velmi xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx kterém xx přímo x xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x xxx, xx xxxx xxx xxxxx dostupnými prostředky xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace vzniklých x potenciálních xxxx.
x) Xxxxxxxxx XX - xxxxxxx kybernetický bezpečnostní xxxxxxxx, při xxxxxx xx narušena bezpečnost xxxxxxxxxxxxx služeb nebo xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx zásahy xxxxxxx s xxx, xx xxxx být xxxxxxxx prostředky xxxxxxxxx xxxxxxx šíření xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
x) Xxxxxxxxx X - xxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xxxxxxx k xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho xxxxxx xxxxxxxx xxxxxx xxxxxxx x xxx, že xxxx být xxxxxxxx xxxxxxxxxx xxxxxxx další xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
(2) Xxxxx x xxxxx uvedená x §3 písm. x) až x) xxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx
x) důležitost xxxxxxxxx xxxxx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) dopady na xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) dopady xx xxxxxx xxxxxxxxxxx jinými xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x
x) xxxxxxxxxxxxx xxxxx x xxxxx xxxxxx.
§32
Forma a xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx
x) x xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxx
1. xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
2. xxxxxx na xxxxxx xxxxxxxxxxxx xxxxx Úřadu xxxxxx pro příjem xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
3. xxxxxx zprávy do xxxxxx schránky Xxxxx, xxxx
4. xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx rozhraní, xxxxx xxxxx xx zveřejněn xx internetových xxxxxxxxx Xxxxx, anebo
b) v xxxxxxxx podobě xx xxxxxx Xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti, xxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxx v xxxxxxxx podobě xx xxxxxx xxxxx x xxxxxxxxx, kdy xxxxx xxxxxx xxxxx ze xxxxxxx uvedených x xxxxxxxx 1 xxxx. x).
(3) Xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxx xxxxxxx v příloze č. 5 x xxxx xxxxxxxx.
ČÁST XXXXXX
XXXXXXXXX XXXXXXXX X KONTAKTNÍ ÚDAJE
§33
Reaktivní xxxxxxxx
Xxxxx x osoba xxxxxxx v §3 xxxx. c) xx x) xxxxxx oznámí xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx výsledek xx formuláři, jehož xxxx je xxxxxx x příloze č. 6 x xxxx xxxxxxxx.
§34
Kontaktní údaje
Orgán x xxxxx xxxxxxx x §3 xxxxxx xxxxxxxx xxxxxxxxx údaje xx xxxxxxxxx, xxxxx xxxx xx uveden v příloze č. 7 x této xxxxxxxx. Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) zákona xxxxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxx x §32 odst. 1 xxxx. x).
ČÁST XXXX
XXXXXXXX
§35
Xxxx xxxxxxxx xxxxxx xxxxxxxxx xxxx 1. xxxxx 2015.
Ředitel:
Ing. Xxxxxxxx v. r.
Xxxxxxx č. 1 x xxxxxxxx č. 316/2014 Sb.
Hodnocení x xxxxxx xxxxxxxxxxx aktiv
Pro xxxxxxxxx důležitosti aktiv xxxx xxxxxxx stupnice x čtyřech xxxxxxxx. Xxxxx xxxx osoba xxxxxxx x §3 xxxx. x) až x) xxxxxx může xxxxxxxx xxxxxxx počet xxxxxx xxx hodnocení xxxxxxxxxxx xxxxx, než xxxx xx uveden x této příloze, xxxxxx-xx xxxxxxxxxxx vazby xxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx x xxxxxxxx xxx xxxxxxxxx důležitosti aktiv, xxxxx xxxx uvedeny x xxxx xxxxxxx.
X xxxxxxx xxxxxxx xxx xxxxxx hodnocení xxxxxxxxxxx xxxxx xx xxxxxxxxx xxxxxxx xxx úrovně xxxxx x xxxxxxx, xxxx xxxxxx xxxxxx x xxxxxxxx.
