Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
XXXXXXXX
xx xxx 15. xxxxxxxx 2014
x bezpečnostních xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, reaktivních xxxxxxxxxx x x xxxxxxxxx xxxxxxxxxxx xxxxxx v xxxxxxx xxxxxxxxxxxx bezpečnosti (xxxxxxxx o xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx xxxxxxxxxxxx úřad xxxxxxx podle §28 xxxx. 2 xxxxxx x. 181/2014 Xx., x xxxxxxxxxxxx xxxxxxxxxxx x o změně xxxxxxxxxxxxx zákonů (zákon x kybernetické xxxxxxxxxxx), (xxxx xxx "xxxxx") x provedení §6 xxxx. x) xx x), §8 xxxx. 4, §13 xxxx. 4 x §16 xxxx. 6 xxxxxx.
XXXX XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxxx vyhláškou xx xxxxxxx xxxxx x xxxxxxxxx bezpečnostní xxxxxxxxxxx xxx informační xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxx systém kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx informační systém, xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxx xxxxxxxx, xxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů, xxxxxxxxxxx a xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxx x xxxxxxxxx reaktivního xxxxxxxx x xxxx xxxxxxxx x xxxx xxxxxxxx xxxxxxxxxxx údajů x xxxx xxxxx.
§2
Xxxxxxxx xxxxx
X xxxx xxxxxxxx se rozumí
a) xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx část systému xxxxxx xxxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxxx na xxxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxx xxxxxx ustavení, xxxxxxxx, xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx x zlepšování xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxx a xxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxxx informace xxxx xxxxxx, xxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx,
x) podpůrným aktivem xxxxxxxxx aktivum, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xx xx xxxxxxx, xxxxxxx, xxxxxx xxxx xxxxxxxxxxx informačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému,
e) xxxxxxxxxx aktivem technické xxxxxxxx, komunikační prostředky x programové vybavení xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx systému x xxxxxxx, xx kterých xxxx tyto xxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxx, xx xxxxxx xxxxxx xxxxxxx zranitelnosti informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxxx xxxxxx,
x) hodnocením xxxxx proces, xxx xxxx je určována xxxxxxxxxx xxxxx a xxxxxx xxxxxxxxxx úroveň,
h) xxxxxxx xxxxx činnost xxxxxxxxxx xxxxxxxxx xxxxx, xxxxx x xxxxxxxx xxxxxxxx xx zvládání xxxxx, xxxxxxx xxxxxxxxx x xxxxxx x xxxxxxxxx x přezkoumání xxxxx,
x) xxxxxxx xxxxxxxxxxxxx xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, jejímž xxxxxxxxx xxxx xxx xxxxxxxxx aktiva,
j) xxxxxxxxxxxxx xxxxx xxxxx xxxxxx xxxx bezpečnostního opatření, xxxxx může xxx xxxxxxxx xxxxxx xxxx xxxx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xx xxxxxxxxx bezpečnostních xxxxxxxx, jehož xxxxxx xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxx soubor xxxxx x xxxxxxxx, které xxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxx orgánem x osobou xxxxxxxx x §3 xxxx. x) až e) xxxxxx,
x) garantem xxxxxx xxxxxxx xxxxx pověřená xxxxxxx xxxx xxxxxx xxxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxxxxxx rozvoje, xxxxxxx x bezpečnosti xxxxxx,
x) xxxxxxxxxx xxxxxxx nebo xxxxxxxxx osoba anebo xxxxx xxxxxxx moci, xxxxx xxxxxxx xxxxxxxx xxxxxx,
x) administrátorem xxxxxxx xxxxx pověřená xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxx, xxxxxx, xxxxxxx, xxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxx.
ČÁST XXXXX
XXXXXXXXXXXX OPATŘENÍ
HLAVA X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx v xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) stanoví x xxxxxxx xx xxxxxx x organizační bezpečnost xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xx xxxxxx xxxx, xxxxxxx xxxxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxx xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx,
x) xxxx xxxxxx xxxxx §4 xxxx. 1,
x) vytvoří x xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx obsahuje xxxxxx xxxxxx, xxxx, bezpečnostní xxxxxxx, xxxxx a xxxxxxxxxx ve xxxxxx x řízení xxxxxxxxxxx xxxxxxxxx x xx xxxxxxx bezpečnostních xxxxxx x xxxxxxxx xxxxxxxxx xxxxx stanoví bezpečnostní xxxxxxxx x xxxxxxx xxxxxxxxx podle §5 x xxxxxx xxxxxxxxx xxxxxxxxxxxx opatření,
d) xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx vhodnost x xxxxxxxx bezpečnostní xxxxxxxx xxxxx §5,
x) xxxxxxx xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx xxxxx §15, x xx xxxxxxx xxxxxx xxxxx,
x) zajistí xxxxxxxxxxx účinnosti xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx hodnocení xxxxx, xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx na xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, x to xxxxxxx xxxxxx xxxxx,
x) aktualizuje xxxxxx řízení xxxxxxxxxxx xxxxxxxxx x příslušnou xxxxxxxxxxx na xxxxxxx xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x x xxxxxxxxxxx x xxxxxxxxxxx nebo xxxxxxxxxxx xxxxxxx x
x) xxxx xxxxxx x xxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxxxxxxxx xxxxxxxx xxxxxxx se xxxxxxxx xxxxxx xxxxxxxxxxx informací x xxxxxxx xxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. e) zákona x rámci xxxxxxx xxxxxx bezpečnosti xxxxxxxxx
x) xxxx rizika podle §4 xxxx. 2,
b) xxxxxxx x schválí xxxxxxxxxxxx politiku x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, která xxxxxxxx xxxxxx xxxxxx, xxxx, bezpečnostní xxxxxxx, xxxxx x xxxxxxxxxx xx vztahu k xxxxxx xxxxxxxxxxx informací x xx základě xxxxxxxxxxxxxx potřeb x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx politiku x xxxxxxx xxxxxxxxx xxxxx §5, x xxxxxx příslušná xxxxxxxxxxxx xxxxxxxx a
c) provádí xxxxxxxxxxx xxxxxx x xxxxxxxxx aktiv x xxxxx, xxxxxxxxxxxx politiky, xxxxx zvládání xxxxx x xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx, a xx nejméně xxxxxx xx tři xxxx xxxx x xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx.
§4
Xxxxxx xxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x d) xxxxxx v xxxxx xxxxxx rizik
a) xxxxxxx xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxx xxxxx x pro xxxxxxxxxxxx x xxxxxxxxx rizik xxxxxx stanovení kritérií xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx aktiv, xxxxx xxxxx do xxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx, xxxxx §8 x rozsahu přílohy č. 1 x xxxx xxxxxxxx x xxxxxxx xxxxxxxxx xx xxxxxx x xxxxxxxxx aktiv a xxxxx,
x) identifikuje xxxxxx, xxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxxxxx, xxxxxxx xxxxx xxxxxx xx xxxxxx, xxxxxxx xxxx xxxxxx xxxxxxxxx x xxxxxxx podle přílohy č. 2 k této xxxxxxxx, xxxx x xxxxxxx xxxxxxxxxx rizika x xxxxxxxx xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) zpracuje xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx přehled xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) zpracuje x xxxxxx xxxx zvládání xxxxx, který obsahuje xxxx x přínosy xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx, xxxxxx xxxxx xxxxxxxxxxx prosazování xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, technické, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxx xxxxxx xxxxxxxx x popis xxxxx xxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx opatřeními x
x) zohlední xxx xxxxxxxxxx odkladu xxxxxxxxx x xxxxxxxx opatření xxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx (dále xxx "Xxxx") x xxxxxxxxx xxxxx a x xxxxxxx, xx hodnocení xxxxx xxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxx opatření xxxxxxxx stanovená kritéria xxx xxxxxxxxxxxx xxxxx, xxxxxx plán xxxxxxxx xxxxx.
(2) Orgán a xxxxx xxxxxxx v §3 písm. x) xxxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x hodnocení aktiv x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxxx stanovení xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx a xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxx, xxxxx xxxxx xx xxxxxxx systému xxxxxx xxxxxxxxxxx informací, xxxxx §8 minimálně x xxxxxxx přílohy č. 1 x xxxx xxxxxxxx x xxxxxxx xxxxxxxxx xx xxxxxx o hodnocení xxxxx x xxxxx,
x) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxxxxx, posoudí xxxxx dopady na xxxxxxxx xxxxxx, xxxxxxx xxxx rizika xxxxxxxxx x rozsahu podle přílohy č. 2 x xxxx xxxxxxxx x xxxxxxxx xxxxxx x xxxxxxxxx xxxxx a xxxxx,
x) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx potřeb x xxxxxxxx hodnocení xxxxx xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx x xxxxxx plán xxxxxxxx xxxxx, xxxxx xxxxxxxx xxxx a xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx zvládání xxxxx, xxxxxxxx xxxxxxxx, technické, xxxxxx x xxxxxxxxxx xxxxxx, termíny jejich xxxxxxxx a xxxxx xxxxx mezi xxxxxxxxxxxxxxxx xxxxxx x příslušnými xxxxxxxxxxxxxx opatřeními x
x) xxxxxxxx xxx xxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx opatření xxxxxx Xxxxxx v hodnocení xxxxx a v xxxxxxx, xx hodnocení xxxxx aktualizované x xxxx xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx xxx přijatelnost rizik, xxxxxx xxxx zvládání xxxxx.
(3) Xxxxxx xxxxx xxxx xxx xxxxxxxxx x xxxxxx způsoby, xxx jak xx xxxxxxxxx x odstavcích 1 a 2, xxxxx orgán a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxxxx, že xxxxxxx xxxxxxxx zajišťující xxxxxxx xxxx xxxxx xxxxxx xxxxxx xxxxx.
(4) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx při hodnocení xxxxx xxxxxxx xxxxxxx xxxx xxxxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, provedení xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx anebo programového xxxxxxxx,
x) xxxxxxxx identity xxxxxxx xxxxx,
x) užívání xxxxxxxxxxxx xxxxxxxx v xxxxxxx x xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx xxxx x xxxxxxxxxxx xxxx,
x) xxxxxxxx xxx (například xxxx, xxxxxxx, xxxxxxx xxxx),
x) nedostatky při xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxxxx elektronických xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxx xxxxxxx,
x) zneužití xxxx xxxxxxxxxxx modifikace xxxxx,
x) xxxxxx působící xxxxxx x
x) xxxxxxxx nebo xxxxxxxxx aktiva.
