Právní předpis byl sestaven k datu 31.10.2025.
Zobrazené znění právního předpisu je účinné od 28.05.2018 do 31.10.2025.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
82/2018 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení aktiv §4
Řízení rizik §5
Organizační bezpečnost §6
Bezpečnostní role §7
Řízení dodavatelů §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení změn §11
Řízení přístupu §12
Akvizice, vývoj a údržba §13
Zvládání kybernetických bezpečnostních událostí a incidentů §14
Řízení kontinuity činností §15
Audit kybernetické bezpečnosti §16
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §17
Bezpečnost komunikačních sítí §18
Správa a ověřování identit §19
Řízení přístupových oprávnění §20
Ochrana před škodlivým kódem §21
Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů §22
Detekce kybernetických bezpečnostních událostí §23
Sběr a vyhodnocování kybernetických bezpečnostních událostí §24
Aplikační bezpečnost §25
Kryptografické prostředky §26
Zajišťování úrovně dostupnosti informací §27
Průmyslové, řídicí a obdobné specifické systémy §28
Digitální služby §29
HLAVA III - BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní politika a bezpečnostní dokumentace §30
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Kategorizace kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ZÁVĚREČNÁ USTANOVENÍ
Přechodná ustanovení §35
Zrušovací ustanovení §36
Účinnost §37
Příloha č. 1 - Hodnocení aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Zranitelnosti a hrozby
Příloha č. 4 - Likvidace dat
Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace
Příloha č. 6 - Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role
Příloha č. 7 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy
Příloha č. 8 - Vzor Formuláře pro hlášení kontaktních údajů
82
XXXXXXXX
xx xxx 21. xxxxxx 2018
x bezpečnostních xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxx (xxxxxxxx o kybernetické xxxxxxxxxxx)
Xxxxxxx úřad pro xxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxx §28 xxxx. 2 xxxx. x) až x) a x) xxxxxx x. 181/2014 Xx., x kybernetické xxxxxxxxxxx a x xxxxx xxxxxxxxxxxxx zákonů (xxxxx x kybernetické xxxxxxxxxxx), xx znění xxxxxx x. 104/2017 Xx. x zákona x. 205/2017 Xx., (xxxx xxx "xxxxx"):
XXXX PRVNÍ
ÚVODNÍ USTANOVENÍ
§1
Předmět xxxxxx
Xxxx vyhláška zapracovává xxxxxxxxx předpis Xxxxxxxx xxxx1) x xxx xxxxxxxxxx xxxxxx kritické xxxxxxxxxx infrastruktury, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxxxxx systém xxxxxxxx xxxxxx anebo xxxxxxxxxx xxxxxx xxxx xxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, (xxxx xxx "xxxxxxxxxx a xxxxxxxxxxx xxxxxx") upravuje
a) xxxxx a xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) obsah x xxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxx, xxxxxxxxx x hodnocení významnosti xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
d) xxxxxxxxxxx a xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x provedení reaktivního xxxxxxxx a jeho xxxxxxxx,
x) xxxx oznámení xxxxxxxxxxx údajů x xxxx formu a
g) xxxxxx likvidace dat, xxxxxxxxxx xxxxx, informací x xxxxxx kopií.
§2
Xxxxxxxx pojmů
Pro xxxxx xxxx vyhlášky xx xxxxxx
x) xxxxxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxxx, xxxxxx, xxxxxxx, údržbu x xxxxxxxxxx technického xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxx xxxxxx, xxxxx je xxxxxxxxxx xxx xxxxx nebo xxxxx, xxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx zákona, (xxxx jen "xxxxxxx xxxxx") a není xxxxx xxx xxxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) bezpečnostní politikou xxxxxx xxxxx x xxxxxxxx, xxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxx,
x) hodnocením rizik xxxxxxx xxxxxx xxxxxxxxxxxx, xxxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxx potenciální xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu, xxxxx xxxx xxxxxxxx škodu,
f) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, zaměstnanci a xxxxxxxxxx xxxxxxxxxx xx xx xxxxxxx, xxxxxxx, xxxxxx nebo xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) primárním aktivem xxxxxxxxx nebo služba, xxxxxx xxxxxxxxxx nebo xxxxxxxxx xxxxxxxxxx a xxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxx, xx xxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxx x způsobí xxxxx,
x) řízením xxxxx xxxxxxx xxxxxxxxxx hodnocení xxxxx, xxxxx x xxxxxxxx xxxxxxxx xx xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx x xxxxxx x xxxxxxxxx x xxxxxxxxxxx xxxxx,
x) systémem xxxxxx bezpečnosti informací xxxx xxxxxxx řízení xxxxxxx xxxxx založená xx xxxxxxxx x xxxxxxx informačního x xxxxxxxxxxxxx systému, xxxxx xxxxxxx xxxxxx ustavení, xxxxxxxx, xxxxxxxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx informací x xxx,
x) technickým xxxxxxx takové technické xxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x programové vybavení xxxxxxxxxxxx x komunikačního xxxxxxx a xxxxxxx, xx xxxxxxx xxxx xxxx systémy xxxxxxxx, xxxxxxx selhání může xxx dopad xx xxxxxxxxxx x xxxxxxxxxxx xxxxxx,
x) uživatelem xxxxxxx xxxx xxxxxxxxx xxxxx xxxxx xxxxx veřejné xxxx, které využívají xxxxxx,
x) xxxxxxxxxx vedením xxxxx xxxx skupina xxxx, xxxxx řídí xxxxxxxx xxxxx, xxxx xxxxxxxxxx xxxxx xxxxxxx xxxxx,
x) xxxxxxxxx dodavatelem xxxxxxxxxxxx informačního nebo xxxxxxxxxxxxx xxxxxxx (xxxx xxx "provozovatel") a xxxxx, xxx x xxxxxxxx xxxxxx vstupuje xx xxxxxxxx vztahu, xxxxx je xxxxxxxx x xxxxxxxx bezpečnosti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxx xxxxx, která xx xxxx xxxx mít xxxx xx xxxxxxxxxxxxx xxxxxxxxxx a představuje xxxxxx xxxxxx,
x) xxxxxxxxxxxxx xxxxx místo xxxxxx xxxx xxxxx xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxx zneužito xxxxxx xxxx xxxx xxxxxxxx.
XXXX DRUHÁ
BEZPEČNOSTNÍ XXXXXXXX
XXXXX X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
Xxxxxxx osoba x xxxxx systému xxxxxx bezpečnosti informací
a) xxxxxxx x xxxxxxx xx xxxxxxxxx xxxxxxxxx xxxxx x organizační xxxxxxxxxx xxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xx xxxxxx xxxx xxxxxxxxxxx části a xxxxxx, xxxxx xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx týká,
b) xxxxxxx xxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) xxx xxxxxxxxx rozsah xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxxxxx xxxx xxxxxxx řízení bezpečnosti xxxxxxxxx, xxxxxxxxxxxxxx xxxxxx x xxxxxxxxx rizik xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxx xxxxxx xxxxx §5,
x) xxxxxxx x schválí xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, která xxxxxxxx xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx ve xxxxxx x řízení xxxxxxxxxxx informací, x xx xxxxxxx bezpečnostních xxxxxx x výsledků xxxxxxxxx rizik xxxxxxx xxxxxxxxxxxx politiku x xxxxxxx xxxxxxxxx xxxxx §30 x zavede xxxxxxxxx bezpečnostní opatření,
f) xxxxxxx provedení xxxxxx xxxxxxxxxxxx bezpečnosti u xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx (dále jen "xxxxx xxxxxxxxxxxx xxxxxxxxxxx") xxxxx §16,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, které xxxxxxxx xxxxxxxxx stavu xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx revize xxxxxxxxx xxxxx, xxxxxxxxx xxxxxxxx xxxxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx a následně xxxxx §11 řídí xxxxxxxx změny, xxxxx xxxxx xx rozsahu xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxxxx informací x xxxxxxxxxx xxxxxxxxxxx xx základě xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx vyhodnocení xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a v xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxxx x
x) xxxx xxxxxx x xxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx a xxxxxxxxxxx činnosti xxxxxxx xx systémem řízení xxxxxxxxxxx informací x xxxxxxx rizik.
§4
Xxxxxx aktiv
(1) Povinná xxxxx x xxxxx xxxxxx aktiv
a) xxxxxxx xxxxxxxx xxx identifikaci xxxxx,
x) xxxxxxx xxxxxxxx xxx hodnocení xxxxx xxxxxxx v xxxxxxx xxxxxxxx x příloze č. 1 x xxxx vyhlášce,
c) xxxxxxxxxxxx x eviduje xxxxxx,
x) určí x xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx x eviduje xxxxxxxx aktiva x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x xxxxxx je xx xxxxxxxxxxxx úrovní xxxxx xxxxxxx x),
x) xxxx x xxxxxxx vazby xxxx xxxxxxxxxx x xxxxxxxxxx aktivy a xxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxxx xxxxxx a xxxxxxxxxx přitom xxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxx x),
x) na xxxxxxx xxxxxxxxx aktiv xxxxxxxxx a xxxxxx xxxxxxxx xxxxxxx nutná xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
x) stanoví xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx xxx xxxxxxxxxx x xxxxxx x xxxxxxx xx xxxxxx xxxxx, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxxxx x fyzické xxxxxxxxx xxxxx, x
x) xxxx xxxxxx likvidace xxx, xxxxxxxxxx údajů, informací x xxxxxx kopií xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxx x xxxxxxx xx xxxxxx xxxxx x xxxxxxx x přílohou č. 4 k xxxx xxxxxxxx.
(2) Při xxxxxxxxx xxxxxxxxxxx primárních xxxxx xx třeba xxxxxxxx xxxxxxx
x) rozsah x xxxxxxxxxx xxxxxxxx xxxxx, xxxxxxxxxx kategorií xxxxxxxx údajů xxxx xxxxxxxxxx xxxxxxxxx,
x) rozsah xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxx závazků,
c) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, xxxxxxxxxx xxxx ekonomických xxxxx x xxxxx xxxxxxxx xxxxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxx,
x) rozsah narušení xxxxxxx xxxxxxxx,
x) dopady xx xxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx xxxxx xxxxxxx,
x) xxxxxx xx bezpečnost a xxxxxx xxxx,
x) xxxxxx xx mezinárodní vztahy x
x) xxxxxx xx xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému.