Xxxxxxxx xxx xxxxxxxxx důvěrnosti
|
Úroveň |
Popis |
Ochrana |
|
Nízká |
Aktiva xxxx xxxxxxx xxxxxxxxx nebo xxxx xxxxxx xx xxxxxxxxxx (např. xx xxxxxxx zákona č. 106/1999 Sb., x xxxxxxxxx xxxxxxxx x xxxxxxxxxx, ve xxxxx pozdějších xxxxxxxx). Xxxxxxxx xxxxxxxxxx aktiv xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx. |
Xxxx vyžadována xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx x xxxxx xxxx-xxx orgánu x osoby xxxxxxx x §3 písm. x) xx x) xxxxxx, xxxxxxx xxxxx xxxx xxxxxxxxxx žádným xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxxxxx. |
Xxx ochranu xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxx xxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxx nejsou veřejně xxxxxxxxx x xxxxxx xxxxxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxx, jinými xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx (xxxx. xxxxxxxx xxxxxxxxx xxxxx zákona č. 89/2012 Sb., občanský xxxxxxx, xxxxxx údaje xxxxx xxxxxx č. 101/2000 Sb., x xxxxxxx xxxxxxxx xxxxx, xx znění xxxxxxxxxx xxxxxxxx). |
Xxx ochranu xxxxxxxxxx xxxx využívány xxxxxxxxxx, xxxxx xxxxxxx xxxxxx x zaznamenávání xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxx xxx rámec xxxxxxxxx xxxxxxxxx (xxxx. xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxx xxxxx). |
Xxx xxxxxxx xxxxxxxxxx xx xxxxxxxxxx xxxxxxxx xxxx, které x xxxxxxx přistoupily, x xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xx xxxxxx administrátorů. Xxxxxxx informací xxxx xxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx nevyžaduje xxxxxxx x hlediska integrity. Xxxxxxxx integrity xxxxxx xxxxxxxxxx xxxxxxxxx zájmy xxxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx může xxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx aktiva xxxx xxxx x poškození xxxxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxx se xxxxxxxx xxxx xxxxxxxxx xxxxxx na xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx (např. xxxxxxx xxxxxxxxxxxx xxxx pro xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx xxxxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx orgánu x xxxxx uvedené x §3 xxxx. x) xx e) xxxxxx s xxxxxxxxxxx xxxxxx xx primární xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx, které dovolují xxxxxxxx historii xxxxxxxxxxx xxxx a xxxxxxxxxx xxxxxxxx osoby xxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx informací xxxxxxxxxxx vnějšími komunikačními sítěmi xx zajištěna xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx vyžaduje xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxx k velmi xxxxxxx poškození xxxxxxxxxxx xxxxx orgánu x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona x přímými a xxxxx xxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx jsou xxxxxxxxx xxxxxxxxx prostředky xxxxxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (např. xxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx). |
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxx a v xxxxxxx výpadku xx xxxxx xxxxxxxxxx xxxxx xxxxxx období xxx xxxxxxx (xxx do 1 xxxxx). |
Xxx xxxxxxx xxxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx by nemělo xxxxxxxxx xxxx xxxxxxxxxx xxx, dlouhodobější xxxxxxx xxxx x xxxxxxx xxxxxxxx zájmů orgánu x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx. |
Xxx ochranu xxxxxxxxxxx xxxx využívány xxxxx xxxxxx xxxxxxxxxx x obnovy. |
|
Vysoká |
Narušení xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx xxxx xxxxxxxx hodin. Xxxxxxxx xxxxxxx je xxxxx xxxxx xxxxxxxxxx, xxxxxxx xxxx x xxxxxxx xxxxxxxx xxxxx orgánu x xxxxx uvedené x §3 xxxx. x) xx e) xxxxxx. Xxxxxx jsou xxxxxxxxxx xxxx xxxxx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx systémy x obnova poskytování xxxxxx může xxx xxxxxxxxx xxxxxx xxxxxxx xxxx výměnou technických xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xxxx xxxxxxxxx x x xxxxxxxxxx nedostupnost (x řádu xxxxxxxx xxxxx) xxxx x xxxxxxx xxxxxxxx xxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) až e) xxxxxx. Xxxxxx xxxx xxxxxxxxxx xxxx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx xx xxxxxxxxxx x xxxxxxxxxxxxxx. |
Příloha x. 2 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx xxxxx
Xxxxxxxxx xxxxx je xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxx xxxxx, xxxxxx x xxxxxxxxxxxx.
Xxx xxxxxxxxx xxxxx lze xxxxxx xxxxxxx tuto funkci
riziko = xxxxx x xxxxxx x xxxxxxxxxxxx.