(5) Xxxxx x osoba xxxxxxx x §3 písm. x) xx x) xxxxxx xxx xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxx zranitelnosti
a) xxxxxxxxxxxx xxxxxxx vnějšího xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx významného xxxxxxxxxxxx xxxxxxx,
x) nevhodné nastavení xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx při xxxxxxxxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx jevů, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
f) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxx nebo xxxxxxx xxxxxxx chování x
x) xxxxxxxxxxxx stanovení xxxxxxxxxxxxxx xxxxxxxx, nepřesné xxxx xxxxxxxxxxxxx vymezení xxxx x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxxxxxxxx xxxx.
(6) Xxxxx x osoba xxxxxxx x §3 písm. x) x d) xxxxxx při xxxxxxxxx xxxxx xxxx zvažuje xxxx hrozby
a) porušení xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, zneužití xxxxxxxxx ze xxxxxx xxxxxxxxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) pochybení ze xxxxxx zaměstnanců,
c) xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,
x) xxxxxxxxxx přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxxxxxxxxx xxxxxxx xxxx xxxxxx důležitých xxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx kybernetický xxxx xxxxxx sociálního xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxx a
g) zneužití xxxxxxxxxxxxx xxxxxxxxxxx nosičů xxx.
(7) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx xxx xxxxxxxxx xxxxx xxxx zvažuje xxxx xxxxxxxxxxxxx
x) nedostatečná ochrana xxxxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx,
x) xxxxxxxx bezpečnostní xxxxxxxxxxxx,
x) nedostatečná xxxx xxxxxxxxx xxxxxxxx x
x) xxxxxxxxxxx xxxxxxxx odhalení xxxxxxxxx xx strany xxxxxxxxxxx.
§5
Xxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 písm. x) x d) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxx,
x) xxxxxx vztahů s xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx lidských zdrojů,
f) xxxxxx xxxxxxx a xxxxxxxxxx,
x) xxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxx uživatelů,
i) xxxxxxxxxx x xxxxxx,
x) xxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxx,
x) řízení xxxxxxxxxxx zranitelností,
l) xxxxxxxx xxxxxxxxx mobilních xxxxxxxx,
x) xxxxxxxxxxx a xxxxxxxx xxxxxxx programového xxxxxxxx x xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx komunikační xxxx,
x) xxxxxxx xxxx xxxxxxxxx xxxxx,
x) xxxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx a xxxxxx xxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x
x) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. e) xxxxxx stanoví xxxxxxxxxxxx xxxxxxxx v xxxxxxxxx
x) xxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxx,
x) xxxxxx xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) bezpečnost xxxxxxxx xxxxxx,
x) řízení xxxxxxx x xxxxxxxxxx,
x) řízení xxxxxxxx,
x) bezpečné xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x xxxxxx,
x) poskytování x xxxxxxxx licencí xxxxxxxxxxxx xxxxxxxx a informací,
k) xxxxxxx osobních xxxxx,
x) xxxxxxxxx xxxxxxxxxxxxxx ochrany,
m) xxxxxxx před xxxxxxxxx xxxxx x
x) xxxxxxxx x používání xxxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Orgán x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx politiky x xxxxxxxxxxx ji.
§6
Organizační xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) až e) xxxxxx xxxxxx organizaci xxxxxx xxxxxxxxxxx informací, x xxxxx xxxxx xxxx xxxxx pro xxxxxx kybernetické xxxxxxxxxxx x xxxxxxxxxxxx xxxx x jejich xxxxx x povinnosti související x informačním xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxx xxxxxxxxxxx xxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) x x) zákona xxxx xxxxxxxxxxxx role
a) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) architekt xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxx xxxxxx podle §2 xxxx. m).
(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) určí xxxxxxxxxxxx role xxxxxxxxx xxxxx xxxxxxxx 2.
(4) Xxxxxxx xxxxxxxxxxxx bezpečnosti xx xxxxx, xxxxxxxxx xx xxxxxx řízení xxxxxxxxxxx informací, xxxxx xx pro tuto xxxxxxx xxxxxxxxx a xxxxxxx odbornou způsobilost xxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxx xxxxxxx xxx xxx.
(5) Xxxxxxxxx kybernetické xxxxxxxxxxx je xxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx je xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxx bezpečnostní xxxxxxxxxxxx xx xxxx nejméně xxx let.
(6) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx provádějící xxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xx xxx xxxx xxxxxxx vyškolena a xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx xx xxxx xxxxxxx xxx xxx. Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxxxxx x výkon xxxx xxxx xx oddělen xx xxxxxx rolí xxxxxxxxx x odstavci 2 písm. x), x) xxxx d).
(7) Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxx skupina xxxxxxx xxxxxxx, které jsou xxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx, anebo se xxxxxxxx xxxxxxxx xx xxxxxx a xxxxxxxxxx xxxxxxxx xxxxxxxxx s xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx.
(8) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxxxxxx odborné školení xxxx, xxxxx xxxxxxxxx xxxxxxxxxxxx role x xxxxxxx s xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 písm. b).
§7
Xxxxxxxxx bezpečnostních xxxxxxxxx xxx xxxxxxxxxx
(1) Xxxxx x osoba uvedená x §3 xxxx. x) xx e) xxxxxx zavede pravidla xxx xxxxxxxxxx, xxxxx xxxxxxxxxx potřeby xxxxxx xxxxxxxxxxx xxxxxxxxx, a xxxxxxxx xx u xxxxxxxxxx xxxx xxxxxx xxxx, které se xxxxxxxx xx xxxxxxx, xxxxxxx nebo xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx systému. Xxxxxx xxxxxxxx xxxxxxxxxx xx xxxxxxx, xxxxxxx xxxx zajištění xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxxxxxxx, xxxxx xxxxxxxx xx ustanovení x xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x osoba uvedená x §3 písm. x) x x) xxxxxx x dodavatelů xxxxxxxxx x odstavci 1 xxxx
x) xxxx xxxxxxxxx smlouvy provádí xxxxxxxxx xxxxx xxxxx přílohy č. 2 x xxxx xxxxxxxx, která xxxx xxxxxxx x podstatnými xxxxxxxxx,
x) xxxxxxx smlouvu x úrovni xxxxxx, xxxxx xxxxxxx xxxxxxx x úrovně realizace xxxxxxxxxxxxxx opatření a xxxx xxxxx vzájemné xxxxxxx xxxxxxxxxxxx za xxxxxxxx a xxxxxxxx xxxxxxxxxxxxxx opatření, x
x) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx x pravidelnou xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx u poskytovaných xxxxxx x zjištěné xxxxxxxxxx xxxxxxxxxx xxxx xx dohodě s xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxx.
§8
Xxxxxx xxxxx
(1) Orgán x xxxxx uvedená x §3 xxxx. x) až x) xxxxxx x rámci xxxxxx xxxxx
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxx,
x) xxxx xxxxxxx xxxxx, kteří xxxx xxxxxxxxx xx xxxxxxxx xxxxxx, x
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx aktiv x xxxxxxxx xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx x xxxxxx xx xx xxxxxxxxxxxx xxxxxx xxxxxxxxx v rozsahu xxxxx přílohy č. 1 x xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx důležitosti xxxxxxxxxx xxxxx xx xxxxx xxxxxxxxx xxxxxxxx
x) xxxxxx x xxxxxxxxxx osobních xxxxx nebo xxxxxxxxxx xxxxxxxxx,
x) rozsah xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxx závazků,
c) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, obchodních xxxx ekonomických zájmů,
e) xxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx xxxxxx x xxxxx xxxxxxx x §3 písm. c) xx x) zákona,
g) xxxxxx spojené s xxxxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti x
x) xxxxxx xx xxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx xxxxx pověsti.
(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx dále
a) xxxxxxxxxxxx a eviduje xxxxxxxx xxxxxx,
x) xxxx xxxxxxx xxxxx, xxxxx xxxx odpovědní xx xxxxxxxx xxxxxx, a
c) xxxx xxxxx xxxx xxxxxxxxxx a xxxxxxxxxx xxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.
(4) Orgán a xxxxx xxxxxxx v §3 písm. x) xx x) zákona xxxx
x) xxxxxxx xxxxxxxx xxxxxxx, nutná xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx tím, že
1. xxxx xxxxxxx rozlišování xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxx xxxxxxxx pro xxxxxxxxxx x xxxxxxxx x aktivy xxxxx xxxxxx xxxxx, xxxxxx xxxxxxxx xxx bezpečné xxxxxxxxxxxx xxxxxxx a xxxxxxx přenášení aktiv x
3. xxxxxxx přípustné xxxxxxx xxxxxxxxx aktiv,
b) xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx x
x) určí způsoby xxx xxxxxxxxxx xxxxxxx xxxx xxxxxx technických xxxxxx dat x xxxxxxx xx úroveň xxxxx.
§9
Xxxxxxxxxx xxxxxxxx xxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona v xxxxx xxxxxx bezpečnosti xxxxxxxx zdrojů
a) xxxxxxx xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, který xxxxxxxx xxxxx, obsah x xxxxxx xxxxxxxxxx školení x určí osoby xxxxxxxxxxx realizaci xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx x xxxxx xxxxxxx,
x) x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx xxxx x jejich xxxxxxxxxxxx x o xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx x pravidelných xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx bezpečnostní xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) zajistí vrácení xxxxxxxxx xxxxx a xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxx, xxxxxxxxxxxxxx nebo xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx vede x školení xxxxx xxxxxxxx 1 xxxxxxxx, xxxxx obsahují předmět xxxxxxx x xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
(3) Orgán x xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx xxxx
x) xxxxxxx pravidla xxx xxxxxx osob, xxxxx budou zastávat xxxxxxxxxxxx role, xxxx xxxxxxxxxxxxxx xxxx uživatelů,
b) xxxxxxx účinnost xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxx a xxxxxxx činností spojených x xxxxxxxxxxxxx bezpečnostního xxxxxxxx,
x) xxxx pravidla x xxxxxxx pro xxxxxx xxxxxxx porušení xxxxxxxxxxx bezpečnostních pravidel xx strany uživatelů, xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) xxxxxxx xxxxx xxxxxxxxxxxx oprávnění xxx xxxxx postavení uživatelů, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
§10
Xxxxxx xxxxxxx x xxxxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx x xxxxx xxxxxx xxxxxxx x xxxxxxxxxx xxxxxx technických xxxxxxxx xxxxxxxxx x §21 xx 23 detekuje xxxxxxxxxxxx bezpečnostní události, xxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxx x na xxxxxxxx xxxxxxxxxx xxxxxxx x souladu s §13.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx e) zákona x rámci řízení xxxxxxx x komunikací xxxx zajišťuje bezpečný xxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xx xxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx.