§5
Xxxxxx xxxxx
(1) Povinná xxxxx x xxxxx xxxxxx xxxxx x xxxxxxxxxx xx §4
x) xxxxxxx metodiku pro xxxxxxxxx xxxxx, xxxxxx xxxxxxxxx kritérií xxx xxxxxxxxxxxxxxxx rizik,
b) s xxxxxxx xx aktiva xxxxxxxxxxxx relevantní xxxxxx x zranitelnosti; přitom xxxxxxx xxxxxxx xxxxxxxxx xxxxxx a xxxxxxxxxxxxx xxxxxxxxx v příloze č. 3 x této xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxx x pravidelných xxxxxxxxxxx xxxxx xxxxxxxx 2 x xxx xxxxxxxxxx xxxxxxx,
x) xxx xxxxxxxxx xxxxx xxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxxxxxxx x xxxxxxx xxxxx xxxxxx xx aktiva; xxxx xxxxxx hodnotí xxxxxxx v xxxxxxx přílohy č. 2 k xxxx xxxxxxxx,
x) xxxxxxxx xxxxxx x xxxxxxxxx rizik,
f) xxxxxxxx na xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx požadovaných xxxxx vyhláškou, xxxxx
1. xxxxxx xxxxxxxxxx, xxxxxx xxxxxxxxxx,
2. byla xxxxxxxxxx, xxxxxx xxxxxxx xxxxxx,
x) xxxxxxxx x zavede xxxx zvládání xxxxx, xxxxx xxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx zvládání xxxxxxxxxxxx rizik, xxxxxx xxxxx zajišťující xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x informační xxxxxx, xxxxxx xxxxxx xxxxxxxx, xxxxx xxxxx mezi xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx,
x) xxx xxxxxxxxx xxxxx x x xxxxx xxxxxxxx xxxxx xxxxxxxx
1. xxxxxxxx xxxxx,
2. xxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
3. xxxxxxxx xxxxx §11 xxxxxx x
4. xxxxxxxxxxxx xxxxxxxxxxxx incidenty, xxxxxx xxxxx xxxxxxxx, x
x) x xxxxxxx x xxxxxx zvládání xxxxx xxxxxx xxxxxxxxxxxx opatření.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), d) a x) xxxxxx xxxxxxx xxxxxxxxx rizik xxxxxxx xxxxxx xxxxx x xxxxxxx osoba uvedená x §3 písm. x) xxxxxx alespoň xxxxxx xx tři xxxx.
(3) Řízení rizik xxxx být xxxxxxxxx x jinými xxxxxxx, xxx xxx je xxxxxxxxx v odstavci 1 xxxx. d), xxxxx xxxxxxx xxxxx xxxxxxxxx, xx použitá xxxxxxxx xxxxxxx stejnou xxxx xxxxx xxxxxx xxxxxxx xxxxxx xxxxx.
§6
Organizační bezpečnost
(1) Povinná xxxxx x xxxxxxx xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx
x) zajistí xxxxxxxxx bezpečnostní xxxxxxxx x xxxx xxxxxxx xxxxxx xxxxxxxxxxx informací xxxxx §3 xxxxxxxxxxxx xx strategickým směřováním xxxxxxx osoby,
b) xxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací xx xxxxxxx povinné xxxxx,
x) xxxxxxx dostupnost zdrojů xxxxxxxxxx xxx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a xxxxxxx dosažení xxxxx x jeho xxxxxxxxx xx xxxxx dotčenými xxxxxxxx,
x) xxxxxxx podporu x xxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxxxxx x rozvíjení xxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxx xx při xxxxx xxxxxxxxx,
x) prosazuje xxxxxxxx zlepšování systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx při xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x oblastech xxxxxx xxxxxxxxxxxx,
x) zajistí xxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx x xxxx, xxxxx budou xxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxxx, xxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) pro xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxx xxxxxx xxxxxxxxxxxx prostředků x xxxxxxxxxx xxxxxx xxxx x xxxxxx xxxxxxxxxxxxx xxxxx a
l) zajistí xxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx, obnovy a xxxxxxx xxxxxxxxx se xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
(2) Povinná xxxxx x xxxxx systému xxxxxx bezpečnosti informací xxxx xxxxxxx výboru xxx řízení xxxxxxxxxxxx xxxxxxxxxxx a bezpečnostní xxxx x xxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxxx xx systémem xxxxxx xxxxxxxxxxx xxxxxxxxx.
(3) Xxxxxxx osoba uvedená x §3 xxxx. x), d) x x) zákona xxxx xxxxx, xxxxx xxxx xxxxxxxx bezpečnostní xxxx
x) xxxxxxxx xxxxxxxxxxxx bezpečnosti,
b) xxxxxxxxxx xxxxxxxxxxxx bezpečnosti,
c) xxxxxxx xxxxxx x
x) xxxxxxxx xxxxxxxxxxxx bezpečnosti.
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxx xxxx xxxxxxxx kybernetické xxxxxxxxxxx x xxxxxxx xxxxxx. Xxxxxxx bezpečnostní xxxx xxxxx xxxxxxxx 3 xxxx přiměřeně xxxxxxxx x xxxxxxx x xxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
(5) Xxxxxxx xxxxx uvedená x §3 xxxx. x), x) a x) xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx rolí xxxxxxxxx v xxxxxxxx 3 xxxx. a) x x).
(6) Povinná xxxxx uvedená v §3 xxxx. e) xxxxxx xxxxxxx zastupitelnost xxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(7) Výbor xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx tvořen xxxxxxx s příslušnými xxxxxxxxxxx x odbornou xxxxxxxxxxxx pro xxxxxxx xxxxxx a rozvoj xxxxxxx xxxxxx bezpečnosti xxxxxxxxx x xxxxxxx xxxxxxxx xx xxxxxxxxxxxx xx xxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxx xxxx xxx alespoň xxxxx xxxxxxxx vrcholového xxxxxx xxxx xxx xxxxxxxx xxxxx x manažer xxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxx xxxxx x xxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx uvedeným x příloze č. 6 x xxxx xxxxxxxx.
§7
Xxxxxxxxxxxx xxxx
(1) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) je xxxxxxxxxxxx xxxx xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx informací, xxxxxxx xxxxxxx xxxx xxxx xxxx xxx pověřena xxxxx, xxxxx xx xxx tuto xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx způsobilost xxxxx x řízením kybernetické xxxxxxxxxxx xxxx x xxxxxxx xxxxxxxxxxx informací
1. xx dobu nejméně xxx xxx, nebo
2. xx xxxx xxxxxxx xxxx, xxxxx xxxxxxxxxxx xxxxxxx xx xxxxxx xxxxx,
x) xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxx vrcholového xxxxxx x
1. činnostech xxxxxxxxxxxxx x xxxxxxx xxxx odpovědnosti x
2. xxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací a
c) xxxxx být pověřen xxxxxxx rolí xxxxxxxxxxx xx xxxxxx informačního x komunikačního systému.
(2) Xxxxxxxxx kybernetické xxxxxxxxxxx xx xxxxxxxxxxxx xxxx xxxxxxxxx xx zajištění xxxxxx implementace bezpečnostních xxxxxxxx tak, aby xxxx zajištěna bezpečná xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx, xxxxxxx xxxxxxx této role xxxx xxx pověřena xxxxx, která xx xxx xxxx činnost xxxxxxxxx x xxxxxxx xxxxxxxx způsobilost praxí x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx bezpečnosti
a) xx dobu xxxxxxx xxx xxx, xxxx
x) xx xxxx xxxxxxx xxxx, pokud absolvovala xxxxxxx xx xxxxxx xxxxx.
(3) Xxxxxx aktiva xx bezpečnostní role xxxxxxxxx xx zajištění xxxxxxx, použití x xxxxxxxxxx xxxxxx.
(4) Auditor xxxxxxxxxxxx bezpečnosti
a) xx xxxxxxxxxxxx xxxx odpovědná xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx této role xxxx být pověřena xxxxx, která je xxx xxxx xxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x prováděním xxxxxx xxxxxxxxxxxx bezpečnosti nebo xxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xx xxxx nejméně xxx xxx, xxxx
2. xx xxxx xxxxxxx roku, xxxxx xxxxxxxxxxx xxxxxxx xx vysoké xxxxx,
x) xxxxxxxx, xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxx, x
x) xxxxx xxx xxxxxxx xxxxxxx xxxxxx bezpečnostních xxxx.
(5) Xxxxxxx xxxxx xxx xxxxxxxx osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx x příloze č. 6 x xxxx vyhlášce.
§8
Xxxxxx xxxxxxxxxx
(1) Xxxxxxx xxxxx
x) stanoví xxxxxxxx xxx dodavatele, která xxxxxxxxxx xxxxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx,
x) xxxx xxxxxxxx svých xxxxxxxxxx xxxxxxxxxx,
x) prokazatelně xxxxxxx xxxxxxxxx xxx xxxxxxxx dodavatele o xxxxxx xxxxxxxx podle xxxxxxx x),
x) xxxxxxxxx xxx xxxxxxxxxx s xxxxxxxx xxxxx xxxxxxx x) x xxxxxxxx xxxxxx těchto xxxxxxxx,
x) xxxx rizika spojená x xxxxxxxxxx,
x) x xxxxxxxxxxx x xxxxxxx xxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxx, xxx smlouvy uzavírané x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx oblasti xxxxxxx x příloze č. 7 x xxxx xxxxxxxx, x
x) xxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxx s xxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx u významných xxxxxxxxxx xxxx
x) x xxxxx výběrového xxxxxx x před uzavřením xxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxxx výběrového xxxxxx xxxxxxxxx xxxxx přílohy č. 2 x xxxx xxxxxxxx,
x) v rámci xxxxxxxxxxx smluvních xxxxxx xxxxxxx xxxxxxx a xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx u xxxxxxxxxxxxx xxxxxx pomocí xxxxxxxxx xxxxxx xxxx xxxxxx xxxxx xxxxxx x
x) x reakci xx rizika a xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxx.
(3) Xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 1 písm. x) jsou
a) xxxxxxxxxxxx xxxxxxx nebo xxxxxxxxxxxxx,
x) xxxxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxxx, xx xxxxxxxxx xx pro xxxxxxx xxxxxxxxx xxxxxxxxxxx, x popřípadě xxxx x xxx, xx xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx, x
x) xxxxx pravidel xxxxx xxxxxxxx 1 písm. x).
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona, xxxxx xx xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 1 xxxx. x), hlásí xxxxxxxxx údaje formou xxxxxxxx x §34.