Xxxxxxxxxxx xxxxxx xxxxxx pro xxxxxx rizika je xxxxxxxxx součástí metodiky xxx xxxxxxxxxxxx x xxxxxxxxx xxxxxx
|
Xxxxxxxx pro xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxx xx x xxxxxxxx časovém xxxxxx a xxxxxx xxxxxxx a nesmí xxx xxxxxxxxxxxxx. Xxxxxx případných xxxx nepřesahuje a) 10 xxxxxxxxx osob x xxxxxxxxx hospitalizací po xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx do 5&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx veřejnost x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx nebo xxxxxx závažného zásahu xx každodenního xxxxxx xxxxxxxxxxxxx xxxxxxx 250 xxxx. |
|
Xxxxxxx |
Xxxxx je xxxxxxxxx xxxxxxx x v xxxxxxxx xxxxxxx xxxxxx. Xxxxxx xxxxxxxxxx xxxx se xxxxxxxx x xxxxxxx x) xx 10 xxxxxxx xxxx od 11 xx 100 xxxx x následnou xxxxxxxxxxxxx xx dobu xxxxx xxx 24 xxxxx xxxx x) finanční xxxx xxxxxxxxxx ztráty xx 5&xxxx;000&xxxx;000 Kč xx 50&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx služeb xxxx xxxxxx závažného xxxxxx xx xxxxxxxxxxxx xxxxxx postihujícího od 251 xx 2&xxxx;500 xxxx. |
|
Xxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx, xxx xxxxxx xxxx katastrofický. Rozsah xxxxxxxxxx xxxx se xxxxxxxx x rozmezí a) xx 11 xx 100 xxxxxxx nebo xx 101 xx 1 000 xxxx x xxxxxxxxx hospitalizací po xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx od 50&xxxx;000&xxxx;000 Xx xx 500 000 000 Xx anebo c) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx od 2&xxxx;501 xx 25&xxxx;000 xxxx. |
|
Xxxxxxxx |
Xxxxx xx xxxxxx xxxxxxxx, xxxxxx x katastrofický. Rozsah xxxxxxxxxx xxxx xx xxxxxxxx x xxxxxxx x) 10 x xxxx xxxxxxx x 1 001 x více xxxx x následnou xxxxxxxxxxxxx xx dobu xxxxx než 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxxxxxx 500&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx dopad xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx života postihujícího xxxx xxx 25&xxxx;000 xxxx. |
|
Xxxxxxxx pro xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx neexistuje nebo xx xxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx hrozby xxxx častější xxx xxxxxx za 5 xxx. |
|
Xxxxxxx |
Xxxxxx xx xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx x rozpětí xx 1 roku xx 5 xxx. |
|
Xxxxxx |
Xxxxxx xx pravděpodobná až xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx x xxxxxxx od 1 měsíce do 1 xxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx xxxxxxxxxxxxx až xxxxxxxx xxxxx. Xxxxxxxxxxxxx xxxxxxxxx hrozby je xxxxxxxx xxx xxxxxx xx xxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx zranitelností |
|
|
Úroveň |
Popis |
|
Nízká |
Zranitelnost xxxxxxxxxx xxxx je zneužití xxxxxxxxxxxxx xxxx xxxxxxxxxxxxx. Xxxxxxxx kvalitní xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxx xxxx detekovat xxxxx xxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxx opatření. |
|
Střední |
Zranitelnost je xxxx xxxxxxxxxxxxx až xxxxxxxxxxxxx. Xxxxxxxx kvalitní xxxxxxxxxxxx xxxxxxxx, jejichž xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx. Xxxxxxxxx bezpečnostních xxxxxxxx xxxx xxxxxxxxx xxxxx slabiny xxxx xxxxxxxx xxxxxx x xxxxxxxxx opatření xx xxxxxxx. Xxxxxx xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx xx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxx jejich účinnost xxxxxxxxx všechny potřebné xxxxxxx a není xxxxxxxxxx xxxxxxxxxxxx. Xxxx xxxxx xxxxx úspěšné xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx opatření. |
|
Kritická |
Zranitelnost xx xxxxx pravděpodobná až xx xxxxxxxx xxxxx xxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxx xx xxxxxx xxxxxxxx xxxxxx xxxxxxx. Xxxxxxxxx xxxxxxxx účinnosti xxxxxxxxxxxxxx xxxxxxxx. Xxxx xxxxx xxxxxxx pokusy xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx pro xxxxxxxxx xxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx je xxxxxxxxxx za xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx sníženo xxxx náročnými xxxxxxxxxx xxxx v xxxxxxx xxxxx náročnosti opatření xx xxxxxx přijatelné. |
|
Vysoké |
Riziko xx xxxxxxxxxx xxxxxxxxxxx x musí xxx xxxxxxxx xxxxxxxxxxxx xxxxx x jeho xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxxxxxxxx x xxxx být neprodleně xxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
X xxxxxxx, xx xxxxx xxxx xxxxx uvedená x §3 xxxx. x) xx x) zákona xxxxxxx xxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx, xxxxx xxxxxxxxxxx xxxxxxxxx hrozby x xxxxxxxxxxxxx, xx xxxxx xxxxxxxx xxx hodnocení xxxxxx x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxx xx nemělo xxxx xx ztrátě xxxxxxxxxx xxxxxxxxx míry hrozby x zranitelnosti. Xx xxxxx účelem xxx xxxxxx například komentář, xxxxx xxxxxxxx vyjádří xxx xxxxxx xxxxxx, xxx x xxxxxx xxxxxxxxxxxxx. Xxxxxxx postupuje x orgán xxxx xxxxx xxxxxxx x §3 písm. x) xx x) zákona, xxxxx používá jiný xxxxx úrovní pro xxxxxxxxx dopadů, hrozeb, xxxxxxxxxxxxx a xxxxx.