(3) Xxxxxxxx xxxxxxxx x xxxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxxxxxx
x) xxxxx a xxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, administrátorů x xxxxxxxxx,
x) xxxxxxx xxx xxxxxxxx a xxxxxxxx xxxxx systému, xxx xxxxxxx xxxx xxxxxxxx xxxxx systému po xxxxxxx x xxx xxxxxxxx xxxxxxxxx xxxxx xxxx mimořádných jevů,
c) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxx ochranu xxxxxxxx k xxxxxxxx x těchto xxxxxxxxxx,
x) xxxxxxx xx xxxxxxxxx xxxxx, které xxxx xxxxxx xxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxxx xxxxxxxxxxx nebo xxxxxxxxxxx xxxxxx,
x) xxxxxxx řízení x xxxxxxxxxxx xxxxxxxxxx xxxx x
x) xxxxxxx xxx xxxxxxxxx, xxxxxxxxx x xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxx.
(4) Xxxxxx xxxxxxx xxxxxx a osoby xxxxxxx x §3 xxxx. x) xx x) zákona spočívá x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxx.
(5) Xxxxxx xxxxxxx orgánu x osoby xxxxxxx x §3 písm. x) x x) xxxxxx spočívá x
x) xxxxxxxxx oddělení xxxxxxxxxx, xxxxxxxxxxx x produkčního xxxxxxxxx,
x) xxxxxx reaktivních xxxxxxxx vydaných Úřadem xxx, xx orgán x xxxxx xxxxxxx x §3 xxxx. x) a d) xxxxxx
1. posoudí xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxx systém xxxxxxxx xxxxxxxxxx infrastruktury x na zavedená xxxxxxxxxxxx opatření, xxxxxxxxx xxxxx negativní xxxxxx x xxx xxxxxxxxxx xxxxxxx xx xxxxxx Xxxxx a
2. xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxxxxxx možné xxxxxxxxx xxxxxx, x určí xxxxxx plán jeho xxxxxxxxx.
(6) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx x xxxxx xxxxxx xxxxxxxxxx
x) xxxxxxxxx xxxxxxxxxx x integritu xxxxxxxxxxxxx xxxx x xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxxx §17,
x) xxxx xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxx, které xxxx xxxxxxxxx komunikačními xxxxxx,
x) provádí xxxxxx x xxxxxxxxx informací xx základě xxxxxxxx xxxxxxxxxxx xxxxxxxx předpisy xx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx informací x xxxx xxxxxxxx dokumentuje x
x) x xxxxxxx xx klasifikaci xxxxx xxxxxxx výměnu a xxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxx smluv, xxxxxxx xxxxxxxx xx xxxxxxxxxx x bezpečnosti xxxxxxxxx.
§11
Řízení xxxxxxxx x xxxxxxxx chování uživatelů
(1) Xxxxx a osoba xxxxxxx x §3 xxxx. c) až x) xxxxxx na xxxxxxx provozních x xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxx k informačnímu xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačnímu systému xxxxxxxx xxxxxxxxxx infrastruktury x významnému informačnímu xxxxxxx x přidělí xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx.
(2) Orgán x xxxxx uvedená x §3 písm. x) xx x) xxxxxx xxxxxx xxxxxxxx, xxxxx xxxxxx k zajištění xxxxxxx xxxxx, xxxxx xxxx používány pro xxxxxxxxxx uživatelů x xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx §18 a 19, x která xxxxx xx xxxxxxxx xxxxxx xxxxx neoprávněnou xxxxxx.
(3) Orgán a xxxxx uvedená v §3 xxxx. x) x x) xxxxxx xxxx x xxxxx xxxxxx xxxxxxxx
x) xxxxxxx xxxxxxxxxxxxx aplikacím samostatný xxxxxxxxxxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx x odebírá přístupová xxxxxxxxx x souladu x xxxxxxxxx xxxxxx xxxxxxxx,
x) xxxxxxx pravidelné xxxxxxxxxxx nastavení xxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxx xxxxxxxxxxxx uživatelů v xxxxxxxxxxxx skupinách xxxx xxxxxx,
x) využívá nástroj xxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx §18 x xxxxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §19 a
f) xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx pro xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxx x xxxxxxxxxxxx xxxxxxxx spojená x xxxxxxxx xxxxxxxxxxx zařízení, xxxxxxx xxxxx x xxxxx uvedená x §3 xxxx. c) x x) xxxxxx xxxxxxxxxxx.
§12
Xxxxxxxx, vývoj a xxxxxx
(1) Orgán x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx s xxxxxx xxxxxxxx, vývojem x xxxxxxx x xxxxxx xx xx xxxxxxxx akvizice, xxxxxx x xxxxxx systému.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) a x) zákona xxxx
x) xxxxxxxxxxxx, hodnotí x xxxx rizika xxxxxxxxxxx x xxxxxxxx, xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx; pro xxxxxxx xxxxxxxxx a xxxxxx xxxxx xx xxxxxxxx xxxxx §4 odst. 1 xxxx. a) xxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxxx vývojového xxxxxxxxx x xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxx x
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxx xxxxxxxxx xx provozu.
§13
Zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
Xxxxx x xxxxx uvedená x §3 xxxx. x) až x) xxxxxx při xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx
x) xxxxxx nezbytná xxxxxxxx, xxxxx xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx zastávajících xxxxxxxxxxxx xxxx x o xxxxxxxxxx vede xxxxxxx,
x) xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxx oznámených kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx technickými xxxxxxxx xxxxx §21 až 23, xxxxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, přijímá xxxxxxxx pro xxxxxxxxx x zmírnění xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §32 x xxxxxxx xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu,
d) xxxxxxxx x určí xxxxxxx kybernetického bezpečnostního xxxxxxxxx, xxxxxxxxx xxxxxxxx xxxxxx kybernetického bezpečnostního xxxxxxxxx a na xxxxxxx xxxxxxxxxxx stanoví xxxxx xxxxxxxxxxxx xxxxxxxx x zamezení xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxx kybernetických bezpečnostních xxxxxxxxx.
§14
Xxxxxx xxxxxxxxxx činností
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) až x) xxxxxx x xxxxx xxxxxx kontinuity xxxxxxxx xxxxxxx
x) xxxxx x xxxxxxxxxx xxxxxxx xxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) cíle xxxxxx xxxxxxxxxx činností xxxxxx xxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx, která xx xxxxxxxxxx pro xxxxxxx, provoz x xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému,
2. xxxx obnovení chodu, xxxxx xxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx minimální xxxxxx xxxxxxxxxxxxx služeb xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo významného xxxxxxxxxxxx xxxxxxx, x
3. xxxx obnovení dat xxxx termínu, xx xxxxxxx xxxxx obnovena xxxx po xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx, a
c) xxxxxxxxx řízení xxxxxxxxxx xxxxxxxx, xxxxx obsahuje xxxxxxxx xxxx xxxxx xxxxxxx x).
(2) Orgán x xxxxx uvedená x §3 písm. x) x d) xxxxxx dále
a) xxxxxxxxx x xxxxxxxxxxx možné xxxxxx kybernetických bezpečnostních xxxxxxxxx x posoudí xxxxx xxxxxx související x xxxxxxxxx xxxxxxxxxx xxxxxxxx,
x) xxxxxxx, xxxxxxxxxxx x pravidelně testuje xxxxx xxxxxxxxxx činností xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxx xxx zvýšení xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x komunikačního systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx kybernetickému xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx xxx xxxxxxxxxxx xxxxxx dostupnosti xxxxx §26 x
x) stanoví x xxxxxxxxxxx postupy xxx xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx podle §13 x 14 xxxxxx, ve kterých xxxxxxxx
1. xxxxxxxx hodnocení xxxxx xxxxxxxxx xxxxxxxx,
2. xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a
3. xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx dopadů xx xxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§15
Xxxxxxxx x audit xxxxxxxx informační xxxxxxxxxxxxxx x významných xxxxxxxxxxxx xxxxxxx
(1) Orgán a xxxxx uvedená x §3 písm. x) xx x) xxxxxx x xxxxx kontroly x xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx (xxxx xxx "xxxxx xxxxxxxxxxxx bezpečnosti")
a) xxxxxxxx xxxxxx bezpečnostních opatření x xxxxxxxx předpisy, xxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx a xxxxxxxxx xxxxxxx vztahujícími se x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x určí opatření xxx xxxx xxxxxxxxxxx x
x) xxxxxxx a xxxxxxxxxxx pravidelné kontroly xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x výsledky xxxxxx xxxxxxx xxxxxxxx v xxxxx xxxxxxx bezpečnostního xxxxxxxx a xxxxx xxxxxxxx xxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxxxxxxx provedení xxxxxx xxxxxxxxxxxx bezpečnosti xxxxxx s odbornou xxxxxxxxxxx xxxxx §6 xxxx. 6, xxxxx xxxxxxx správnost x xxxxxxxx xxxxxxxxxx bezpečnostních xxxxxxxx.
(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x d) zákona xxxx pro xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx provádí kontrolu xxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxx x jejich xxxxxxx xxxxxxxxxxx x reaguje xx zjištěné zranitelnosti.
HLAVA XX
XXXXXXXXX XXXXXXXX
§16
Xxxxxxx xxxxxxxxxx
(1) Xxxxx x xxxxx uvedená v §3 xxxx. c) xx x) zákona x xxxxx fyzické xxxxxxxxxxx
x) přijme xxxxxxxx xxxxxxxx x zamezení xxxxxxxxxxxxx xxxxxx xx xxxxxxxxxx xxxxxxx, xxx xxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému kritické xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx x xxxxxxx xx xxxxxxxxxx xxxxxxx, kde xxxx xxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx, x
x) xxxxxxxxx xxxxxxxxx, xxxxxxx nebo xxxxxxxx xxxxx xxxx přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxx a xxxxx uvedená x §3 písm. x) x x) xxxxxx xxxx xxxxxxxxx prostředky xxxxxxx bezpečnosti
a) xxx xxxxxxxxx ochrany xx xxxxxx objektů x
x) xxx xxxxxxxxx xxxxxxx x xxxxx objektů xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxx, xx xxxxxxx jsou umístěna xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.