§9
Xxxxxxxxxx lidských xxxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxxxxxxxx xxxxxxxx zdrojů
a) x xxxxxxx na xxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxx xx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx xxxxx, obsah x xxxxxx
1. xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, osob zastávajících xxxxxxxxxxxx xxxx x xxxxxxxxxx x jejich xxxxxxxxxxxx x x xxxxxxxxxxxx politice a
2. xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxx školení uživatelů, xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx role,
b) xxxx xxxxx odpovědné xx xxxxxxxxx jednotlivých xxxxxxxx, xxxxx xxxx x plánu xxxxxxx,
x) x xxxxxxx s xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx poučení xxxxxxxxx, administrátorů, osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x dodavatelů x xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx politice xxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) xxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx v xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx odborná školení, xxxxxxx xxxxxxx x xxxxxxxxxx xxxxxx povinné xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) x xxxxxxx x plánem xxxxxxx xxxxxxxxxxxxxx povědomí xxxxxxx pravidelné školení x ověřování xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx v xxxxxxx x xxxxxx xxxxxxxx xxxxxx,
x) zajistí xxxxxxxx xxxxxxxxxx bezpečnostní xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) x případě xxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxxx x xxxxxxx zastávajícími xxxxxxxxxxxx xxxx xxxxxxx xxxxxxx xxxxxxxxxxxx,
x) hodnotí xxxxxxxx xxxxx xxxxxxx bezpečnostního xxxxxxxx, xxxxxxxxxxx xxxxxxx x xxxxxxx činností xxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
x) xxxx xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxx porušení xxxxxxxxxxx xxxxxxxxxxxxxx pravidel ze xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
(2) Xxxxxxx xxxxx xxxx x xxxxxxx podle xxxxxxxx 1 xxxxxxxx, xxxxx xxxxxxxx xxxxxxx školení x xxxxxx xxxx, xxxxx školení xxxxxxxxxxx.
§10
Řízení xxxxxxx a xxxxxxxxxx
(1) Xxxxxxx xxxxx x rámci xxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx a stanoví xxxxxxxx pravidla a xxxxxxx, které obsahují xxxxxxx
x) xxxxx a xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxx x xxxxxxxx xxxxx xxxxxxx, xxx xxxxxxx nebo xxxxxxxx xxxxx systému xx xxxxxxx x xxx ošetření xxxxxxxxx xxxxx xxxx mimořádných xxxx,
x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxx xxxxxxx přístupu x xxxxxxxx x xxxxxx xxxxxxxxxx,
x) xxxxxxxx x postupy xxx xxxxxxx před škodlivým xxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxxxx na xxxxxxxxx xxxxx, xxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxx x technické xxxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxxxx provozních xxxx,
x) postupy xxx xxxxxxxxx, plánování x xxxxxx kapacity lidských x xxxxxxxxxxx xxxxxx,
x) xxxxxxxx x xxxxxxx xxx xxxxxxx informací x xxx v xxxxxxx xxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxx a xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx použitelnosti xxxxxxxxxxx xxxxx x
x) xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxxxxxxx síťových xxxxxx.
(2) Povinná xxxxx x xxxxx řízení xxxxxxx x xxxxxxxxxx xxxxxxxx pravidla x xxxxxxx stanovené xxxxx xxxxxxxx 1 x xxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx x xxxxxxxxxxx s prováděnými xxxx xxxxxxxxxxx změnami.
(3) Xxxxxxx xxxxx zajistí xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx x provozního xxxxxxxxx.
§11
Xxxxxx xxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxx x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx
x) xxxxxxxxxxx xxxxx xxxxxx změn x
x) xxxxxx xxxxxxxx změny.
(2) Xxxxxxx xxxxx x xxxxxxxxxx xxxx
x) xxxxxxxxxxx xxxxxx xxxxxx,
x) xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxx xx účelem xxxxxxx všech nepříznivých xxxxxx xxxxxxxxx s xxxxxxxxxx změnami,
d) xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx dokumentaci,
e) zajistí xxxxxx xxxxxxxxx x
x) xxxxxxx xxxxxxx xxxxxxxxx xx xxxxxxxxx xxxxx.
(3) Xxxxxxx xxxxx uvedená x §3 písm. x), x) a x) xxxxxx xx xxxxxxx xxxxxxxx xxxxxxx xxxxx xxxxx xxxxxxxx 2 xxxx. x) xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx testování xxxx xxxxxxxxx xxxxxxxxxxxxx; pokud xxxxxxxx o provedení xxxxxxxxxxxx testování xxxx xxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx xxxxx §25 xxxx. 1 x reaguje xx xxxxxxxx xxxxxxxxxx.
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx se xxxx požadavky xxxxx xxxxxxxx 3 přiměřeně.
§12
Xxxxxx xxxxxxxx
(1) Xxxxxxx xxxxx xx základě xxxxxxxxxx a xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx systému a xxxxxxx xxxxxxxx, která xxxxxx x xxxxxxxxx xxxxxxx údajů, xxxxx xxxx používány xxx xxxxxxxxxx xxxxx §19 x 20, a xxxxx brání ve xxxxxxxx xxxxxx údajů xxxxxxxxxxxx xxxxxx.
(2) Xxxxxxx xxxxx xxxx x xxxxx xxxxxx přístupu x informačnímu x xxxxxxxxxxxxx systému
a) xxxx xxxxxxx xx xxxxxxx xxxxxx x xxxx,
x) xxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxxx přistupujícímu x informačnímu x xxxxxxxxxxxxx xxxxxxx přístupová xxxxx x oprávnění x jedinečný xxxxxxxxxxxxx,
x) xxxx identifikátory, přístupová xxxxx a oprávnění xxxxxxxx x xxxxxxxxxxx xxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxxx pro xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxxxxxxxxx opatření xxxxxxxx xxx xxxxxxxx používání xxxxxxxxx zařízení x xxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxxxx x xxxxxxxxxxxx xxxxxxxx spojená x xxxxxxxx technických xxxxxxxx, xxxxx xxxxxxx xxxxx xxxx xx své xxxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxx oprávnění xx xxxxxx xxxxxxxx nutnou x xxxxxx xxxxxx xxxxx,
x) omezí x xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx nebo xxxxxxxxx xxxxxxxx,
x) xxxxxxxxx x xxxxxxx přístupová oprávnění x souladu x xxxxxxxxx xxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxx xx xxxxxxxxxxxx skupin x xxxx,
x) xxxxxxx xxxxxxx pro správu x ověřování xxxxxxxx xxxxx §19 x xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx podle §20,
x) xxxxxxxxx, aby xxxxxxxxx xxx xxxxxxxxx xxxxxxxxxx autentizačních xxxxxxxxx xxxxxxxxxx xxxxxxxxx postupy,
l) xxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxx xxxx zařazení xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) xxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx ukončení xxxx xxxxx smluvního xxxxxx x
x) xxxxxxxxxxx přidělování x xxxxxxxxx přístupových xxxxxxxxx.
§13
Xxxxxxxx, xxxxx x xxxxxx
Xxxxxxx osoba x xxxxxxxxxxx s xxxxxxxxxx xxxxxxxx, vývojem x xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx
x) xxxx xxxxxx podle §5,
x) xxxx xxxxxxxx změny xxxxx §11,
x) stanoví xxxxxxxxxxxx požadavky,
d) zahrne xxxxxxxxxxxx xxxxxxxxx do xxxxxxxx xxxxxxxx, xxxxxx x údržby,
e) xxxxxxx xxxxxxxxxx vývojového x xxxxxxxxxxx prostředí a xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxx,
x) provádí xxxxxxxxxxxx testování xxxxxxxxxx xxxx xxxx jejich xxxxxxxxx xx xxxxxxx x
x) xxxx požadavek xxxxx §19 odst. 3, xx-xx cílem xxxxxxxxx xxxxxxxx nebo xxxxxx nástroj pro xxxxxx x xxxxxxxxx xxxxxxxx.
§14
Zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx zvládání kybernetických xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx
x) xxxxxx proces xxxxxxx a vyhodnocování xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
b) přidělí xxxxxxxxxxxx a stanoví xxxxxxx xxx
1. detekci x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx x
2. xxxxxxxxxx x xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx x xxxxxxxx xxxxxxx xxx xxxxxxxxxxxx, xxxx, xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx analýzu xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu,
d) xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxx xxxx §22 a 23,
x) xxxxxxx, že xxxxxxxxx, xxxxxxxxxxxxxx, xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxx xxxxxxxxxxx x xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx a xxxxxxxxx xx jakékoliv xxxxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxx kterém musí xxx xxxxxxxxxx, xxx xxxx být xxxxxxxxxxxxx xxxx kybernetické bezpečnostní xxxxxxxxx xxxxx §31,
x) xxxxxxx zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle xxxxxxxxxxx postupů,
i) xxxxxxx xxxxxxxx xxx xxxxxxxxx x zmírnění dopadu xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx,
x) xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §32,
x) xxxx xxxxxxx o xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx x o xxxxxx xxxxxxxx,
x) prošetří a xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x
x) xxxxxxxxx účinnost xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu x na xxxxxxx xxxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxx opatření, xxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. c), x) x x) xxxxxx xxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx xxxxxxx nástroj xxxxx §24.
§15
Řízení kontinuity xxxxxxxx
Xxxxxxx xxxxx v xxxxx xxxxxx kontinuity činností
a) xxxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxx hodnocení xxxxx x xxxxxxx xxxxxx xxxxxxxxx a xxxxxxxxxxx xxxxx dopady xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx x xxxxxxx xxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxxx,
x) xx xxxxxxx xxxxxxx xxxxxxxxx xxxxx x xxxxxxx xxxxxx podle xxxxxxx x) xxxxxxx xxxx řízení kontinuity xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx, xxxxx xx xxxxxxxxxx pro užívání, xxxxxx x xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
2. doby obnovení xxxxx, během xxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému, a
3. xxxx xxxxxxxx xxx xxxx xxxxxx období, xx které musí xxx xxxxxx obnovena xxxx po xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxx xx xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx, která xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx c),
e) vypracuje, xxxxxxxxxxx x pravidelně xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx x havarijní xxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x xxxxxxxxxxxxx xxxxxx a
f) xxxxxxxxx xxxxxxxx xxx xxxxxxx odolnosti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx x omezením xxxxxxxxxxx x xxxxxxx xxx xxx z xxxxxxxxx podle §27.
§16
Audit kybernetické xxxxxxxxxxx
(1) Xxxxxxx osoba x xxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xxxxxxx x xxxxxxxxxxx audit dodržování xxxxxxxxxxxx politiky, xxxxxx xxxxxxxxxxx technické xxxxx, x xxxxxxxx xxxxxx xxxxxxxx v plánu xxxxxxx bezpečnostního xxxxxxxx x xxxxx xxxxxxxx xxxxx a
b) xxxxxxxx xxxxxx bezpečnostních opatření x xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, vnitřními xxxxxxxx, xxxxxx předpisy x xxxxxxxxx závazky xxxxxxxxxxxx xx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x určí xxxxxxxx nápravná xxxxxxxx xxx xxxxxxxxx xxxxxxx.
(2) Xxxxx xxxxx xxxxxxxx 1 xx xxxxxxxx
x) xxx xxxxxxxxxx xxxxxxx, x xxxxx xxxxxx xxxxxxx,
x) v xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx po 3 xxxxxx x xxxxxxx povinné xxxxx xxxxxxx x §3 xxxx. x) xxxxxx x
x) x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx po 2 letech v xxxxxxx povinné xxxxx xxxxxxxxx x xxxxxxx x).