Xxxxxxx x. 3 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxx
x) Xxxxxxx x xxxxxxxx xxxxx xxx xxxxxxx xxxxxxxxxx x integrity
1. Advanced Xxxxxxxxxx Standard (AES) x xxxxxxxx xxxxx xxxxx 128, 192 x 256 xxxx Xxxxxx Xxxx Xxxxxxxxxx Xxxxxxxx (3XXX) s xxxxxxxx xxxxx xxxxx 168 bitů, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX, xxxxxxxx xxxxxxxxx xx XXX.
2. Xxxxxx Xxxx Xxxxxxxxxx Standard (3DES) x xxxxxxxx xxxxx xxxxx 112 xxxx, xxxxxxx xxxxxxx jen xx xxxxxxxxx xxxxx xxxxxx než 10 XX, xxxxxxxx xxxxxxxxx xx AES. Xxxxxxxxxx xxxxxxx xxxxxxxxxxx klíče xxx každou xxxxxx.
3. Xxxxxxxx s xxxxxxxx xxxxxxxxx xxxxx xxxxx 128 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx klíče xxxxxx xxx 10 XX.
4. Xxxxxx x xxxxxxxx xxxxx xxxxx 128 xxxx, omezené xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX.
5. Xxxxxxx x využitím délky xxxxx 128 xx 256 xxxx.
6. Serpent x xxxxxxxx délky xxxxx 128, 192, 256 xxxx.
7. Xxxxxxxx x xxxxxxxx xxxxx xxxxx 128, 192 x 256 bitů.
8. XXXX 2.0, XXXX 3X x xxxxxxxx xxxxx klíčů 128, 256 bitů.
b) Módy xxxxxxxxx s xxxxxxxx xxxxxxxxx
1. XXX,
2. XXX,
3. XXX,
4. Xxxxxxx xxxxxxxx xxxx "Encrypt-then-MAC".
Poznámka:
Schémata xxxx "Xxxxxxx-xxxx-XXX",xxxx xxxxxxxx x xxxxxxxxx xxxxx xxxxxxx xxxxxxxxx módy x x xxxxxxx XXX xxxxx xxxxxxx xxxx xxx xxxxxxx xxxxxxxxx.
x) Xxxx xxxxxxxxx
1. XXX,
2. XXX,
3. XXX,
4. CFB,
Poznámka:
Módy XXX x XXX xxxx xxx xxxxxxx x xxxxxxxx, pro xxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, při xxxxxxx xxxx OFB xx xxx daný xxxx xxxxx opakovat xxxxxxx xxxxxxxxxxxxxxx xxxxxxx, xxx xxxxxxx módu CTR xx xxx xxxx xxxx nesmí opakovat xxxxxxx čítače, x xxxxxxx xxxxxxx XXX xxxx x xxxxxxxxx xxx xxxxxxx xxxxxxxxx xx xxxxx xxxxxx xxxxxxxx xxxxx útoku xx xxxxxxx XXX xxxx.
x) Xxxx xxx xxxxxxx xxxxxxxxx
1. XXXX,
2. XXX-XXX-X9.19, xxxxxxx xxxxxxx xxx se xxxxxxxxx xxxxxx xxx 109 XXX,
3. CBC-MAC-EMAC,
4. XXXX.
(2) Xxxxxxxxxxx xxxxxxxxx
x) Pro xxxxxxxxxxx digitálního xxxxxxx
1. Xxxxxxx Xxxxxxxxx Xxxxxxxxx (XXX) x využitím xxxxx xxxxx 2048 xxxx x více, xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx 224 xxxx x xxxx.