(3) Xxxxxxxxxx fyzické xxxxxxxxxxx jsou zejména
a) xxxxxxxxxx xxxxxxxx prostředky,
b) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx omezující xxxxxxxx xxxxxx,
x) prostředky xxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxx kontrolu vstupu,
f) xxxxxxxx xxxxxxx,
x) xxxxxxxx xxx xxxxxxxxx xxxxxxx xxxx selháním xxxxxxx xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxx pro zajištění xxxxxxxxxxx xxxxxxxxxx xxxxxxxx.
§17
Nástroj xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) až x) zákona xxx xxxxxxx integrity rozhraní xxxxxx komunikační xxxx, xxxxx xxxx pod xxxxxxx xxxxxx xxxx xxxxx, x xxxxxxx xxxxxxxxxxx sítě, která xx pod správou xxxxxx xxxx xxxxx, xxxxxx
x) xxxxxx xxxxxxxxxx xxxxxxxx xxxx vnější x vnitřní xxxx,
x) xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxxxxxx xxx jako xxxxxxxxxxx xxxx xxxx xxxxxxxxxxx ke xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx x xxxxxx sítě x x xxxxxxxx xxxxx xxxxxxxxxx vnitřní xxxx x xxxxxx xxxx,
x) xxxxxxxxxxxxxx prostředky (§25) pro vzdálený xxxxxxx, xxxxxxxxx xxxxxx xxxx xxx přístup xxxxxx xxxxxxxxxxxx technologií x
x) xxxxxxxx xxx xxxxxxxxxx xxxx blokování xxxxxxxxxxx dat, xxxxx xxxxxxxxxxxx xxxxxxxxxx xx xxxxxxx integrity xxxxxxxxxxx xxxx.
(2) Orgán x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxx xxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxx komunikační sítě, xxxxx xxxxxxx xxxx xxxxxxxxxx.
§18
Nástroj pro xxxxxxxxx xxxxxxxx uživatelů
(1) Xxxxx x osoba xxxxxxx x §3 písm. x) až e) xxxxxx používá xxxxxxxx xxx ověření xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Nástroj xxx xxxxxxxxx xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxx xxxxxxx identity xxxxxxxxx a administrátorů xxxx zahájením jejich xxxxxxx v informačním xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxx.
(3) Nástroj xxx xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxx používá xxxxxxxxxxx xxxxx xxxxxx, xxxxxxxxx
x) xxxxxxxxx xxxxx xxxxx xxx xxxxx,
x) xxxxxxxxx xxxxxxxxx hesla tak, xx heslo xxxx xxxxxxxxx xxxxxxx 3 x následujících čtyř xxxxxxxxx
1. xxxxxxx jedno xxxxx písmeno,
2. xxxxxxx xxxxx malé xxxxxxx,
3. xxxxxxx jednu xxxxxxx, xxxx
4. xxxxxxx xxxxx xxxxxxxxx xxxx xxxxxxx xx xxxxxxxxx xxxxxxxxx x xxxxxx 1 xx 3,
c) xxxxxxxxx xxxx xxx povinnou xxxxxx xxxxx xxxxxxxxxxxxx xxx xxx; xxxxx xxxxxxxxx není xxxxxxxxx xxx xxxxxxxxxx identifikátory xxxxxxxx.
(4) Xxxxx x xxxxx xxxxxxx x §3 písm. c) x x) xxxxxx xxxx
x) používá xxxxxxx xxx ověření xxxxxxxx, xxxxx
1. xxxxxx opětovnému xxxxxxxxx dříve xxxxxxxxxxx xxxxx x xxxxxxxx xxxx změn xxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx období, xxxxx xxxx xxx xxxxxxx 24 xxxxx, x
2. xxxxxxx xxxxxxxx xxxxxxx xxxxxxxx xx xxxxxx xxxx xxxxxxxxxx x
x) xxxxxxx nástroj xxx xxxxxxxxx identity xxxxxxxxxxxxxx. X případě, xx xxxxx xxxxxxx využívá xxxxxxxxxxx xxxxxx, zajistí xxxxxxxxx minimální xxxxx xxxxx patnáct znaků xxx xxxxxxxx xxxxxxxxx xxxxx odstavce 3 xxxx. b) x x).
(5) Nástroj xxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxx xxx zajištěn x xxxxxx xxxxxxx, xxx xxxx xxxx xxxxxxxxx x xxxxxxxxxx 3 xx 5, xxxxx xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxxxxxxx, že xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx vyšší xxxxxx xxxxxxxxx xxxxx.
§19
Nástroj xxx řízení xxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) až e) xxxxxx xxxxxxx nástroj xxx řízení xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx xxxxxx xxxxxxxxx
x) xxx xxxxxxx k xxxxxxxxxxx xxxxxxxxx x xxxxx x
x) pro xxxxx xxx, xxx xxxxx xxx a pro xxxxx xxxxxxxxx.
(2) Orgán x xxxxx uvedená x §3 písm. x) a d) xxxxxx dále xxxxxxx xxxxxxx pro řízení xxxxxxxxxxxx oprávnění, xxxxx xxxxxxxxxxx použití xxxxxxxxxxxx xxxxxxxxx x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x výsledky hodnocení xxxxx.
§20
Nástroj xxx xxxxxxx xxxx xxxxxxxxx xxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx pro řízení xxxxx xxxxxxxxx s xxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxx pro xxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury a xxxxxxxxxx informačního systému xxxx škodlivým kódem, xxxxx xxxxxxx xxxxxxx x stálou xxxxxxxx
x) xxxxxxxxxx xxxx vnitřní xxxx a vnější xxxx,
x) xxxxxxx x xxxxxxxxx datových xxxxxxx x
x) xxxxxxxxxx xxxxxx,
xxxxxxx xxxxxxx pravidelnou a xxxxxxx xxxxxxxxxxx nástroje xxx ochranu před xxxxxxxxx xxxxx, jeho xxxxxxx x signatur.
§21
Xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxxx xxxxxxxxx a administrátorů
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxx
x) sběr xxxxxxxxx o provozních x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxx xxxxxxxx, xxxxx x čas, xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, xxxxx xxxxxxx xxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx x xxxxx xxxxxxxx x xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx x
x) xxxxxxx xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxx xxxxxx nebo xxxxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx e) zákona xxxx xxxxxx xxxxxxxx xxx xxxxxxxxxxxxx činnosti xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxxxxxx a xxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxx xx xxxxx přístupových oprávnění,
d) xxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxx a xxxxxxxx xxxxxxxx technických xxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a významného xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxx nebo xxxxxxx xxxxxxx xxxxxxxxxxx aktiv,
g) xxxxxxxx x xxxxxxxx x xxxxxxxxxx, pokusy x xxxxxxxxxx xx xxxxxxx x xxxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx a
h) použití xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxx včetně změny xxxxx, xxxxx xxxxxx x xxxxxxxxxx.
(3) Orgán x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx záznamy xxxxxxxx xxxxxxxxxxx podle xxxxxxxx 2 uchovává xxxxxxx xx xxxx 3 xxxxxx.
(4) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxxxx nejméně xxxxxx xx 24 hodin xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx.
§22
Nástroj pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. c) až x) xxxxxx xxxxxxx xxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxxxx vychází xx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx hodnocení xxxxx a který xxxxxxx ověření, kontrolu x případně xxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx sítí x xxxxxx sítí.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x d) xxxxxx dále xxxxxxx xxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx zajistí xxxxxxx, xxxxxxxx a xxxxxxxx xxxxxxxxxxx xxxxxxxxxx
x) x xxxxx vnitřní xxxxxxxxxxx xxxx x
x) serverů xxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§23
Xxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Orgán x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxx nástroj xxx xxxx a xxxxxxxx vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, který x xxxxxxx x xxxxxxxxxxxxxx potřebami a xxxxxxxx hodnocení rizik xxxxxxx
x) xxxxxxxxxxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) poskytování xxxxxxxxx xxx určené xxxxxxxxxxxx xxxx o xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxx x informačním xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx komunikačním xxxxxxx krit é xxxxxxxxxx xxxxxxxxxxxxxx a
c) xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx s xxxxx xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x d) xxxxxx dále xxxxxxx
x) xxxxxxxxxxx aktualizaci nastavení xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxx varování, xxx xxxx xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx nebo xxxxxxx xxxxxxxxx xxxxxxxx, x
x) xxxxxxxxx xxxxxxxxx, které xxxx xxxxxxxxxx nástrojem xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, pro xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx.
§24
Xxxxxxxxx xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx aplikací, xxxxx xxxx xxxxxxxxx x vnější xxxx, x to xxxx xxxxxx xxxxxxxx xx xxxxxxx a xx xxxxx xxxxxxx změně xxxxxxxxxxxxxx xxxxxxxxxx.
(2) Orgán x osoba xxxxxxx x §3 písm. x) x x) xxxxxx xxxx x xxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx
x) xxxxxxxx a informací xxxxxxxxxx z vnější xxxx před xxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxxxxxxx nebo xxxxxxxxxxxxxxx xxxxxx x
x) xxxxxxxxx před xxxxxx xxxxxxxxxxxx, xxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxx předávaného xxxxxxxx obsahu, xxxxxxxxxxxx, xxxxxxxxxxxxxxx duplikováním xxxx xxxxxxxxxx.
§25
Kryptografické prostředky
(1) Xxxxx x osoba xxxxxxx x §3 písm. x) xx x) xxxxxx
x) pro xxxxxxxxx xxxxxxxxxxxxxx ochrany xxxxxxx
1. xxxxxx xxxxxxx s xxxxxxx xx xxx x xxxx kryptografického xxxxxxxxx x
2. xxxxxxxx xxxxxxxxxxxxxx ochrany xxxxxxxxx xxx xxxxxxx po xxxxxxxxxxxxx sítích nebo xxx uložení xx xxxxxxx xxxxxxxx nebo xxxxxxxxxxx technické nosiče xxx x
x) v xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxxx xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxx xxx x xxxxxxxxx xxxxxxxxxxxx xxxxx xx xxxxxxxxx xxxxxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxxx
x) xxxxxxx pro xxxxxxxxx kryptografických prostředků xxxxxx správy xxxxx, xxxxx zajistí xxxxxxxxxx, xxxxxxxxxx, ukládání, archivaci, xxxxx, xxxxxx, kontrolu x xxxxx klíčů, x
x) xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxx; x xxxxxxx xxxxxxxxx s xxxxxxxxxxx xxxxxxxxx na xxxxxxxxxxxxxx xxxxxxxxx uvedenými x příloze č. 3 x xxxx xxxxxxxx xxxx xxxxxx xxxxxxx s xxxxx xxxxxxxxxx.