(3) Xxxx-xx x xxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx audit x xxxxxxxxxxx xxxxx xxxxxxxx 2 písm. b) x x) x xxxxx xxxxxxx, xx xxxxx audit xxxxxxxx xxxxxxxx xx xxxxxxxxxxxxxx xxxxxxx. V xxxxxxx xxxxxxx xx xxxxx xxxxx x celém xxxxxxx xxxxxxx xxxxxxxxxx xx 5 let.
(4) Xxxxx kybernetické xxxxxxxxxxx xxxx být xxxxxxxx xxxxxx xxxxxxxxxx podmínkám xxxxxxxxxx x §7 xxxx. 4, xxxxx xxxxxxxxx hodnotí správnost x účinnost xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(5) Xxxxxxx xxxxx, xxxxx xx xxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx.
HLAVA XX
XXXXXXXXX OPATŘENÍ
§17
Fyzická xxxxxxxxxx
Xxxxxxx xxxxx v xxxxx xxxxxxx bezpečnosti
a) xxxxxxxxx xxxxxxxxx, xxxxxxx xxxx xxxxxxxx aktiv xxxx přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) stanoví xxxxxxx bezpečnostní perimetr xxxxxxxxxxxx xxxxxx, xx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, x
x) x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx x) přijme xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxx fyzické xxxxxxxxxxx
1. x xxxxxxxx xxxxxxxxxxxxx xxxxxx,
2. k xxxxxxxx poškození x xxxxxxxxxxxx xxxxxxx a
3. xxx xxxxxxxxx xxxxxxx xx úrovni xxxxxxx x x rámci xxxxxxx.
§18
Bezpečnost xxxxxxxxxxxxx sítí
Povinná xxxxx xxx xxxxxxx xxxxxxxxxxx komunikační xxxx xxxxxxxx v xxxxxxx xxxxx §3 xxxx. x)
x) zajistí segmentaci xxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxx xxxxxxxxxx v xxxxx xxxxxxxxxxx xxxx x perimetru xxxxxxxxxxx xxxx,
x) pomocí xxxxxxxxxxxx xxxxxxx xxxxxxxxx a xxxxxxxxx xxx xxx xxxxxxxxx přístupu, xxxxxxxx xxxxxx nebo xxx xxxxxxxx xx xxxxxxxxxxx xxxx xxxxxx bezdrátových xxxxxxxxxxx,
x) aktivně xxxxxxx xxxxxxxxx xxxxxxxxxx x
x) xxx xxxxxxxxx xxxxxxxxxx xxxx a xxx xxxxxx xxxxxxxxxx mezi xxxxxx xxxxxxxx využívá xxxxxxx, který xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx.
§19
Xxxxxx a ověřování xxxxxxx
(1) Povinná xxxxx xxxxxxx nástroj pro xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x aplikací xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxx xxx správu x ověření xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxx zajišťuje
a) xxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxxxx x xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) xxxxxx počtu xxxxxxx xxxxxxxxxxx pokusů x xxxxxxxxxx,
x) xxxxxxxx uložených xxxx xxxxxxxxxxx autentizačních xxxxx xxxxx neoprávněnému xxxxxxxx x xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxxxx údajů xx xxxxx xxxxxx xxxxx xxxxxxx xxxxxx,
x) xxxxxxxx ověření xxxxxxxx xx xxxxxx xxxx xxxxxxxxxx,
x) xxxxxxxx důvěrnosti xxxxxxxxxxxxxx xxxxx xxx xxxxxx xxxxxxxx a
g) xxxxxxxxxxxxxxx xxxxxx xxxxxxx.
(3) Xxxxxxx osoba xxx xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx není založený xxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxx x xxxxx, nýbrž xx xxxxxxxxxxxxx xxxxxxxxxxx s xxxxxxx xxxxx xxxxxxx xxxx xxxxxxx.
(4) Do xxxx xxxxxxx požadavku xxxxx xxxxxxxx 3 xxxx nástroj xxx xxxxxxx xxxxxxxx uživatelů, xxxxxxxxxxxxxx x xxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxx x xxxxxxx obdobnou xxxxxx xxxxxxxxxxx.
(5) Do xxxx xxxxxxx xxxxxxxxx podle xxxxxxxx 3 xxxx 4 xxxx xxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx, administrátorů a xxxxxxxx, xxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxx x xxxxx, xxxxxxxxx xxxxxxxx
x) xxxxx xxxxx xxxxxxx
1. 12 xxxxx x xxxxxxxxx x
2. 17 xxxxx x xxxxxxxxxxxxxx x xxxxxxxx,
x) xxxxxxxxxx zadat xxxxx x délce xxxxxxx 64 xxxxx,
x) xxxxxxxxxxx použití xxxxxx x xxxxxxx xxxxxx, xxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx uživatelům xxxxx xxxxx, xxxxxxx xxxxxx mezi dvěma xxxxxxx xxxxx nesmí xxx xxxxxx xxx 30 minut,
e) xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxxxxxxxxx
1. xxxxxx xx nejčastěji xxxxxxxxx xxxxx,
2. xxxxxx xxxxx na xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx, xxxxxxxxxxxxxx jména, x-xxxxx, xxxxx xxxxxxx xxxx xxxxxxxx způsobem x
3. opětovné xxxxxxx xxxxx používaných hesel x xxxxxx alespoň 12 xxxxxxxxxxx xxxxx x
x) xxx povinnou xxxxx hesla x xxxxxxxxx maximálně xx 18 měsících, xxxxxxx xxxx pravidlo se xxxxxxxxxx na xxxx xxxxxxxx x xxxxxx xxxxxxx v případě xxxxxxx.
(6) Xxxxxxx xxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxxx pouze xxxxx x xxxxxx xxxx
x) xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxx po xxxx xxxxxx použití,
b) xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx k xxxxxxxx xxxxxxxx xx jeho xxxxxx použití xxxx xxxxxxxxx xxxxxxx 60 xxxxx xx xxxx xxxxxxxxx x
x) povinně xxxxxx xxxxxxxx xxxxxx xxxxxxxxxx hesel xx xxxxx xxxxxxx bezpečnostního xxxxxxxx podle §9.
§20
Řízení xxxxxxxxxxxx oprávnění
Povinná xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxx xxx řízení xxxxxxxxxxxx oprávnění, xxxxxx xxxxxxx řízení xxxxxxxxx
x) xxx xxxxxxx k xxxxxxxxxxx aktivům xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x
x) xxx xxxxx xxx, zápis xxx x xxxxx xxxxxxxxx.
§21
Xxxxxxx xxxx xxxxxxxxx xxxxx
(1) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. c), d) x x) xxxxxx x xxxxx xxxxxxx xxxx škodlivým xxxxx
x) x xxxxxxx na xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxx nástroje xxx xxxxxxxxxxxx automatickou ochranu
1. xxxxxxxxx xxxxxx,
2. xxxxxxxxx xxxxxxxx,
3. xxxxxxx,
4. datových xxxxxxx a výměnných xxxxxxxx xxxxxx,
5. xxxxxxxxxxx xxxx a prvků xxxxxxxxxxx xxxx a
6. xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x řídí xxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx,
x) xxxx xxxxxxxxxxx spouštění xxxxxx xxxxxxxxx xxxxxxxx a xxxxxxxx xxxxxx,
x) xxxx xxxxxxxxx ke xxxxxxxxx xxxx a
e) xxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxx pro xxxxxxx xxxx škodlivým xxxxx.
(2) Povinná xxxxx xxxxxxx v §3 xxxx. x) xxxxxx xxxxxxxxx podle xxxxxxxx 1 xxxxxxxxx.
§22
Xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému, xxxx uživatelů x xxxxxxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxxx události xxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému x
x) na základě xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxxx aktiv, x xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx událostí xxxxx xxxxxxxx 1 xxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx, xx-xx x xxxxxxxxxxx síti xxxxxx xxxxxxx, xxxxx xxxx jeho xxxxxxx xxxxxxxxxxxx,
x) xxxx xxxxxxxxx x bezpečnostních a xxxxxxxxxx xxxxxxxxxx; xxxxxxx xxxxxxxxxxx
1. xxxxx x xxx včetně xxxxxxxxxxx xxxxxxxx xxxxx,
2. typ xxxxxxxx,
3. identifikaci xxxxxxxxxxx xxxxxx, které xxxxxxx xxxxxxxxxxx,
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxx xxxxxx xxxx xxxxxxx xxxxxxxxx,
5. xxxxxxxxxxxx xxxxxxx identifikaci xxxxxxxx původce x
6. xxxxxxxxx nebo neúspěšnost xxxxxxxx,
x) ochranu informací xxxxxxxxx xxxxx písmen x) a x) xxxx neoprávněným xxxxxx x xxxxxxxxx změnou,
d) xxxxxxxxxxxxx
1. přihlašování x xxxxxxxxxxx ke xxxx xxxxx, x to xxxxxx neúspěšných xxxxxx,
2. xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx,
3. xxxxxxx x neúspěšné xxxxxxxxxx x xxxx, xxxxxxxxxxx x právy,
4. xxxxxxxxxxx činností v xxxxxxxx nedostatku xxxxxxxxxxxx xxxx a xxxxxxxxx,
5. xxxxxxxx xxxxxxxxx, které xxxxx xxx xxxx xx xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
6. xxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxxx aktiv,
7. xxxxxxxxxx i chybových xxxxxxx xxxxxxxxxxx aktiv x
8. přístupů x xxxxxxxx x xxxxxxxxxx, xxxxxx x manipulaci xx xxxxxxx x xxxxxxxxxx x změny xxxxxxxxx xxxxxxxx pro xxxxxxxxxxxxx událostí x
x) xxxxxxxxxxxxx jednotného xxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxxx xx 24 xxxxx.
(3) Xxxxxxx osoba xxxxxxx x §3 xxxx. c), x) x x) xxxxxx xxxxxxxx xxxxxxx událostí xxxxxxxxxxxxx podle xxxxxxxx 2 xxxxxxx xx xxxx 18 xxxxxx.
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx uchovává xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxx po dobu 12 xxxxxx.
§23
Detekce kybernetických xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxxxx osoba x rámci xxxxxxxxxxx xxxx, xxxxx součástí xx informační a xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx zajistí
a) ověření x kontrolu přenášených xxx v xxxxx xxxxxxxxxxx xxxx x xxxx xxxxxxxxxxxxx sítěmi,
b) xxxxxxx x xxxxxxxx xxxxxxxxxxx xxx na xxxxxxxxx xxxxxxxxxxx sítě x
x) blokování nežádoucí xxxxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x f) xxxxxx xxxxxxx detekci kybernetických xxxxxxxxxxxxxx xxxxxxxx přiměřeně x ohledem na xxxxxxxxxx xxxxx x xxxxx
x) xxxxxxxxx stanic,
b) xxxxxxxxx xxxxxxxx,
x) serverů,
d) xxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxx x
x) xxxxxxxxx xxxxx.