2. Xxxxxxxx Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxxxxx (XX-XXX) x xxxxxxxx xxxxx xxxxx 224 xxxx x xxxx.
3. Xxxxxx-Xxxxxx-Xxxxxxx Xxxxxxxxxxxx Xxxxxxxxx Xxxxxx (XXX-XXX) x xxxxxxxx xxxxx xxxxx 2048 bitů x více.
b) Pro xxxxxxx xxxxx xx xxxxx x xxxxxxxxx xxxxx
1. Xxxxxx-Xxxxxxx (XX) x xxxxxxxx xxxxx xxxxx 2048 xxxx x xxxx, xxxxx xxxxxxxxx cylické podgrupy 224 xxxx x xxxx.
2. Xxxxxxxx Xxxxx Xxxxxx-Xxxxxxx (XXXX) x xxxxxxxx délky klíčů 224 xxxx x xxxx.
3. Xxxxxxxx Xxxxx Xxxxxxxxxx Xxxxxxxxxx Xxxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (ECIES-KEM) x xxxxxxxx xxxxx xxxxx 256 bitů x xxxx.
4. Xxxxxxxx Xxxxxx Xxxxxxxx Xxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXXX-XXX) x xxxxxxxx xxxxx klíčů 256 xxxx xxxx.
5. Asymetrie Xxxxxxx xxx Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) x xxxxxxxx délky xxxxx 256 xxxx x xxxx.
6. Rivest Xxxxxx Xxxxxxx - Xxxxxxx Xxxxxxxxx Xxxxxxxxxx Xxxxxxx (RSA-OAEP) s xxxxxxxx xxxxx xxxxx 2048 x více.
7. Xxxxxx Xxxxxx Xxxxxxx - Key Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) s xxxxxxxx xxxxx klíčů 2048 x více.
(3) Xxxxxxxxx hash xxxxxx
x) XXX-2
1. XXX-224,
2. XXX-256,
3. XXX-384,
4. XXX-512,
5. XXX-512/224,
6. XXX-512/256.
x) XXX-3
1. SHA3-224,
2. XXX3-256,
3. XXX3-384,
4. XXX3-512,
5. XXXXX-128,
6. XXXXX-256.
x) Ostatní xxxxxxxx xxxxxx
1. Whirpool,
2. XXXXXX-160,
3. XXX 1 x xxxxxxxx xxxxxxxx.
Xxxxxxxx x. 1:
SHA-1 se xxxxx používat pro xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx, časových xxxxxxx, xxxxxxxxx xxxx aplikace xxxxxxxxxx nekolizní XXX-1.
Xxxxxxxx x. 2:
XXX-1 xxx xxxxxxxx xxxxx pro xxxxxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxx, xxxxxxxxxx x ověřování XXXX-XXX1, xxxxxx xxx xxxxxxxxxx xxxxx x xxxxxxxxxxxxx xxxxxxxxxx.
Xxxxxxx x. 4 x xxxxxxxx x. 316/2014 Sb.
Struktura xxxxxxxxxxxx xxxxxxxxxxx
Xxxx xxxxxxx obsahuje xxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxxxx struktury xxxxxxxxxxxx dokumentů xxxxxxxx xxxxxx, která xxxxxxxxxx xxxxxxxxx podle této xxxxxxxx xxxxxxxxx, přičemž xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx x xx xx xxxxxx xxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx, xxxx přístup x xxxxxx bezpečnostní xxxxxxxxxxx xxxxxxx. Xxxxxxxxx xx x změna xxxxx jednotlivých xxxxxxxxx xxxx xxxxxxxxxxx více xxxxx xx xxxxxxx xxxxxxxxx.
X. Xxxxxxxxx bezpečnostní xxxxxxxx
(1) Politika xxxxxxx xxxxxx xxxxxxxxxxx informací*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxx, xxxxxxxx a xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Rozsah a xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxx xxxxxxxxxxx.
x) Pravidla x xxxxxxx pro xxxxxx xxxxxx a xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxx x xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Politika xxxxxxxxxxx xxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxxxxxxxxx xxxx a xxxxxx xxxx x xxxxxxxxxx,
1. xxxxx a xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx bezpečnosti,
2. xxxxx a xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
3. xxxxx a xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
4. xxxxx a xxxxxxxxxx xxxxxxx xxxxx,
5. xxxxx x xxxxxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxx na xxxxxxxx xxxxxx činností xxxxxxxxxxxx bezpečnostních rolí.