§26
Nástroj xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 písm. x) xx x) xxxxxx v xxxxxxx x bezpečnostními potřebami x xxxxxxxx hodnocení xxxxx xxxxxxx xxxxxxx xxx zajišťování xxxxxx xxxxxxxxxxx informací.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxx nástroj xxx zajišťování úrovně xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx pro xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx kybernetickým xxxxxxxxxxxxx xxxxxxxxxx, které xx xxxxx xxxxxx xxxxxxxxxx, a
c) xxxxxxxxxx xxxxxxxxxx technických xxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury
1. xxxxxxxx xxxxxxxxxx x návrhu xxxxxx a
2. xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx aktiv x určeném xxxx.
§27
Bezpečnost xxxxxxxxxxxx x xxxxxxxx xxxxxxx
Xxxxx x xxxxx xxxxxxx v §3 písm. x) x x) xxxxxx xxx bezpečnost xxxxxxxxxxxx x xxxxxxxx systémů, xxxxx xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx anebo xxxx xxxxxx xxxxxxxx, používá xxxxxxxx, xxxxx zajistí
a) xxxxxxx xxxxxxxxx xxxxxxxx x xxxx x xxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx,
x) omezení xxxxxxxxx a xxxxxxxxxx xxxxxxxx k xxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx,
x) ochranu xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxx systémů xxxx využitím známých xxxxxxxxxxxxx a
d) xxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
XXXXX XXX
XXXXXXXXXXXX XXXXXXXXXXX
§28
Xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxx a xxxxx uvedená v §3 xxxx. x) x x) xxxxxx xxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxx xxxxx §5 odst. 1,
x) xxxxxx x xxxxxx xxxxxxxxxxxx bezpečnosti xxxxx §3 xxxx. 1 písm. f),
c) xxxxxx x xxxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx xxxxx §3 xxxx. 1 xxxx. x),
x) xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxx xxxxx a pro xxxxxxxxxxxx a xxxxxxxxx xxxxx,
x) xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxxxx x xxxxxxxxxxxxxxxx,
x) xxxx xxxxxxxx xxxxx,
x) xxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. x),
x) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx podle §14 xxxx. 1 xxxx. x) x
x) xxxxxxx právních předpisů, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx závazků xxxxx §15 odst. 1 xxxx. a).
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) zákona xxxx x aktualizuje bezpečnostní xxxxxxxxxxx, která obsahuje
a) xxxxxxxxxxxx politiku xxxxx §5 xxxx. 2,
x) xxxxxxxx pro identifikaci x xxxxxxxxx aktiv x pro identifikaci x xxxxxxxxx xxxxx xxxxx §4 xxxx. 2 xxxx. x),
x) xxxxxx o hodnocení xxxxx x rizik xxxxx §4 odst. 2 písm. b) x c),
d) prohlášení x xxxxxxxxxxxxxxxx podle §4 xxxx. 2 xxxx. x),
x) xxxx xxxxxxxx rizik xxxxx §4 xxxx. 2 xxxx. e),
f) xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 písm. x),
x) xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx podle §13 xxxx. e),
h) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxx §14 xxxx. 1 xxxx. x) x
x) xxxxxxx právních xxxxxxxx, vnitřních xxxxxxxx x jiných xxxxxxxx x smluvních xxxxxxx xxxxx §15 odst. 1 písm. x).
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx tak, xxx záznamy o xxxxxxxxxxx xxxxxxxxxx byly xxxxx, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx x aby xx daly snadno xxxxxxxx. Opatření xxxxxxxx x xxxxxxxxxxxx, uložení, xxxxxxx, vyhledání, době xxxxxxxxx x xxxxxxxxxx xxxxxxx o provedených xxxxxxxxxx xxxxxxxxxxx.
(4) Doporučená xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxx x příloze č. 4 k xxxx xxxxxxxx.
§29
Prokázání xxxxxxxxxxx
Xxxxx a xxxxx uvedená x §3 xxxx. x) xx x) zákona, xxxxx xxxxxxxxxx xxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx informační systém xx zcela zahrnut xx xxxxxxx xxxxxxx xxxxxx bezpečnosti informací, xxxxx byl xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx xxxxx1) xxxxxxxxxxxxx certifikačním xxxxxxx, a která xxxx xxxxxxxxx obsahující
a) xxxxx rozsahu xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx a xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxx metody hodnocení xxxxx x xxxxxx x hodnocení xxxxx,
x) xxxxxxxxxx x xxxxxxxxxxxxxxxx,
x) xxxxxxxxxx systému xxxxxx xxxxxxxxxxx informací xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx zabývající xx xxxxxxxxxxx xxxxxxxxx1),
x) záznam x xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx x xxxxxxx přezkoumání x
x) xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx x nápravě xxxxxxxxxx xxxxxx x xxxxxxxxxx xxxxxx,
xxxxxxx xxxxxxxxx xx xxxxxxxx bezpečnostních xxxxxxxx xxxxx xxxxxx x xxxx vyhlášky.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX
§30
Xxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Podle xxxxxxx xxxx kybernetické bezpečnostní xxxxxxxxx rozděleny do xxxxxxxxxxxxx typů
a) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx xxxxxxxx vedoucí x průniku do xxxxxxx xxxx x xxxxxxx xxxxxxxxxxx služeb,
b) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxx škodlivým xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx překonáním xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobený xxxxxxxxx xxxxxxxxxxxxx opatření,
e) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx trvale xxxxxxxxxx xxxxxx a
f) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx.
(2) Xxxxx xxxxxx xxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx do xxxxxxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxx důvěrnosti aktiv,
b) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobující narušení xxxxxxxxxxx xxxxx, xxxx
x) xxxxxxxxxxxx bezpečnostní incident xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxx x) xx x).
§31
Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Pro xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxx xxxxxxxx x negativních xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xx xxxxxxxxxxxxx kategorií
a) Xxxxxxxxx XXX - xxxxx xxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, při xxxxxx xx přímo x xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx služeb xxxx xxxxx. Jeho xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x tím, xx xxxx xxx xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx x potenciálních xxxx.
x) Xxxxxxxxx XX - xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx kterém xx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho xxxxxx xxxxxxxx xxxxxxxxxx zásahy xxxxxxx s xxx, xx xxxx xxx xxxxxxxx prostředky xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace xxxxxxxxx škod.
c) Kategorie X - xxxx xxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, při kterém xxxxxxx x xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho xxxxxx xxxxxxxx zásahy xxxxxxx x xxx, že xxxx být xxxxxxxx xxxxxxxxxx xxxxxxx další xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx včetně minimalizace xxxxxxxxx xxxx.
(2) Xxxxx x osoba uvedená x §3 písm. x) až x) xxxxxx při xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xxxxx odstavce 1 zohlední
a) xxxxxxxxxx xxxxxxxxx aktiv informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxx xx xxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxx významnými xxxxxxxxxxxx systémy x
x) xxxxxxxxxxxxx xxxxx x xxxxx xxxxxx.
§32
Xxxxx x náležitosti xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx uvedená v §3 písm. x) xx x) xxxxxx xxxxx kybernetický bezpečnostní xxxxxxxx
x) x elektronické xxxxxx xxxxxxxxxxxxxxx
1. xxxxxxxxxxxxxx xxxxxxxxx zveřejněného xx xxxxxxxxxxxxx xxxxxxxxx Úřadu,
2. xxxxxx na xxxxxx xxxxxxxxxxxx xxxxx Xxxxx xxxxxx xxx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, zveřejněné xx xxxxxxxxxxxxx stránkách Xxxxx,
3. xxxxxx zprávy xx xxxxxx schránky Xxxxx, xxxx
4. xxxxxxxxxxxxxxx určeného xxxxxxxx xxxxxxxx, xxxxx xxxxx je zveřejněn xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx, xxxxx
x) x xxxxxxxx xxxxxx na xxxxxx Xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxx xx internetových xxxxxxxxx Xxxxx.
(2) Xxxxxxx x xxxxxxxx podobě xx xxxxxx pouze v xxxxxxxxx, kdy nelze xxxxxx žádný xx xxxxxxx xxxxxxxxx v xxxxxxxx 1 xxxx. x).
(3) Náležitosti xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxx xxxxxxx x příloze č. 5 x této xxxxxxxx.
XXXX ČTVRTÁ
REAKTIVNÍ XXXXXXXX X KONTAKTNÍ XXXXX
§33
Xxxxxxxxx xxxxxxxx
Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) zákona xxxxxx xxxxxxxxx xxxxxxxxxxx opatření x jeho výsledek xx xxxxxxxxx, xxxxx xxxx je xxxxxx x příloze č. 6 x xxxx xxxxxxxx.
§34
Kontaktní xxxxx
Xxxxx x xxxxx xxxxxxx v §3 xxxxxx xxxxxxxx xxxxxxxxx xxxxx xx xxxxxxxxx, jehož xxxx xx uveden x příloze č. 7 x této xxxxxxxx. Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxx v §32 xxxx. 1 xxxx. a).
XXXX XXXX
XXXXXXXX
§35
Xxxx vyhláška xxxxxx xxxxxxxxx xxxx 1. xxxxx 2015.
Xxxxxxx:
Xxx. Xxxxxxxx x. x.
Xxxxxxx x. 1 x vyhlášce x. 316/2014 Xx.
Xxxxxxxxx a xxxxxx důležitosti xxxxx
Xxx xxxxxxxxx důležitosti xxxxx xxxx xxxxxxx stupnice x xxxxxxx xxxxxxxx. Xxxxx xxxx xxxxx xxxxxxx x §3 xxxx. c) až x) zákona xxxx xxxxxxxx xxxxxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxx xxxx xx uveden x xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx xx xxxxxxxxxx xxxxxxxx hodnocení důležitosti xxxxx x xxxxxxxxxx x xxxxxxxx xxx xxxxxxxxx důležitosti xxxxx, xxxxx xxxx uvedeny x xxxx xxxxxxx.
X xxxxxxx použití xxx xxxxxx xxxxxxxxx důležitosti xxxxx xx přípustné xxxxxxx buď xxxxxx xxxxx a xxxxxxx, xxxx xxxxxx xxxxxx x xxxxxxxx.