§24
Xxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
Xxxxxxx xxxxx xxxxxxx v §3 xxxx. x), x) x f) xxxxxx xxxxxxx xxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx
x) sběr x xxxxxxxxxxxxx xxxxxxxx zaznamenaných xxxxx §22 x 23,
x) xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx záznamů,
c) xxxxxxxxxxx informací xxx xxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí x cílem xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx událostí xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx
1. xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x
2. xxxxxx xxxxxxxx x
x) xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxx nastavení bezpečnostních xxxxxxxx informačního a xxxxxxxxxxxxx xxxxxxx.
§25
Aplikační bezpečnost
(1) Povinná xxxxx xxxxxxx xxxxxxxxxx xxxxx informačního a xxxxxxxxxxxxx xxxxxxx se xxxxxxxxx xx xxxxxxxx xxxxxx, x xx
x) xxxx xxxxxx uvedením xx xxxxxxx a
b) x xxxxxxxxxxx x xxxxxxxxx xxxxxx xxxxx §11 odst. 3.
(2) Xxxxxxx xxxxx xxxx x xxxxx xxxxxxxxx xxxxxxxxxxx zajistí xxxxxxx xxxxxxx xxxxxxxx, informací x xxxxxxxxx před
a) xxxxxxxxxxxx xxxxxxxx a
b) xxxxxxxx provedených xxxxxxxx.
§26
Kryptografické xxxxxxxxxx
Xxxxxxx xxxxx xxx xxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) xxxxxxx aktuálně xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx klíče,
b) xxxxxxx xxxxxx xxxxxx xxxxx a xxxxxxxxxxx, xxxxx
1. xxxxxxx generování, xxxxxxxxxx, xxxxxxxx, změny, xxxxxxx xxxxxxxxx, zneplatnění xxxxxxxxxxx x likvidaci xxxxx a
2. xxxxxx xxxxxxxx x xxxxx,
x) xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxxx xxxxxxxxxx x
x) zohledňuje doporučení x xxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx Úřadem, xxxxxxxxxx xx xxxx xxxxxxxxxxxxx xxxxxxxxx.
§27
Zajišťování xxxxxx xxxxxxxxxxx xxxxxxxxx
Xxxxxxx osoba xxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému xxx splnění cílů xxxxx §15,
x) xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx vůči xxxxxxxxxxxxx xxxxxxxxxxxxx incidentům, xxxxx xx mohly xxxxxx xxxx xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx a
d) xxxxxxxxxx xxxxx nezbytných xxx xxxxxxxxx xxxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx.
§28
Xxxxxxxxxx, xxxxxx x xxxxxxx specifické systémy
Povinná xxxxx xxx zajištění xxxxxxxxxxxx xxxxxxxxxxx průmyslových, xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx systémů xxxxxxx xxxxxxxx x xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxx xxxxxx do specifického xxxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxx k xxxxxxxxx xxxxxx xxxxxxx x xx xxxxxxxxxxx síti,
c) xxxxxxxxx komunikační xxxx xxxxxx pro tyto xxxxxxx od xxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxx x xxxxxx vzdáleného přístupu x xxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx těchto systémů xxxx xxxxxxxx známých xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx xxxxxx systémů xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
§29
Xxxxxxxxx xxxxxx
(1) Povinná xxxxx xxxxxxx x §3 xxxx. h) xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx podle xxxxxxxxxxx xxxxxxxx Xxxxxx (XX) 2018/151 ze xxx 30. ledna 2018, xxxxxx xx xxxxxxx xxxxxxxx xxx uplatňování xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Xxxx (EU) 2016/1148, xxxxx jde x xxxxxx xxxxxxxxx xxxxx, xxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxx služeb xxxxxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx xxxxx, xxxxx xxxx vystaveny sítě x xxxxxxxxxx xxxxxxx, x xxxxxxxxx xxx xxxxxxxxxx xxxx, xxx xx dopad xxxxxxxxx xxxxxxxx; ustanovení §3 xx 28 xx xx xxxx xxxxxxxx xxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx uvedená v §3 xxxx. x) xxxxxx xxxxx xxxxxxxxx xxxxx xxxxx §34 xxxx. 2.
(3) Povinná xxxxx xxxxxxx v §3 xxxx. x) xxxxxx hlásí xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx podle §32 xxxx. 2 x 3.
XXXXX III
BEZPEČNOSTNÍ XXXXXXXX X XXXXXXXXXXXX XXXXXXXXXXX
§30
Xxxxxxxxxxxx xxxxxxxx a bezpečnostní xxxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxx xxxxxxxxxxxx xxxxxxxx x vede bezpečnostní xxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx v příloze č. 5,
x) xxxxxxxxxx přezkoumává xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxxx, xxx xxxx bezpečnostní xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx.
(2) Xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx
x) xxxxxxxx v listinné xxxx elektronické xxxxxx,
x) xxxxxxxxxxxx x xxxxx xxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxx,
x) xxxxxx,
x) xxxxxxxx x xxxxxxx xxxxxxxxxx, integrity x dostupnosti x
x) xxxxxx tak, aby xxxxxxxxx x xxxx xxxxxxxx xxxx xxxxx, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx x snadno xxxxxxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX BEZPEČNOSTNÍ XXXXXXXX
§31
Xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx incidenty se xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxx xxxxxxxxxx
x) xxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx kritériích, podle xxxxxxx byly xxxxxxx xxxxx xxxxxx,
x) xxxxx xxxxxxxxx uživatelů,
c) xxxxxxxxx xxxx xxxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx a komunikačního xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
x) xxxxxx na služby xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxx xxxxxx incidentu,
h) xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx x
x) xxxxxxx xxxxxx.
(2) Xxx xxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxxxxx bezpečnostních incidentů xx xx základě xxxxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxxx xxxxxxxxx
x) Kategorie XXX - xxxxx xxxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, xxx kterém xx xxxxx a xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx s xxx, xx xxxx xxx xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx dalšímu šíření xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxx,
x) Xxxxxxxxx XX - xxxxxxxx kybernetický bezpečnostní xxxxxxxx, xxx xxxxxx xx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx. Jeho řešení xxxxxxxx xxxxxxxxxx zásahy xxxxxxx x xxx, xx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxxx xxxxxxxxxxxx vzniklých škod, xxxx
x) Kategorie I - xxxx významný xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx dochází x xxxx xxxxxxxxxx xxxxxxxx bezpečnosti poskytovaných xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxx obsluhy x xxx, že xxxx xxx vhodnými xxxxxxxxxx xxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxxx minimalizace xxxxxxxxx xxxx.
(3) Typy xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xxxxx xxxxxx xxxx
x) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx důvěrnosti xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx narušení integrity xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx narušení xxxxxxxxxxx aktiv, xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx x písmenech x) xx x).
(4) Xxxx ustanovení xx xxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx u xxxxxxx osoby uvedené x §3 xxxx. x) xxxxxx.
§32
Xxxxx x náležitosti xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Kybernetický bezpečnostní xxxxxxxx xx Xxxxx xxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx stránkách Úřadu xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx xxxxx Xxxxx xxxxxxx xxx xxxxxx xxxxxxx kybernetických bezpečnostních xxxxxxxxx, xxxxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx,
x) xx datové xxxxxxxx Xxxxx, nebo
c) xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx, pokud xx xxxxxxxxx, xxxxx xxxxx je zveřejněn xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxxxxxxx bezpečnostní xxxxxxxx se provozovateli xxxxxxxxx XXXX hlásí xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx provozovatele xxxxxxxxx XXXX xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxx pro xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, zveřejněnou na xxxx xxxxxxxxxxxxx stránkách,
b) xx datové xxxxxxxx xxxxxxxxxxxxx národního XXXX, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.
(3) Xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxx xxxxxx x x xxxxxxxx xxxxxx, xxxxx pouze v xxxxxxxxx, kdy nelze xxxxxx žádný ze xxxxxxx xxxxxxxxx x xxxxxxxxxx 1 a 2.
(4) Xxxxxxxxxxx hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxx x xxx zjištění xxxxxxxxx x
x) popis xxxxxxxxx.
XXXX XXXXXX
XXXXXXXXX XXXXXXXX X KONTAKTNÍ ÚDAJE
§33
Reaktivní xxxxxxxx
(1) Povinná xxxxx, xxxxx Úřad xxxxxx xxxxxxx xxxxxxxxx opatření,
a) xxxxxxx xxxxxxxxx dopady xxxxxxxxxxx opatření xx xxxxxxxxxx x xxxxxxxxxxx xxxxxx x xx xxxxxxxx bezpečnostní xxxxxxxx x xxxxxxxxx možné xxxxxxxxx účinky x
x) xxxxxxx způsob xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxx, xxxxx xxxxxxxxxxxx xxxx xxxxx xxxxxxxxx xxxxxx, x xxxx xxxxxx xxxx jeho xxxxxxxxx.
(2) Xxxxxxx osoba, xxxxx Xxxx xxxxxx xxxxxxx xxxxxxxxx xxxxxxxx, xxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx ve xxxxx xxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Úřadu.
§34
Kontaktní xxxxx
(1) Xxxxxxxxx xxxxx xx Úřadu xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx xxxxxxxx
x) xx adresu xxxxxxxxxxxx xxxxx Úřadu xxxxxxx pro xxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
x) xx xxxxxx xxxxxxxx Úřadu, xxxx
x) xxxxxxxxxxxxxxx datového xxxxxxxx, xxxxx xx xxxxxxxxx, xxxxx xxxxx xx xxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxxxx údaje xx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx CERT xxxxxxxx
x) xx adresu xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxx xxx xxxxxx xxxxxxxx kontaktních xxxxx, xxxxxxxxxxx na xxxx xxxxxxxxxxxxx stránkách,
b) xx xxxxxx xxxxxxxx xxxxxxxxxxxxx národního XXXX, xxxx
x) xxxxxxxxxxxxxxx internetových xxxxxxx xxxxxxxxxxxxx národního XXXX.
(3) Xxxxxxx xxxxxxxxxxx xxxxx je xxxxx xxxxxx x x xxxxxxxx podobě, xxxxx xxxxx x xxxxxxxxx, xxx nelze xxxxxx xxxxx xx způsobů xxxxxxxxx x odstavcích 1 x 2.
(4) Xxxx oznámení xxxxxxxxxxx xxxxx xx uveden x příloze č. 8 x xxxx xxxxxxxx.