(3) Xxxxxxxx xxxxxx xxxxxxxxxx**
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x xxxxxxxx xxx xxxxx dodavatelů.
b) Xxxxxxxx xxx hodnocení xxxxx dodavatelů.
c) Náležitosti xxxxxxx x xxxxxx xxxxxx a způsobů x úrovní xxxxxxxxx xxxxxxxxxxxxxx opatření x x xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx.
x) Xxxxxxxx xxx provádění kontroly xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx.
(4) Politika xxxxxxxxxxx xxxxx**
[§5 odst. 1 xxxx. d), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx určení xxxxxx garanta,
2. xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx a dostupnosti.
b) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx aktiv
1. xxxxxx x evidence xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx určení xxxxxx xxxxxxx,
2. xxxxxx xxxxx xxxx xxxxxxxxxx a xxxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx aktiv,
2. xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx xxxxx xxxxx úrovní xxxxx,
3. xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx xxx.
(5) Xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxx hodnocení
1. xxxxxxx a xxxxx xxxxxxx xxxxxxxxx,
2. xxxxxxx x formy xxxxxxx xxxxxxx xxxxx,
3. xxxxxxx x formy xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx x xxxxx poučení dalších xxxx zastávajících xxxxxxxxxxxx xxxx.
x) Bezpečnostní školení xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxx řešení případů xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla pro xxxxxxxx pracovního vztahu xxxx xxxxx xxxxxxxx xxxxxx.
1. xxxxxxx xxxxxxxxx xxxxx x odebrání xxxx xxx ukončení xxxxxxxxxx xxxxxx,
2. xxxxx xxxxxxxxxxxx xxxxxxxxx při xxxxx xxxxxxxx xxxxxx.
(6) Xxxxxxxx xxxxxx xxxxxxx x komunikací**
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx.
x) Xxxxxxx bezpečného provozu.
c) Xxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxx.
x) Řízení xxxxxxxxxxx xxxxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx a bezpečnostních xxxxx.
(7) Politika řízení xxxxxxxx**
[§5 xxxx. 1 xxxx. g), §5 xxxx. 2 písm. x)]
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxx/xxxxxxx znát (xxxx xx know).
b) Xxxxxxxxx xx xxxxxx přístupu.
c) Xxxxxxx cyklus xxxxxx xxxxxxxx.
x) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx přezkoumání xxxxxxxxxxxx xxxxxxxxx xxxxxx rozdělení xxxxxxxxxxxx uživatelů x xxxxxxxxxxxx xxxxxxxxx.
(8) Xxxxxxxx xxxxxxxxxx xxxxxxx uživatelů*
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. h)]
a) Xxxxxxxx xxx xxxxxxxx xxxxxxxxx s aktivy.
b) Xxxxxxxx použití přístupového xxxxx.
x) Bezpečné použití xxxxxxxxxxxx xxxxx x xxxxxxxx na xxxxxxxx.
x) Xxxxxxxx vzdálený přístup.
e) Xxxxxxxx xxxxxxx na xxxxxxxxxx sítích.
f) Xxxxxxxxxx xx vztahu x xxxxxxxx xxxxxxxxx.
(9) Xxxxxxxx xxxxxxxxxx a xxxxxx**
[§5 xxxx. 1 písm. x), §5 odst. 2 písm. x)]
x) Xxxxxxxxx xx xxxxxxxxxx x obnovu.
b) Xxxxxxxx x xxxxxxx xxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx.
x) Xxxxxxxx a xxxxxxx obnovy.
e) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxx x xxxxxx.
(10) Xxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla x xxxxxxx xxx ochranu xxxxxxxxxxx informací.
b) Způsoby xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(11) Xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx**
[§5 xxxx. 1 xxxx. k)]
a) Pravidla xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx vybavení,
b) Xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx programových xxxxxxx,
x) Xxxxxxxx a xxxxxxx xxxxxxxxx oprav xxxxxxxxxxxx xxxxxxxx,
x) Pravidla x xxxxxxx nasazení oprav xxxxxxxxxxxx xxxxxxxx.
(12) Politika xxxxxxxxxx používání xxxxxxxxx xxxxxxxx*
[§5 odst. 1 xxxx. 1)]
x) Pravidla x xxxxxxx xxx xxxxxxxx používání mobilních xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x x) zákona xxxxxxxxxxx.