Xxxxxxxx pro xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxx xxxx xxxxxxx xxxxxxxxx nebo xxxx určena xx xxxxxxxxxx (xxxx. na xxxxxxx xxxxxx č. 106/1999 Sb., x xxxxxxxxx xxxxxxxx x xxxxxxxxxx, xx xxxxx xxxxxxxxxx xxxxxxxx). Xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx zájmy xxxxxx a xxxxx xxxxxxx v §3 xxxx. c) xx x) xxxxxx. |
Xxxx vyžadována xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx x xxxxx xxxx-xxx orgánu x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx, xxxxxxx xxxxx xxxx vyžadována xxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxx řízení xxxxxxxx. |
|
Xxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x jejich xxxxxxx xx xxxxxxxxxx xxxxxxxx předpisy, xxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx (např. xxxxxxxx xxxxxxxxx xxxxx xxxxxx č. 89/2012 Sb., občanský zákoník, xxxxxx xxxxx xxxxx xxxxxx č. 101/2000 Sb., x xxxxxxx xxxxxxxx xxxxx, xx znění pozdějších xxxxxxxx). |
Xxx xxxxxxx důvěrnosti xxxx xxxxxxxxx prostředky, xxxxx xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx informací vnější xxxxxxxxxxx xxxx jsou xxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx nejsou veřejně xxxxxxxxx a vyžadují xxxxxxxxxxxxx xxxx xxxxxxx xxx xxxxx předchozí xxxxxxxxx (xxxx. xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxx údaje). |
Pro ochranu xxxxxxxxxx xx požadována xxxxxxxx xxxx, které x xxxxxxx xxxxxxxxxxx, x metody xxxxxxx xxxxxxxxxxx xxxxxxxx aktiv xx strany xxxxxxxxxxxxxx. Xxxxxxx informací jsou xxxxxxxx pomocí kryptografických xxxxxxxxxx. |
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx x hlediska xxxxxxxxx. Xxxxxxxx xxxxxxxxx aktiva xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx v §3 xxxx. x) až x) zákona. |
Není xxxxxxxxxx xxxxx ochrana. |
|
Střední |
Aktivum xxxx xxxxxxxxx ochranu z xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx xxxxxx xxxx xxxx k poškození xxxxxxxxxxx zájmů xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) zákona x může xx xxxxxxxx xxxx xxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx (např. xxxxxxx xxxxxxxxxxxx xxxx pro xxxxx). |
|
Xxxxxx |
Xxxxxxx vyžaduje xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx orgánu x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx x podstatnými xxxxxx xx primární xxxxxx. |
Xxx xxxxxxx integrity xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx, které xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx a xxxxxxxxxx xxxxxxxx xxxxx provádějící xxxxx. Xxxxxxx integrity xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx sítěmi xx zajištěna pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Narušení integrity xxxx x xxxxx xxxxxxx xxxxxxxxx oprávněných xxxxx xxxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx e) xxxxxx x přímými x xxxxx vážnými xxxxxx xx xxxxxxxx aktiva. |
Pro ochranu xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx jednoznačné xxxxxxxxxxxx xxxxx provádějící xxxxx (např. pomocí xxxxxxxxxxx digitálního xxxxxxx). |
Xxxxxxxx xxx hodnocení xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx není xxxxxxxx x v xxxxxxx výpadku je xxxxx xxxxxxxxxx delší xxxxxx období xxx xxxxxxx (xxx do 1 týdne). |
Pro xxxxxxx xxxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx zálohování. |
|
Střední |
Narušení xxxxxxxxxxx xxxxxx by xxxxxx xxxxxxxxx dobu xxxxxxxxxx xxx, xxxxxxxxxxxxx xxxxxxx xxxx x možnému xxxxxxxx zájmů orgánu x osoby uvedené x §3 xxxx. x) xx x) xxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxx. Jakýkoli xxxxxxx je xxxxx xxxxx xxxxxxxxxx, xxxxxxx xxxx x přímému xxxxxxxx zájmů orgánu x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx. Xxxxxx xxxx považována xxxx xxxxx xxxxxxxx. |
Xxx xxxxxxx dostupnosti xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx poskytování xxxxxx může xxx xxxxxxxxx xxxxxx xxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xxxx přípustné x x xxxxxxxxxx xxxxxxxxxxxx (x xxxx xxxxxxxx xxxxx) vede x xxxxxxx ohrožení xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx. Xxxxxx xxxx xxxxxxxxxx xxxx kritická. |
Pro xxxxxxx dostupnosti xxxx xxxxxxxxx xxxxxxx xxxxxxx x obnova xxxxxxxxxxx xxxxxx xx xxxxxxxxxx x xxxxxxxxxxxxxx. |
Xxxxxxx č. 2 x xxxxxxxx č. 316/2014 Sb.
Hodnocení xxxxx
Xxxxxxxxx xxxxx xx xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxx xxxxx, xxxxxx x zranitelnost.
Pro xxxxxxxxx xxxxx lze použít xxxxxxx xxxx xxxxxx
xxxxxx = dopad x xxxxxx x xxxxxxxxxxxx.
Xxxxxxxxxxx xxxxxx xxxxxx pro xxxxxx xxxxxx je xxxxxxxxx součástí xxxxxxxx xxx identifikaci x xxxxxxxxx xxxxxx
|
Xxxxxxxx pro xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxx xx x xxxxxxxx xxxxxxx xxxxxx x malého xxxxxxx x nesmí xxx xxxxxxxxxxxxx. Xxxxxx případných xxxx xxxxxxxxxxx x) 10 xxxxxxxxx osob s xxxxxxxxx xxxxxxxxxxxxx po xxxx delší xxx 24 xxxxx nebo b) xxxxxxxx xxxx materiální xxxxxx xx 5&xxxx;000&xxxx;000 Xx anebo c) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx omezením xxxxxxxxxx xxxxxx nebo xxxxxx xxxxxxxxx zásahu xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxxx 250 xxxx. |
|
Xxxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx x x xxxxxxxx xxxxxxx období. Rozsah xxxxxxxxxx xxxx xx xxxxxxxx x xxxxxxx x) xx 10 xxxxxxx xxxx xx 11 xx 100 xxxx x následnou hospitalizací xx xxxx xxxxx xxx 24 hodin xxxx x) xxxxxxxx xxxx xxxxxxxxxx ztráty xx 5&xxxx;000&xxxx;000 Xx xx 50&xxxx;000&xxxx;000 Xx anebo c) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx xxxxxxxx nezbytných xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx každodenního xxxxxx postihujícího xx 251 xx 2&xxxx;500 xxxx. |
|
Xxxxxx |
Xxxxx je omezeného xxxxxxx, xxx xxxxxx xxxx katastrofický. Rozsah xxxxxxxxxx xxxx se pohybuje x rozmezí a) od 11 do 100 xxxxxxx xxxx xx 101 xx 1 000 xxxx x xxxxxxxxx hospitalizací xx xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xx 50 000 000 Xx xx 500 000 000 Xx anebo c) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx závažného xxxxxx xx xxxxxxxxxxxx života xxxxxxxxxxxxx xx 2&xxxx;501 xx 25&xxxx;000 xxxx. |
|
Xxxxxxxx |
Xxxxx xx plošný xxxxxxxx, xxxxxx x xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xx xxxxxxxx x xxxxxxx x) 10 x více xxxxxxx x 1 001 a xxxx xxxx x xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx ztráty xxxxxxxxxxx 500&xxxx;000&xxxx;000 Kč xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx s xxxxxxxxx omezením xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx života postihujícího xxxx xxx 25&xxxx;000 xxxx. |
|
Xxxxxxxx pro xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx neexistuje xxxx xx xxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxx častější xxx xxxxxx xx 5 xxx. |
|
Xxxxxxx |
Xxxxxx xx xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx x xxxxxxx xx 1 xxxx xx 5 let. |
|
Vysoká |
Hrozba xx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Předpokládaná xxxxxxxxx xxxxxx je x xxxxxxx od 1 měsíce xx 1 xxxx. |
|
Xxxxxxxx |
Xxxxxx je xxxxx xxxxxxxxxxxxx xx xxxxxxxx jistá. Předpokládaná xxxxxxxxx xxxxxx xx xxxxxxxx xxx xxxxxx xx xxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx xxxx xx zneužití xxxxxxxxxxxxx xxxx xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxx nebo xxxxxxxx pokusy x xxxxxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxxxxxx je xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Existují xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxxxxx xx pravidelně xxxxxxxxxxxx. Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxx opatření xx xxxxxxx. Xxxxxx xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx xx xxxxxxxxxxxxx xx xxxxx pravděpodobná. Xxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxx jejich xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx x xxxx xxxxxxxxxx kontrolována. Xxxx xxxxx xxxxx úspěšné xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx xx xx xxxxxxxx xxxxx xxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxx xx xxxxxx xxxxxxxx xxxxxx xxxxxxx. Neprobíhá xxxxxxxx účinnosti xxxxxxxxxxxxxx xxxxxxxx. Xxxx známé xxxxxxx xxxxxx překonání xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx xx přijatelné. |
|
Střední |
Riziko xxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxx x případě xxxxx xxxxxxxxxx opatření xx xxxxxx přijatelné. |
|
Vysoké |
Riziko xx xxxxxxxxxx nepřípustné x musí xxx xxxxxxxx xxxxxxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx nepřípustné a xxxx být neprodleně xxxxxxxx kroky x xxxx xxxxxxxxxx. |
X xxxxxxx, xx orgán xxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx, která nerozlišuje xxxxxxxxx hrozby a xxxxxxxxxxxxx, xx xxxxx xxxxxxxx xxx hodnocení xxxxxx a zranitelností xxxxxxx. Xxxxxxxx xxxxxxx xx nemělo vést xx ztrátě xxxxxxxxxx xxxxxxxxx xxxx xxxxxx x zranitelnosti. Xx xxxxx xxxxxx xxx xxxxxx xxxxxxxxx komentář, xxxxx xxxxxxxx vyjádří xxx xxxxxx hrozby, xxx x xxxxxx xxxxxxxxxxxxx. Xxxxxxx postupuje x xxxxx nebo xxxxx xxxxxxx v §3 písm. x) xx x) xxxxxx, xxxxx xxxxxxx xxxx xxxxx xxxxxx pro xxxxxxxxx xxxxxx, xxxxxx, xxxxxxxxxxxxx x xxxxx.
Xxxxxxx x. 3 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx algoritmy
(1) Xxxxxxxxxx xxxxxxxxx
x) Xxxxxxx x proudové xxxxx xxx xxxxxxx xxxxxxxxxx x xxxxxxxxx
1. Xxxxxxxx Xxxxxxxxxx Xxxxxxxx (XXX) x využitím délky xxxxx 128, 192 x 256 xxxx Xxxxxx Xxxx Encryption Xxxxxxxx (3XXX) x xxxxxxxx xxxxx xxxxx 168 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx menším xxx 10 XX, xxxxxxxx xxxxxxxxx xx XXX.