(5) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. x) xx f) xxxxxx, xxxxx xx xxxxxxxxxxxxxx, xxxx k xxxxxxx xxxxxxxxxxx xxxxx xxxxx xxxxxxxx 1 přikládá xxxxxxxx, kterým xx xxxxxxx prokazatelně informuje xxxxx §8 xxxx. 1 písm. x).
XXXX XXXX
XXXXXXXXX XXXXXXXXXX
§35
Xxxxxxxxx xxxxxxxxxx
(1) V xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systémů kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx xxxx určeny přede xxxx nabytí účinnosti xxxx vyhlášky, a x xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, u xxxxxxx xxxxx x xxxxxxxx určujících kritérií xxxxx xxxx xxxxxx xxxxxxxxx této xxxxxxxx, xx do xxxxxxx xxxx xxx xxx xxxxxx xxxxxxxxx xxxx xxxxxxxx pro xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x obsah x xxxxxx xxxxxxxxxx xxxxxxxxxxxxxx opatření xxxxxxx xxxxxxxxxx vyhlášky č. 316/2014 Sb., x bezpečnostních opatřeních, xxxxxxxxxxxxxx bezpečnostních incidentech, xxxxxxxxxxx opatřeních x x stanovení xxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx).
(2) X případě informačních xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, které byly xxxxxx přede dnem xxxxxx xxxxxxxxx xxxx xxxxxxxx, x v xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, u xxxxxxx xxxxx k xxxxxxxx xxxxxxxxxx xxxxxxxx přede xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, xx xx xxxxxxx xxxx xxx dne xxxxxx xxxxxxxxx xxxx xxxxxxxx xxx způsob likvidace xxx, xxxxxxxxxx údajů, xxxxxxxxx x xxxxxx xxxxx tato xxxxxxxx xxxxxxxxx.
§36
Xxxxxxxxx ustanovení
Zrušuje xx xxxxxxxx č. 316/2014 Sb., o xxxxxxxxxxxxxx opatřeních, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, reaktivních xxxxxxxxxx x o xxxxxxxxx náležitostí podání x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx).
§37
Xxxxxxxx
Xxxx xxxxxxxx xxxxxx xxxxxxxxx dnem vyhlášení.
Ředitel:
Ing. Xxxxxxxx v. x.
Příloha x. 1 x xxxxxxxx č. 82/2018 Sb.
Hodnocení xxxxx
(1) Xxx xxxxxxxxx důležitosti xxxxx xxxx x xxxxx případě použity xxxxxxxx x čtyřech xxxxxxxx x xxxxxxxx xx, jaký dopad xx xxxx xxxxxxxx xxxxxxxxxxx informací x xxxxxxxxxxxx aktiv. Xxxxxxx xxxxx může xxxxxxxx xxxxxxx xxxxx xxxxxx xxx xxxxxxxxx důležitosti xxxxx, než jaký xx uveden x xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx vazby xxxx xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx aktiv x xxxxxxxxxx a xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx xxxx uvedeny x xxxx příloze.
(2) Xx xxxxxxxxxx, xxx xx xxxxx xxxxxxx xxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxx potřebám.
Tab. 1: Xxxxxxxx pro xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx ochranu xxxxxx |
|
Xxxxx |
Xxxxxx xxxx xxxxxxx xxxxxxxxx xxxx xxxx určena xx zveřejnění. Xxxxxxxx xxxxxxxxxx xxxxx neohrožuje xxxxxxxxx zájmy xxxxxxx xxxxx. X případě xxxxxxx xxxxxxxx xxxxxx s xxxxxxx xxxxxxxx x xxxxxxx klasifikace xxxxx xxx. xxxxxxx xxxxx xxxxxxxxx (xxxx xxx "XXX") xx xxxxxxxxx xxxxxxxx XXX:XXXXX. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Střední |
Aktiva xxxxxx xxxxxxx xxxxxxxxx x xxxxx xxxx-xxx xxxxxxx xxxxx, ochrana xxxxx xxxx xxxxxxxxxx xxxxxx právním předpisem xxxx xxxxxxxx xxxxxxxxx. X xxxxxxx sdílení xxxxxxxx xxxxxx x třetími xxxxxxxx x použití xxxxxxxxxxx xxxxx XXX xx xxxxxxxxx zejména xxxxxxxx XXX:XXXXX xxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx využívány xxxxxxxxxx xxx xxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x jejich xxxxxxx xx vyžadována xxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx nebo xxxxxxxxx xxxxxxxxxx (xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxx údaje). V xxxxxxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxx xxxxxxxx x použití xxxxxxxxxxx xxxxx XXX xx využíváno xxxxxxx xxxxxxxx XXX:XXXXX. |
Xxx ochranu xxxxxxxxxx jsou xxxxxxxxx xxxxxxxxxx, xxxxx zajistí xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Přenosy informací xxxxxxxxxxx xxxx jsou xxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx a xxxxxxxx nadstandardní xxxx xxxxxxx xxx rámec xxxxxxxxx kategorie (xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxx xxxxxxxxx xxxxxxxx xxxxx). X xxxxxxx sdílení xxxxxxxx xxxxxx x xxxxxxx xxxxxxxx a xxxxxxx xxxxxxxxxxx xxxxx XXX je xxxxxxxxx xxxxxxx xxxxxxxx XXX:XXX xxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx jsou využívány xxxxxxxxxx, které zajistí xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Xxxx xxxxxx xxxxxxx zabraňující zneužití xxxxx xx xxxxxx xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx xxxx chráněny pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxx. 2: Xxxxxxxx xxx xxxxxxxxx integrity
|
Úroveň |
Popis |
Příklady xxxxxxxxx xx ochranu aktiva |
|
Nízká |
Aktivum xxxxxxxxxx ochranu z xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx může xxxxxxxxx xxxxxxx z xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxxxx xxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx x xxxx xx xxxxxxxx méně závažnými xxxxxx xx primární xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx (xxxxxxxxx omezení xxxxxxxxxxxx xxxx xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx vyžaduje xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx k xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx s podstatnými xxxxxx xx primární xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány speciální xxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxxxxx provedených xxxx x zaznamenat xxxxxxxx xxxxx provádějící xxxxx. Xxxxxxx integrity xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx prostředků. |
|
Kritická |
Aktivum xxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx x xxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx x přímými x velmi xxxxxxx xxxxxx na xxxxxxxx xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx využívány xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx identifikace xxxxx xxxxxxxxxxx xxxxx (xxxxxxxxx xxxxxx technologie xxxxxxxxxxx podpisu). |
Tab. 3: Xxxxxxxx pro xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx aktiva |
|
Nízká |
Narušení xxxxxxxxxxx xxxxxx xxxx xxxxxxxx x v případě xxxxxxx xx běžně xxxxxxxxxx delší xxxxxx xxxxxx pro xxxxxxx (xxx xx 1 xxxxx). |
Xxx xxxxxxx dostupnosti xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx dostupnosti aktiva xx nemělo překročit xxxx xxxxxxxxxx xxx, xxxxxxxxxxxxx xxxxxxx xxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx. |
Xxx xxxxxxx dostupnosti xxxx využívány xxxxx xxxxxx zálohování x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx dostupnosti xxxxxx xx xxxxxx xxxxxxxxx xxxx několika xxxxx. Xxxxxxxx xxxxxxx je xxxxx řešit neprodleně, xxxxxxx xxxx x xxxxxxx ohrožení oprávněných xxxxx xxxxxxx xxxxx. Xxxxxx xxxx považována xx velmi důležitá. |
Pro xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx může xxx xxxxxxxxx xxxxxx xxxxxxx xxxx xxxxxxx technických xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxxx a x xxxxxxxxxx nedostupnost (x xxxx xxxxxxxx xxxxx) xxxx k xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx. Xxxxxx xxxx považována xx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx systémy a xxxxxx poskytování služeb xx xxxxxxxxxx x xxxxxxxxxxxxxx. |
Xxxxxxx x. 2 x xxxxxxxx x. 82/2018 Sb.
Hodnocení xxxxx
(1) Xxxxxxxxxxx stanovení xxxxxx xxx xxxxxx xxxxxx xx xxxxxxxxx xxxxxxxx xxxxxxxx xxx hodnocení xxxxx podle §5.
(2) Xxxxxxx rizika xx xxxxxxxxxx xxxxxxxxx jako xxxxxx, kterou xxxxxxxxx xxxxx, xxxxxx a xxxxxxxxxxxx.
(3) Xxx hodnocení xxxxx xxx xxxxxx xxxxxxxxx tuto xxxxxx:
Xxxxxx = xxxxx x xxxxxx x xxxxxxxxxxxx.
(4) Xxxxx xx x xxxxx případě xxxxxxx x hodnocení xxxxx xxxxx přílohy č. 1.
(5) X xxxxxxx, že xxxxxxx xxxxx využívá xxxxxx xxx xxxxxxxxx rizik, xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx x zranitelnosti, xx xxxxx stupnice xxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx sloučit. Xxxxxxxx stupnic by xxxxxx xxxx xx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxx hrozby x xxxxxxxxxxxxx. Za xxxxx xxxxxx xxx xxxxxx xxxxxxxxx komentář, xxxxx xxxxxxxx xxxxxxx xxx xxxxxx xxxxxx, xxx x úroveň xxxxxxxxxxxxx. Xxxxxxx xx xxxxxxxxx x x xxxxxxxxx, xxx xxxxxxx osoba xxxxxxx jiný počet xxxxxx pro hodnocení xxxxxx, xxxxxx, xxxxxxxxxxxxx x xxxxx.
Xxx. 1: Xxxxxxxx xxx xxxxxxxxx xxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx nebo xx málo xxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xx xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxxxxx xx velmi xxxxxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. |
Xxx. 2: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx nebo xx xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxxx. Xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx případné xxxxxx x xxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx je málo xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, jejichž xxxxxxxx xx xxxxxxxxxx kontrolována. Xxxxxxxxx bezpečnostních xxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx xxxxxxxx xxxxxx x překonání xxxxxxxx xx xxxxxxx. Xxxxxx známé žádné xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx opatření. |
|
Vysoká |
Zneužití xxxxxxxxxxxxx je pravděpodobné xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx opatření xxxx xxxxxxxx, ale xxxxxx xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx x xxxx xxxxxxxxxx xxxxxxxxxxxx. Xxxx známé xxxxx xxxxxxx xxxxxx o xxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx je xxxxx xxxxxxxxxxxxx xx víceméně xxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxx xx jejich účinnost xxxxxx xxxxxxx. Neprobíhá xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Xxxx xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
Xxx. 3: Xxxxxxxx xxx xxxxxxxxx xxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx považováno xx xxxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx xxxxxxx méně xxxxxxxxx opatřeními xxxx x případě xxxxx xxxxxxxxxx opatření xx xxxxxx xxxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxx nepřípustné a xxxx xxx xxxxxxxx xxxxxxxxxxxx kroky k xxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx je xxxxxxxxxxx a xxxx xxx neprodleně zahájeny xxxxx x jeho xxxxxxxxxx. |
Příloha x. 3 x xxxxxxxx č. 82/2018 Sb.