(13) Xxxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. j)]
a) Xxxxxxxx a xxxxxxx xxxxxxxx programového vybavení x jeho xxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
(14) Xxxxxxxx xxxxxxxxxxxx ukládání x xxxxxxxxx xxxxxxxxx*
[§5 odst. x písm. x)]
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxx.
x) Xxxxxxx xxxxxxxxxxxxx xxxxxxxxx x xxxxxxx.
x) Xxxxxxxx xxxxxxxx k xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx.
(15) Politika xxxxxxx xxxxxxxx údajů*
[§5 xxxx. x xxxx. x), §5 odst. 2 xxxx. k)]
a) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx osobních xxxxx.
x) Xxxxx xxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
x) Xxxxx přijatých x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx údajů.
(16) Xxxxxxxx xxxxxxx xxxxxxxxxxx**
[§5 xxxx. x xxxx. x)]
x) Xxxxxxxx pro xxxxxxx xxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx xxx xxxxxxx xxxxxxxx.
x) Detekce xxxxxxxx xxxxxxx xxxxxxxxxxx.
(17) Politika xxxxxxxxxxx xxxxxxxxxxx xxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxx zajištění xxxxxxxxxxx xxxx.
x) Xxxxxx xxxx x povinností xx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx a xxxxxxx xxx řízení xxxxxxxx x xxxxx xxxx.
x) Xxxxxxxx x xxxxxxx pro ochranu xxxxxxxxxx přístupu x xxxx.
x) Xxxxxxxx x xxxxxxx pro monitorování xxxx x xxxxxxxxxxxxx xxxxxxxxxx záznamů.
(18) Xxxxxxxx xxxxxxx před xxxxxxxxx xxxxx*
[§5 odst. x xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxx x xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxx.
(19) Xxxxxxxx xxxxxxxx a používání xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx**
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx pro xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx vyhodnocování x xxxxxxxxx na xxxxxxxxxx xxxxxxxxxxxx bezpečnostní události.
c) Xxxxxxxx a xxxxxxx xxx optimalizaci nastavení xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(20) Xxxxxxxx xxxxxxx x xxxxxx xxxxxxxx xxx xxxx a vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x postupy xxxxxxxxxx xxxxxxxxxxx pravidel xxx xxxxxxxxxxx kybernetických bezpečnostních xxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxx xxxxxxxxx bezpečnostních vlastností xxxxxxxx pro xxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
(21) Politika xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx**
[§5 odst. 1 xxxx. u), §5 xxxx. 2 písm. x)]
x) Xxxxxx xxxxxxx x xxxxxxx na xxx x sílu xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx
1. xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx,
2. xxx xxxxxxx xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxx xxx,
x) Xxxxxx xxxxxx xxxxx.
XX. Xxxxxxxxx další dokumentace
(1) Xxxxxx z xxxxxx xxxxxxxxxxxx xxxxxxxxxxx**
[§28 odst. 1 písm. x)]
x) Xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti.
d) Xxxxxxxxxxxxxx týmu xxxxxxxx x xxxx, xxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx zúčastnily.
e) Datum x xxxxx, xxx xxxx prováděny xxxxxxxx xxx xxxxxx kybernetické xxxxxxxxxxx.
x) Zjištění z xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(2) Zpráva x xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 xxxx. x)]
x) Xxxxxxxxxxx xxxxxxxx z xxxxxxxxxxx xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx informací,
b) Xxxxxxxxxxxx xxxx a xxxxxxxxx, které mohou xxx xxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx vazba x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
1. neshody x xxxxxxxx opatření,
2. xxxxxxxx monitorování x xxxxxx,
3. xxxxxxxx auditu,
4. xxxxxxxx xxxx bezpečnosti,
d) Xxxxxxxx hodnocení rizik x xxxx plánu xxxxxxxx xxxxx.
x) Xxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx xxxxxxxx x xxxx xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
(3) Xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxx xxxxx x pro xxxxxxxxxxxx x hodnocení xxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx stupnice pro xxxxxxxxx xxxxxx xxxxxxxxxx xxxxx,
2. xxxxxx stupnice xxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxx,
3. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxxxxxxxx aktiv.
b) Xxxxxx stupnice xxx xxxxxxxxx xxxxx
1. určení xxxxxxxx pro hodnocení xxxxxx dopadu,
2. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx,
4. určení xxxxxxxx xxx xxxxxxxxx xxxxxx rizik,
a) Metody x přístupy xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxx přijatelných rizik.