2. Xxxxxx Xxxx Xxxxxxxxxx Xxxxxxxx (3XXX) x xxxxxxxx xxxxx xxxxx 112 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx klíče xxxxxx než 10 XX, xxxxxxxx xxxxxxxxx xx AES. Doporučeno xxxxxxx jedinečného xxxxx xxx xxxxxx xxxxxx.
3. Xxxxxxxx s xxxxxxxx xxxxxxxxx xxxxx klíčů 128 bitů, xxxxxxx xxxxxxx xxx se xxxxxxxxx klíče menším xxx 10 GB.
4. Xxxxxx s xxxxxxxx xxxxx xxxxx 128 xxxx, omezené xxxxxxx xxx se zatížením xxxxx menším než 10 XX.
5. Twofish x využitím délky xxxxx 128 až 256 bitů.
6. Xxxxxxx x xxxxxxxx xxxxx xxxxx 128, 192, 256 xxxx.
7. Xxxxxxxx x xxxxxxxx xxxxx xxxxx 128, 192 x 256 bitů.
8. XXXX 2.0, XXXX 3X x využitím xxxxx klíčů 128, 256 xxxx.
x) Módy xxxxxxxxx x xxxxxxxx xxxxxxxxx
1. XXX,
2. XXX,
3. XXX,
4. Xxxxxxx schémata xxxx "Xxxxxxx-xxxx-XXX".
Xxxxxxxx:
Xxxxxxxx typu "Xxxxxxx-xxxx-XXX",xxxx xxxxxxxx k xxxxxxxxx xxxxx uvedené xxxxxxxxx módy a x výpočtu XXX xxxxx xxxxxxx xxxx xxx xxxxxxx xxxxxxxxx.
x) Xxxx xxxxxxxxx
1. CTR,
2. XXX,
3. XXX,
4. XXX,
Xxxxxxxx:
Xxxx XXX x CFB xxxx xxx xxxxxxx x xxxxxxxx, xxx xxxxxxxx xxxxxxxxxxxxxxxxxx inicializačním xxxxxxxx, při xxxxxxx xxxx XXX xx xxx daný xxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxxx xxxxxxx, při xxxxxxx xxxx CTR xx xxx xxxx xxxx xxxxx opakovat xxxxxxx čítače, v xxxxxxx xxxxxxx XXX xxxx k xxxxxxxxx xxx xxxxxxx xxxxxxxxx xx xxxxx xxxxxx xxxxxxxx proti xxxxx xx xxxxxxx XXX xxxx.
x) Xxxx xxx xxxxxxx integrity
1. XXXX,
2. XXX-XXX-X9.19, xxxxxxx použití xxx xx zatížením xxxxxx než 109 XXX,
3. XXX-XXX-XXXX,
4. XXXX.
(2) Xxxxxxxxxxx xxxxxxxxx
x) Xxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx
1. Xxxxxxx Signature Xxxxxxxxx (XXX) x využitím xxxxx klíčů 2048 xxxx x xxxx, xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx 224 xxxx x xxxx.
2. Xxxxxxxx Xxxxx Digital Xxxxxxxxx Xxxxxxxxx (EC-DSA) x xxxxxxxx xxxxx klíčů 224 xxxx x xxxx.
3. Rivest-Shamir-Adleman Probablistic Xxxxxxxxx Scheme (RSA-PSS) x využitím xxxxx xxxxx 2048 xxxx x xxxx.
x) Xxx xxxxxxx xxxxx xx xxxxx a xxxxxxxxx xxxxx
1. Xxxxxx-Xxxxxxx (XX) x využitím xxxxx xxxxx 2048 xxxx x xxxx, délky xxxxxxxxx xxxxxxx podgrupy 224 xxxx x xxxx.
2. Xxxxxxxx Xxxxx Xxxxxx-Xxxxxxx (ECDH) x xxxxxxxx xxxxx xxxxx 224 xxxx x xxxx.
3. Xxxxxxxx Xxxxx Xxxxxxxxxx Xxxxxxxxxx Xxxxxx - Key Xxxxxxxxxxxxx Xxxxxxxxx (XXXXX-XXX) x xxxxxxxx xxxxx xxxxx 256 xxxx x xxxx.
4. Xxxxxxxx Secure Xxxxxxxx Curve - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXXX-XXX) s využitím xxxxx klíčů 256 xxxx více.
5. Asymetrie Xxxxxxx xxx Key Xxxxxxxxxxxxx Mechanism (XXX-XXX) x xxxxxxxx xxxxx xxxxx 256 bitů x xxxx.
6. Xxxxxx Xxxxxx Xxxxxxx - Xxxxxxx Xxxxxxxxx Xxxxxxxxxx Xxxxxxx (XXX-XXXX) x xxxxxxxx délky xxxxx 2048 a xxxx.
7. Xxxxxx Shamir Xxxxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (RSA-KEM) s xxxxxxxx xxxxx xxxxx 2048 x xxxx.
(3) Xxxxxxxxx hash xxxxxx
x) XXX-2
1. XXX-224,
2. XXX-256,
3. XXX-384,
4. SHA-512,
5. XXX-512/224,
6. XXX-512/256.
x) XXX-3
1. XXX3-224,
2. XXX3-256,
3. XXX3-384,
4. XXX3-512,
5. XXXXX-128,
6. SHAKE-256.
c) Ostatní xxxxxxxx xxxxxx
1. Xxxxxxxx,
2. XXXXXX-160,
3. XXX 1 x xxxxxxxx xxxxxxxx.
Xxxxxxxx x. 1:
XXX-1 xx xxxxx xxxxxxxx xxx xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx, časových xxxxxxx, xxxxxxxxx jiné aplikace xxxxxxxxxx nekolizní XXX-1.
Xxxxxxxx x. 2:
XXX-1 lze xxxxxxxx pouze xxx xxxxxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxx, generování x xxxxxxxxx XXXX-XXX1, xxxxxx pro xxxxxxxxxx xxxxx x xxxxxxxxxxxxx xxxxxxxxxx.
Xxxxxxx č. 4 x xxxxxxxx x. 316/2014 Sb.
Struktura xxxxxxxxxxxx xxxxxxxxxxx
Xxxx xxxxxxx obsahuje xxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx, xxxxx xxxxxxxxxx xxxxxxxxx podle této xxxxxxxx xxxxxxxxx, přičemž xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxx závazné x xx xx orgánu xxxx osobě xxxxxxx x §3 písm. x) až e) xxxxxx, xxxx xxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx. Xxxxxxxxx xx i změna xxxxx jednotlivých dokumentů xxxx integrování více xxxxx xx jednoho xxxxxxxxx.
X. Xxxxxxxxx bezpečnostní xxxxxxxx
(1) Politika systému xxxxxx xxxxxxxxxxx informací*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxx, xxxxxxxx x xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Rozsah x xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x postupy pro xxxxxx dokumentace.
d) Xxxxxxxx x xxxxxxx xxx xxxxxx zdrojů x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.
e) Xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx pro nápravná xxxxxxxx x xxxxxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx.
(2) Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxxxxxxxxx xxxx x xxxxxx xxxx x xxxxxxxxxx,
1. xxxxx a xxxxxxxxxx xxxxxxxx kybernetické xxxxxxxxxxx,
2. xxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
3. xxxxx a povinnosti xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
4. xxxxx x xxxxxxxxxx xxxxxxx aktiv,
5. xxxxx x xxxxxxxxxx výboru xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Požadavky xx xxxxxxxx výkonu xxxxxxxx xxxxxxxxxxxx bezpečnostních xxxx.
(3) Xxxxxxxx xxxxxx xxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. c)]
a) Xxxxxxxx x xxxxxxxx xxx xxxxx dodavatelů.
b) Xxxxxxxx xxx xxxxxxxxx xxxxx xxxxxxxxxx.
x) Xxxxxxxxxxx xxxxxxx o xxxxxx xxxxxx x způsobů x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x x xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx.
x) Pravidla xxx provádění xxxxxxxx xxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx xxxxxxxxxx.
(4) Xxxxxxxx xxxxxxxxxxx xxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxxxx, hodnocení x evidence xxxxxxxxxx xxxxx
1. určení x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx garanta,
2. xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx x hlediska xxxxxxxxxx, xxxxxxxxx x dostupnosti.
b) Xxxxxxxxxxxx, xxxxxxxxx a xxxxxxxx podpůrných xxxxx
1. xxxxxx a xxxxxxxx xxxxxxxxxxxx podpůrných aktiv xxxxxx určení xxxxxx xxxxxxx,
2. xxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx
1. xxxxxxx rozlišování xxxxxxxxxxxx úrovní aktiv,
2. xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx xxxxx xxxxx úrovní xxxxx,
3. xxxxxxxxx způsoby xxxxxxxxx xxxxx.
x) Způsoby xxxxxxxxxxxx xxxxxxx nebo ničení xxxxxxxxxxx xxxxxx dat.
(5) Xxxxxxxx bezpečnosti xxxxxxxx xxxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Pravidla xxxxxxx xxxxxxxxxxxxxx povědomí x xxxxxxx xxxx hodnocení
1. xxxxxxx x xxxxx xxxxxxx xxxxxxxxx,
2. xxxxxxx x formy xxxxxxx xxxxxxx aktiv,
3. xxxxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx a xxxxx xxxxxxx dalších xxxx zastávajících xxxxxxxxxxxx xxxx.
x) Bezpečnostní xxxxxxx xxxxxx xxxxxxxxxxx.
x) Pravidla xxx řešení případů xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxx xxxxxxxx xxxxxx.
1. xxxxxxx svěřených xxxxx x odebrání xxxx xxx ukončení xxxxxxxxxx xxxxxx,
2. xxxxx xxxxxxxxxxxx xxxxxxxxx při xxxxx xxxxxxxx xxxxxx.
(6) Xxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxx**
[§5 xxxx. 1 xxxx. f), §5 xxxx. 2 xxxx. x)]
x) Pravomoci x odpovědnosti spojené x xxxxxxxxx provozem.
b) Xxxxxxx bezpečného xxxxxxx.
x) Xxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx a bezpečnostních xxxxx.
(7) Politika xxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. g), §5 xxxx. 2 písm. x)]
x) Princip xxxxxxxxxxx xxxxxxxxx/xxxxxxx znát (xxxx xx know).
b) Xxxxxxxxx xx xxxxxx xxxxxxxx.
x) Xxxxxxx cyklus xxxxxx xxxxxxxx.
x) Řízení privilegovaných xxxxxxxxx.
x) Xxxxxx přístupu xxx xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx přezkoumání xxxxxxxxxxxx xxxxxxxxx včetně rozdělení xxxxxxxxxxxx uživatelů v xxxxxxxxxxxx skupinách.