Zranitelnosti x xxxxxx
Xxxxxxxxxx: Xxxx xxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxxx x xxxxxx. Identifikace xxxxxxxxxxx xxxxxxxxxxxxx x hrozeb xx xxxxxxxxxxxx xxxxxxx xxxxx.
Xxxxxxxxxxxxx
1. nedostatečná xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
2. xxxxxxxxxxx informačního x komunikačního systému,
3. xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx,
4. xxxxxxxxxxxx bezpečnostní xxxxxxxx uživatelů a xxxxxxxxxxxxxx,
5. xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
6. xxxxxxxx nastavení xxxxxxxxxxxx oprávnění,
7. xxxxxxxxxxxx xxxxxxx xxx xxxxxxxxxxxxxx x odhalení xxxxxxxxxxx xxxxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí a xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
8. xxxxxxxxxxxx monitorování xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx x neschopnost xxxxxxx xxxxxx nevhodné nebo xxxxxxx xxxxxxx chování,
9. xxxxxxxxxxxx stanovení bezpečnostních xxxxxxxx, nepřesné nebo xxxxxxxxxxxxx vymezení xxxx x xxxxxxxxxx uživatelů, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx,
10. xxxxxxxxxxxx xxxxxxx xxxxx,
11. nevhodná xxxxxxxxxxxx xxxxxxxxxxxx,
12. xxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,
13. xxxxxxxxxxx xxxxxxxx odhalení xxxxxxxxx xx xxxxxx zaměstnanců.
Hrozby
1. xxxxxxxx xxxxxxxxxxxx politiky, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx ze xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
2. xxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
3. xxxxxxxx xxxxxxxx,
4. užívání xxxxxxxxxxxx xxxxxxxx x rozporu x xxxxxxxxxx xxxxxxxxxx,
5. xxxxxxxx kód (xxxxxxxxx xxxx, xxxxxxx, xxxxxxx xxxx),
6. xxxxxxxx xxxxxxx xxxxxxxxxxx,
7. přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxx xxxxxxx,
8. xxxxxxxx nebo xxxxxxxxxxx xxxxxxxxxx údajů,
9. xxxxxx, xxxxxxxx nebo xxxxxxxxx xxxxxx,
10. nedodržení xxxxxxxxx xxxxxxx ze xxxxxx xxxxxxxxxx,
11. xxxxxxxxx xx xxxxxx xxxxxxxxxxx,
12. xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,
13. dlouhodobé xxxxxxxxx xxxxxxxxxxx xxxxxx elektronických xxxxxxxxxx, dodávky xxxxxxxxxx xxxxxxx xxxx jiných xxxxxxxxxx xxxxxx,
14. xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
15. cílený xxxxxxxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx, použití xxxxxxxxxxx xxxxxxx,
16. xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxx,
17. napadení xxxxxxxxxxxx xxxxxxxxxx (odposlech, xxxxxxxxxx).
Xxxxxxx x. 4 x vyhlášce č. 82/2018 Sb.
Likvidace dat
(1) Xxxx příloha xxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxxxxx xxxxxxx xxxxxx xxx x xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxx, xxxxxxxxxx xxxxx, informací x xxxxxx xxxxx.
(2) Xxxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xx xxxxxxx xxxxxxxx xxx xxxxxx xxx a xxxxxxxxx xxxxxxxxxxx xxxxxx xxx v xxxxxxx x xxxxx přílohou. Xxx xxxxxx xxxxxxx xxxxxxxxxx xxxxx jiných xxxxxxxx xxxxxxxx. Je xxxxx xxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx opatření, xxxxxx xxxxxxxxxxx xxxxxxxx xxx mazání dat x xxxxxxxxx technických xxxxxx xxx, vzhledem x xxxxxxx x xxxxxxxxxxx aktiv.
(3) Xxxxxxxx xxx likvidaci xxx xx xxxx xxx xxxxxxxxx přiměřeně xxxxxxx x důležitosti aktiv x xxxx xx xxxxxxx xxxxxxxxxxx
x) hodnotu xxxxxx (zejména x xxxxxxx xxxxxxxxxx),
x) technologii (xxxx a xxxxxxxx xxxxxx informace),
c) zda xx xxxxx xxxxxxxxx xxxxxxx pod kontrolou xxxxxxxxxx xx nikoliv,
d) xxx xxxx data xxxxxxxx xxxxxxxxxxxx nebo xxxxxxxxxxxxxxx xxxxxxxxx,
x) xxx xxxx xxxxxxxxx xxx xxxxxxxx (xxxxxxx xxxxxxxxxxx, xxxx dodavatel),
f) xxxxxxxxxx xxxxxxxx x xxxxxxxx xxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxxx nosičů,
h) xxx xx x xxxxxxxxx xxxxxxxxx personál,
i) časovou xxxxxxxxx xxxxxxxxx,
x) cenu xxxxxxxxx x xxxxxxx xx xxxxxxxx, xxxxxxx, xxxxxxxx, opětovné xxxxxxx xxxxxx xxxxxxxxx
x) xxxxx xxxxxxx xxxxxxxxx dat (xxxxxxxxx zničením nosiče, xxxxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxx, xxxxxxxxxxxxx xxx xxxxxx šifrováním x xxxxxxx),
x) použitelné xxxxxxx xxxxxxxxx xxx xxxxxxxx xx stavu xxxxxx xxxxxxxxx (xxxxxxxxx xxx xxxxxxxxx zařízení xxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxx xxxxxxxxx, ale xxxxxxx xx xxxxxxx xxxxxxx xxxxxxxxx).
(4) Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxx, provozních údajů, xxxxxxxxx a xxxxxx xxxxx:
x) Odstranění
1. Způsob xxxxxxxxx xxxxxxx x xxxxxxxxxx xxx xxx, xxx xxxx xxx xxxxxx xxxxxxxxxx (xxxxxxxxx xxxxxxxxxx datového souboru, xxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxx).
2. Xxx x nejméně xxxxxxxx xxxxxx xxxxxxxxx xxx. X případě xxxxxxx xxxxxx xxxxxxxxx je xxxxx s vynaložením xxxxxxxx úsilí xxxxxxxxx xxxxxxx.
3. Tato xxxxxx xxxx xxxxxxxxxx xxx xxxxxx digitálních xxx xxxxxxxxxxxx xxxxxxxx zápis.
4. Xxxxxxxxxx xxxxxx pro xxxxxx důvěrnosti xxxxxx (xxxxxxx x přílohy č. 1): xxxxx.
x) Xxxxxxxx
1. Způsob xxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxx.
2. Xxx x xxxxxxx bezpečný xxxxxx likvidace xxx. Xxxxx xxxxxxxx nástroje xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx.
3. Přepsání xxxx xxx xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx likvidací xxxxxxxxxxxxxxxx xxxxx x xxxxxxxxxxx informaci.
4. Xxxx xxxxxx xxxx xxxxxx xxx xxxxxxxxx xxxxx, xxxxx neumožňující xxxxxxxx xxxxx, případně xxx xxxxx s velkou xxxxxxxxx.
5. Xxxxxxxxxx způsob xxx úroveň xxxxxxxxxx xxxxxx (xxxxxxx z přílohy č. 1): xxxxx až xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx
1. Xxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxx nosiče xxxxxxxxx, xxxxxxxxx x rozebrání xxxxxxxx a xxxxxxxxx xxxxxxx nosiče xxxxxxxxx (xxxxxxxxxxx, chemickým či xxxxxxxx xxxxxxxxx).
2. Xxx x nejbezpečnější xxxxxx xxxxxxxxx xxx. Nosič xxxxxxxxx xx xxxxxxx xxxxxxxxx nelze znovu xxxxxx xxx původní xxxx. Původní informace xxxx možné xxxxxxx xxx xxx xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx x úsilí.
3. Xxxxxxxxxx xxxxxx xxxxxxxxx xxx xxxxxx xxxxxxxxxx aktiva (xxxxxxx x přílohy č. 1): xxxxxxx xx kritická.
Příklad xxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxx důvěrnosti xxxxxx (vychází x přílohy č. 1)
|
Xxxxxxxxx xxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxxx xxxxxx |
|||||
|
Xxxxx informace |
1. Xxxxx |
2. Xxxxxxx |
3. Vysoká |
4. Xxxxxxxx |
|
|
Xxxxxxxxx xx lidsky xxxxxxxx xxxxxx (xxxxxxx dokumenty, xxxxxxxx x xxxxxxx) |
Xxxxxxxxxx: Xxxxxxxx xx xxxxxx. |
Xxxxxxxx: Xxxxxxxxx. |
Xxxxxxx likvidace: |
||
|
Xxxxxxx xxxxxxxxx: |
|||||
|
Mobilní xxxxxxxx (xxxxxxx xxxxxxxx, xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxx xxxxxxxx (xxxxxx, xxxxxx, xxxxx x xxxxxxx) |
Xxxxxxxxxx: |
Přepsání: |
|||
|
Xxxxxxxxxxx xxxxxxxx (scanery, xxxxxxxx, xxx) |
|||||
|
Xxxxxxxxxx média (xxxxxxxxxx xxxxx, disky, XXX [Xxxx Disk Xxxxx]) |
Xxxxxxxxxx: |
Přepsání: |
|||
|
Xxxxxxx xxxxx (CD, XXX, XX-XXX, XXX-XXX) |
Xxxxxxx xxxxxxxxx: |
||||
|
Xxxxxxx xxxxxxxxx. |
|||||
|
Xxxxxxxxxxxx xxxxx (xxxxx xxxxxx) |
|||||
|
Xxxxxxxxxxx a cloud |
Přípustný xxxxxx xxxxxxxxx dat xx xxx xxx xxxxxxxx xxxxxxxx ujednáním. |
||||
|
Odstranění: |
Xxxxxxxx: |
Xxxxxxxx: |
Přepsání/fyzická xxxxxxxxx: |
||
|
Alternativně v xxxxxxx dedikovaného xxxxxxxxxx xxxxx je možné xxxx xx xxxxxxxx xxxxxx xxxxxxx. |
|||||
Xxxxxxx č. 5 x vyhlášce x. 82/2018 Xx.
Xxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
1. Xxxxxxxxxxxx politika
1.1. Xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací
a) Xxxx, xxxxxxxx x xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx x xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx pro řízení xxxxxxxxxxx.
x) Pravidla x xxxxxxx xxx řízení xxxxxx a provozu xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a postupy xxx nápravná xxxxxxxx x xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.