(4) Xxxxxx x hodnocení xxxxx a xxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx aktiv,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxx podpůrných xxxxx (xxxxxxx pro xxxxxx x osoby xxxxxxx x §3 xxxx. x) xxxxxx)
1. identifikace x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxx xxxxx mezi primárními x podpůrnými xxxxxx,
x) Xxxxxxxxxxxxxx x xxxxxxxxx xxxxx
1. xxxxxxxxx možných xxxxxx xx aktiva,
2. xxxxxxxxx existujících xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx existujících opatření,
4. xxxxxxxxx xxxxxx rizika, xxxxxxxxx xxxx xxxxxx x xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
5. xxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx rizik
1. xxxxx způsobu xxxxxxxx xxxxx,
2. xxxxx opatření x jejich xxxxxxxxx.
(5) Xxxxxxxxxx x xxxxxxxxxxxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. d)]
a) Xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxx xxxxxx x xxxxxx vazby xx xxxxxxxxxxxxxx xxxxxx.
x) Přehled xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(6) Xxxx zvládání rizik**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. e)]
a) Xxxxx x xxxx xxxxxxxxx bezpečnostních xxxxxxxx xxx zvládání rizik.
b) Xxxxxxxx xxxxxx xxx xxxxxxxxxx bezpečnostní xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxx zajišťující xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxx jednotlivých bezpečnostních xxxxxxxx xxx xxxxxxxx xxxxx.
x) Způsoby xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
(7) Xxxx xxxxxxx bezpečnostního xxxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx x termíny xxxxxxx uživatelů.
b) Xxxxx x xxxxxxx xxxxxxx xxxxxxx aktiv (xxxxxxx xxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx).
x) Obsah x xxxxxxx xxxxxxx xxxxxxxxxxxxxx (xxxxxxx xxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx).
x) Xxxxx x termíny xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Obsah x termíny xxxxxxx xxxxxx xxxxxxxxxxx.
x) Formy x xxxxxxx xxxxxxxxx xxxxx.
(8) Zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů**
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. x)]
x) Definování xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx pro xxxxxxxx x zvládání xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx testování xxxxxxx xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxx zlepšování xxxxxxxxxxxx xxxxxxxxxxx.
(9) Strategie xxxxxx xxxxxxxxxx xxxxxxxx**
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Cíle xxxxxx kontinuity xxxxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx,
2. xxxx obnovení xxxxx,
3. xxx xxxxxxxx xxxxx.
x) Xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxx xxxxxxxxxx.
x) Xxxxxxx hodnocení dopadů xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxx xxxxx.
x) Xxxxxx x obsah xxxxxxxxxx xxxxx kontinuity.
f) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Národním xxxxxxxxxxxxx úřadem.
(10) Xxxxxxx xxxxxx xxxxxxxxx právních xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx předpisů x xxxxxxxxx xxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxx závazných xxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxx a xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxx.
Xxxxxxxx:
* Xxxxxxxxx xxxxxxxxx xxxxxxxxx je xx xxxxxx střední xxxxx xxxxxxxx uvedené x příloze č. 1: Hodnocení x úroveň xxxxx.
** Xxxxxxxxx důvěrnost xxxxxxxxx xx xx xxxxxx xxxxxx xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx x úroveň xxxxx.
Příloha x. 5 x vyhlášce x. 316/2014 Sb.
Formulář hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx x. 6 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Příloha x. 7 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx xxx xxxxxxx xxxxxxxxxxx údajů
Vyplnitelný formulář ve formátu PDF
Informace
Právní předpis x. 316/2014 Xx. xxxxx xxxxxxxxx xxxx 1.1.2015.
Xx xxx uzávěrky xxxxxx xxxxxxx xxxxx měněn xx xxxxxxxxx.
Xxxxxx xxxxxxx x. 316/2014 Xx. xxx xxxxxx právním xxxxxxxxx č. 82/2018 Sb. x xxxxxxxxx xx 28.5.2018.
Xxxxx xxxxxxxxxxxx právních norem xxxxxx xxxxxxxx předpisů x odkazech xxxx xxxxxxxxxxxxx, xxxxx se xxxx netýká xxxxxxxxx xxxxx xxxxx uvedeného xxxxxxxx předpisu.
1) ISO/IEC 27001:2013, xxxxxxxx XXX ISO/IEC 27001:2014