(8) Politika xxxxxxxxxx xxxxxxx uživatelů*
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx pro bezpečné xxxxxxxxx x xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx použití xxxxxxxxxxxx pošty a xxxxxxxx na xxxxxxxx.
x) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx chování xx xxxxxxxxxx xxxxxx.
x) Bezpečnost xx xxxxxx x xxxxxxxx xxxxxxxxx.
(9) Xxxxxxxx xxxxxxxxxx x xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. i)]
a) Xxxxxxxxx xx zálohování x xxxxxx.
x) Pravidla x xxxxxxx zálohování.
c) Xxxxxxxx xxxxxxxxxx uložení xxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxx.
x) Xxxxxxxx x xxxxxxx testování xxxxxxxxxx x xxxxxx.
(10) Xxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxx informací**
[§5 xxxx. 1 písm. x)]
x) Xxxxxxxx x xxxxxxx pro ochranu xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx xxxxxxx elektronické výměny xxxxxxxxx.
x) Pravidla xxx xxxxxxxxx kryptografické xxxxxxx.
(11) Xxxxxxxx xxxxxx technických xxxxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx vybavení,
b) Xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) Xxxxxxxx a xxxxxxx xxxxxxxxx oprav xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxx oprav xxxxxxxxxxxx xxxxxxxx.
(12) Xxxxxxxx xxxxxxxxxx xxxxxxxxx mobilních xxxxxxxx*
[§5 xxxx. 1 xxxx. 1)]
x) Pravidla x postupy pro xxxxxxxx xxxxxxxxx mobilních xxxxxxxx.
x) Pravidla a xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx zařízení, xxxxxxx xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx nedisponuje.
(13) Xxxxxxxx poskytování a xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx x postupy xxxxxxxx programového xxxxxxxx x xxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx kontrolu xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
(14) Politika xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx*
[§5 xxxx. x xxxx. n)]
a) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxx a xxxxxxx.
x) Ochrana xxxxxxxxxxxxx xxxxxxxxx x xxxxxxx.
x) Xxxxxxxx xxxxxxxx x xxxxxxxxxxxx dokumentům x xxxxxxxx.
(15) Xxxxxxxx xxxxxxx xxxxxxxx údajů*
[§5 xxxx. x xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx údajů.
b) Xxxxx xxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx ochranu xxxxxxxx údajů.
(16) Xxxxxxxx xxxxxxx xxxxxxxxxxx**
[§5 xxxx. x písm. p)]
a) Xxxxxxxx pro xxxxxxx xxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx vstupu xxxx.
x) Xxxxxxxx xxx ochranu xxxxxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxx bezpečnosti.
(17) Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxx.
x) Xxxxxx xxxx x povinností xx xxxxxxxx xxxxxx xxxx.
x) Pravidla x xxxxxxx xxx xxxxxx xxxxxxxx x xxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx ochranu xxxxxxxxxx přístupu x xxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxxxxx xxxx a xxxxxxxxxxxxx xxxxxxxxxx záznamů.
(18) Politika xxxxxxx xxxx škodlivým xxxxx*
[§5 xxxx. l xxxx. r), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxxxxxx mezi xxxxxxx x xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx ochranu serverů x xxxxxxxxx xxxxxxxx xxxxxxx.
x) Pravidla x xxxxxxx pro xxxxxxx xxxxxxxxxx xxxxxx.
(19) Xxxxxxxx xxxxxxxx x používání xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx**
[§5 xxxx. 1 písm. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Provozní postupy xxx xxxxxxxxxxxxx x xxxxxxxxx xx detekované xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx optimalizaci xxxxxxxxx xxxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(20) Xxxxxxxx xxxxxxx x xxxxxx nástroje xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
b) Xxxxxxxx x postupy xxxxxxxxxx xxxxxxxxxxx pravidel xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro optimální xxxxxxxxx bezpečnostních vlastností xxxxxxxx pro sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(21) Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx**
[§5 xxxx. 1 xxxx. u), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxx x xxxxxxx na xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxx informací
1. xxx přenosu po xxxxxxxxxxxxx xxxxxx,
2. xxx xxxxxxx xx mobilní xxxxxxxx xxxx vyměnitelný xxxxxxxxx nosič xxx,
x) Xxxxxx xxxxxx xxxxx.
XX. Xxxxxxxxx xxxxx dokumentace
(1) Xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx**
[§28 xxxx. 1 písm. b)]
a) Xxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Kritéria xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx týmu xxxxxxxx x xxxx, které xx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx zúčastnily.
e) Datum x xxxxx, xxx xxxx xxxxxxxxx činnosti xxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(2) Xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 písm. c)]
a) Xxxxxxxxxxx opatření x xxxxxxxxxxx přezkoumání systému xxxxxx bezpečnosti xxxxxxxxx,
x) Xxxxxxxxxxxx xxxx x xxxxxxxxx, xxxxx mohou xxx xxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Zpětná vazba x výkonnosti xxxxxx xxxxxxxxxxx xxxxxxxxx
1. neshody x xxxxxxxx xxxxxxxx,
2. xxxxxxxx xxxxxxxxxxxx x xxxxxx,
3. výsledky xxxxxx,
4. xxxxxxxx cílů xxxxxxxxxxx,
x) Xxxxxxxx hodnocení xxxxx x xxxx plánu xxxxxxxx xxxxx.
x) Xxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxxxxxxx.
x) Doporučení xxxxxxxxxx xxxxxxxxxx, stanovení xxxxxxxx x osob xxxxxxxxxxxxx xxxxx jednotlivých xxxxxxxx.
(3) Xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx identifikaci x xxxxxxxxx xxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. x)]
x) Xxxxxx stupnice xxx xxxxxxxxx xxxxxxxxxx aktiv
1. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxxx xxx hodnocení úrovní xxxxxxxxx xxxxx,
3. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx rizik
1. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxx,
2. určení xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxx,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx,
4. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx rizik,
a) Metody x xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxx přijatelných xxxxx.
(4) Xxxxxx x xxxxxxxxx xxxxx x xxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxxxxxx aktiv
1. xxxxxxxxxxxx x popis xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxxxxx primárních aktiv x hlediska xxxxxxxxxx, xxxxxxxxx a dostupnosti.
b) Xxxxxxx xxxxxxxxxx xxxxx (xxxxxxx xxx orgány x osoby uvedené x §3 xxxx. x) xxxxxx)
1. identifikace x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx aktiv,
3. xxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx,
x) Xxxxxxxxxxxxxx x xxxxxxxxx xxxxx
1. xxxxxxxxx xxxxxxx xxxxxx xx xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
4. xxxxxxxxx úrovně xxxxxx, xxxxxxxxx této xxxxxx x xxxxxxxx pro xxxxxxxxxxxx xxxxx,
5. xxxxxx x xxxxxxxxx přijatelných xxxxx.
x) Zvládání xxxxx
1. xxxxx xxxxxxx zvládání xxxxx,
2. xxxxx xxxxxxxx x jejich realizace.
(5) Xxxxxxxxxx x aplikovatelnosti*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 písm. x)]
x) Xxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx včetně xxxxxxxxxx xxxxxx xxxxxx a xxxxxx vazby xx xxxxxxxxxxxxxx xxxxxx.
x) Přehled xxxxxxxxxx bezpečnostních opatření.
(6) Xxxx zvládání rizik**
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. e)]
a) Xxxxx x cíle xxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx.
x) Xxxxxxxx xxxxxx xxx xxxxxxxxxx bezpečnostní xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxxxx jednotlivá xxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx.
x) Termíny xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
(7) Xxxx xxxxxxx bezpečnostního povědomí*
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. x)]
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxxxx.
x) Obsah x xxxxxxx xxxxxxx xxxxxxx xxxxx (xxxxxxx xxx orgány x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx).
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxxxxxxxxx (xxxxxxx pro orgány x osoby uvedené x §3 xxxx. x) xxxxxx).
x) Obsah x termíny xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxx x xxxxxxx poučení xxxxxx xxxxxxxxxxx.
x) Xxxxx x xxxxxxx xxxxxxxxx xxxxx.
(8) Zvládání kybernetických xxxxxxxxxxxxxx incidentů**
[§28 odst. 1 xxxx. i), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx x zvládání xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx testování xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx x xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(9) Xxxxxxxxx xxxxxx kontinuity činností**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx x xxxxxxxxxx xxxxxxxxxxxx osob.
b) Cíle xxxxxx kontinuity xxxxxxxx
1. xxxxxxxxx xxxxxx poskytovaných xxxxxx,
2. doba xxxxxxxx xxxxx,
3. xxx xxxxxxxx xxxxx.
x) Xxxxxxxxx řízení xxxxxxxxxx činností xxx xxxxxxxx cílů kontinuity.
d) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx xxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxxx rizik.
e) Xxxxxx x obsah xxxxxxxxxx plánů kontinuity.
f) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx.
(10) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxx závazných xxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx závazků.
Poznámka:
* Xxxxxxxxx xxxxxxxxx dokumentu xx xx úrovni xxxxxxx xxxxx xxxxxxxx uvedené x příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.
** Xxxxxxxxx xxxxxxxxx xxxxxxxxx xx xx xxxxxx xxxxxx xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.
Xxxxxxx x. 5 x vyhlášce x. 316/2014 Xx.
Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx x. 6 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx a jeho xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx x. 7 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxx xxx xxxxxxx xxxxxxxxxxx údajů
Vyplnitelný formulář ve formátu PDF
Informace
Právní xxxxxxx x. 316/2014 Xx. xxxxx xxxxxxxxx xxxx 1.1.2015.
Xx xxx xxxxxxxx xxxxxx xxxxxxx nebyl xxxxx xx xxxxxxxxx.
Xxxxxx předpis x. 316/2014 Xx. xxx xxxxxx xxxxxxx xxxxxxxxx č. 82/2018 Sb. s xxxxxxxxx xx 28.5.2018.
Xxxxx xxxxxxxxxxxx xxxxxxxx norem xxxxxx právních předpisů x xxxxxxxx není xxxxxxxxxxxxx, xxxxx xx xxxx xxxxxx derogační xxxxx xxxxx xxxxxxxxx xxxxxxxx předpisu.
1) XXX/XXX 27001:2013, xxxxxxxx XXX XXX/XXX 27001:2014