1.2. Xxxxxxxx xxxxxx xxxxx
x) Xxxxxxxxxxxx, xxxxxxxxx a xxxxxxxx primárních xxxxx
1. xxxxxx x evidence xxxxxxxxxxxx xxxxxxxxxx aktiv xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx aktiv z xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. určení x xxxxxxxx jednotlivých xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxx xxxxx xxxx xxxxxxxxxx x podpůrnými xxxxxx.
x) Xxxxxxxx ochrany xxxxxxxxxxxx xxxxxx aktiv
1. xxxxxxx rozlišování xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx aktiv xxxxx xxxxxx aktiv,
3. přípustné xxxxxxx používání aktiv.
d) Xxxxxxx xxxxxxxxxxxx xxxxxx xxxx ničení xxxxxxxxxxx xxxxxx dat, informací, xxxxxxxxxx údajů x xxxxxx kopií.
1.3. Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx
x) Xxxxxx xxxxxxxxxxxxxx xxxx a xxxxxx xxxx x xxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx rolí.
c) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxx.
1.4. Xxxxxxxx xxxxxx xxxxxxxxxx
x) Xxxxxxxx x xxxxxxxx xxx xxxxx xxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxx xxxxxxxxxxxxx x dodavateli.
c) Xxxxxxxxxxx xxxxxxx o xxxxxx služeb a xxxxxxx x xxxxxx xxxxxxxxx bezpečnostních opatření x x určení xxxxxxxx xxxxxxx xxxxxxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx xxxxxxxxxx.
1.5. Politika xxxxxxxxxxx xxxxxxxx xxxxxx
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxx xxxxxxxxx
1. způsoby x formy xxxxxxx xxxxxxxxx,
2. způsoby x xxxxx xxxxxxx xxxxxxx xxxxx,
3. způsoby a xxxxx xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx x xxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
b) Bezpečnostní xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.
d) Xxxxxxxx xxx xxxxxxxx pracovního xxxxxx nebo xxxxx xxxxxxxx pozice
1. xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx práv xxx xxxxxxxx xxxxxxxxxx vztahu,
2. xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxx xxxxxx.
1.6. Politika xxxxxx xxxxxxx x xxxxxxxxxx
x) Xxxxxxxxx a xxxxxxxxxxxx xxxxxxx s xxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx x xxxxxxxxx bezpečného xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx provádění xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx.
1.7. Xxxxxxxx xxxxxx xxxxxxxx
x) Princip xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (xxxx xx xxxx).
x) Xxxxxxxxx xx xxxxxx xxxxxxxx.
x) Xxxxxxx cyklus xxxxxx xxxxxxxx.
x) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxxxxx xxx mimořádné xxxxxxx.
x) Xxxxxxxxxx přezkoumání xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx jednotlivých uživatelů x xxxxxxxxxxxx xxxxxxxxx.
1.8. Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxx
x) Pravidla pro xxxxxxxx nakládání x xxxxxx.
x) Bezpečné xxxxxxx xxxxxxxxxxxx hesla.
c) Bezpečné xxxxxxx xxxxxxxxxxxx pošty x xxxxxxxx na xxxxxxxx.
x) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx xxxxxxx xx xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx ve xxxxxx x xxxxxxxx zařízením.
1.9. Xxxxxxxx zálohování x xxxxxx x xxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxxx xx xxxxxxxxxx x obnovu.
b) Xxxxxxxx x xxxxxxx xxxxxxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx bezpečného zálohování x xxxxxxxxxxxx xxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxx.
x) Xxxxxxxx x xxxxxxx testování xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx xxxxxxxx x xxxxxxx, xxxxxxxxx xxxxxxxxxx.
1.10. Xxxxxxxx bezpečného předávání x výměny xxxxxxxxx
x) Xxxxxxxx a xxxxxxx xxx xxxxxxx předávaných xxxxxxxxx.
x) Xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
1.11. Xxxxxxxx xxxxxx technických xxxxxxxxxxxxx
x) Xxxxxxxx xxx omezení xxxxxxxxx xxxxxxxxxxxx vybavení.
b) Xxxxxxxx x xxxxxxx xxxxxxxxxxx opravných xxxxxxxxxxxx xxxxxxx.
x) Xxxxxxxx a xxxxxxx testování oprav xxxxxxxxxxxx vybavení.
d) Xxxxxxxx x xxxxxxx nasazení xxxxx xxxxxxxxxxxx xxxxxxxx.
1.12. Xxxxxxxx bezpečného xxxxxxxxx xxxxxxxxx xxxxxxxx
x) Xxxxxxxx x xxxxxxx pro xxxxxxxx používání xxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx zajištění xxxxxxxxxxx xxxxxxxx, která xxxxxxx xxxxx nemá xx xxx xxxxxx.
1.13. Xxxxxxxx xxxxxxxx, xxxxxx x xxxxxx
x) Xxxxxxxxxxxx xxxxxxxxx pro xxxxxxxx, xxxxx a xxxxxx.
x) Xxxxxx xxxxxxxxxxxxx.
x) Politika xxxxxxxxxxx a xxxxxxxx xxxxxxx programového xxxxxxxx x xxxxxxxxx
1. pravidla x xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx evidence,
2. xxxxxxxx x postupy pro xxxxxxxx dodržování xxxxxxxxxx xxxxxxxx.
1.14. Xxxxxxxx xxxxxxx xxxxxxxx údajů
a) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx osobních údajů.
b) Xxxxx přijatých a xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx ochranu xxxxxxxx xxxxx.
1.15. Xxxxxxxx xxxxxxx bezpečnosti
a) Pravidla xxx xxxxxxx xxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxx osob.
c) Xxxxxxxx xxx ochranu xxxxxxxx.
x) Xxxxxxx narušení fyzické xxxxxxxxxxx.
1.16. Xxxxxxxx bezpečnosti xxxxxxxxxxx xxxx
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx bezpečnosti xxxx.
x) Xxxxxx práv x xxxxxxxxxx xx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx přístupů v xxxxx xxxx.
x) Xxxxxxxx x postupy pro xxxxxxx xxxxxxxxxx xxxxxxxx x xxxx.
x) Pravidla x postupy xxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.
1.17. Xxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx
x) Pravidla x xxxxxxx xxx xxxxxxx xxxxxx komunikace.
b) Xxxxxxxx x postupy xxx xxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxx.
1.18. Xxxxxxxx xxxxxxxx a xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx postupy xxx vyhodnocování x xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx události.
c) Xxxxxxxx x postupy xxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
1.19. Xxxxxxxx xxxxxxx a xxxxxx nástroje xxx xxxx a vyhodnocení xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
x) Xxxxxxxx x xxxxxxx xxx evidenci x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Pravidla x xxxxxxx pravidelné xxxxxxxxxxx xxxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx vlastností xxxxxxxx xxx sběr a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
1.20. Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx
x) Xxxxxx xxxxxxx x xxxxxxx xx typ x xxxx kryptografického xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxx informací
1. při xxxxxxx po xxxxxxxxxxxxx xxxxxx,
2. xxx xxxxxxx xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx technický xxxxx dat.
c) Xxxxxx xxxxxx xxxxx.
1.21. Politika xxxxxx xxxx
x) Xxxxxx x principy řízení xxxxxxxxxx xxxx x xxxxx xxxxxxx osoby, xxxxxx procesech, informačních x xxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxxxxxxx xxxxxx xxxxxxxxxx xxxx.
x) Xxxxxx xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxx.
1.22. Xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
x) Definování kategorií xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx, evidenci x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx kybernetických bezpečnostních xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Evidence xxxxxxxxx.
1.23. Xxxxxxxx řízení xxxxxxxxxx činností
a) Xxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxx řízení xxxxxxxxxx xxxxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx,
2. xxxx xxxxxxxx chodu,
3. xxx xxxxxxxx xxx.
x) Xxxxxxxx řízení xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxx xxxxxxxxxx.
x) Způsoby xxxxxxxxx dopadů xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx xxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxxx xxxxx.
x) Xxxxxx x xxxxx xxxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxx plánů.
f) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Úřadem.
2. Obsah xxxxxxxxxxxx xxxxxxxxxxx
2.1. Xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) Cíle auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Předmět xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx týmu xxxxxxxx x xxxx, xxxxx xx auditu xxxxxxxxxxxx bezpečnosti xxxxxxxxxx.
x) Xxxxx a místo, xxx xxxx xxxxxxxxx xxxxxxxx při auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Zjištění x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxx auditu xxxxxxxxxxxx bezpečnosti.
2.2. Xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxxxx xxxxxxxx z xxxxxxxxxxx přezkoumání xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxxxxxx xxxx a xxxxxxxxx, xxxxx xxxxx xxx xxxx na xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxx x výkonnosti xxxxxx xxxxxxxxxxx informací
1. neshody x nápravná xxxxxxxx,
2. xxxxxxxx xxxxxxxxxxxx x xxxxxx,
3. výsledky xxxxxx,
4. xxxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx hodnocení xxxxx x stav xxxxx xxxxxxxx xxxxx.
x) Xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxx.
x) Doporučení xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx xxxxxxxx x xxxx zajišťujících xxxxx jednotlivých xxxxxxxx.
2.3. Xxxxxxxx xxx identifikaci x xxxxxxxxx xxxxx x xxx hodnocení xxxxx
x) Určení stupnice xxx hodnocení primárních xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxx aktiv,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxx,
3. xxxxxx stupnice xxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,
3. xxxxxx stupnice xxx xxxxxxxxx úrovní zranitelnosti,
4. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx rizik.
c) Xxxxxx a přístupy xxx zvládání xxxxx.
x) Xxxxxxx schvalování xxxxxxxxxxxxxxxx xxxxx.
2.4. Xxxxxx o xxxxxxxxx aktiv x xxxxx
x) Xxxxxxx xxxxxxxxxx xxxxx
1. identifikace x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx garantů xxxxxxxxxx xxxxx,
3. xxxxxxxxx primárních xxxxx x xxxxxxxx xxxxxxxxxx, integrity x xxxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx a xxxxx xxxxxxxxxx aktiv,
2. xxxxxx garantů podpůrných xxxxx,
3. určení vazeb xxxx xxxxxxxxxx a xxxxxxxxxx xxxxxx.
x) Hodnocení xxxxx
1. xxxxxxxxx xxxxxxx xxxxxx na aktiva,
2. xxxxxxxxx existujících xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx zranitelností, xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
4. xxxxxxxxx xxxxxx rizika, xxxxxxxxx xxxx úrovně x kritérii pro xxxxxxxxxxxxxxxx xxxxx,
5. xxxxxx x schválení akceptovatelných xxxxx.
x) Zvládání xxxxx
1. xxxxx xxxxxxx zvládání xxxxx,
2. xxxxx opatření x jejich xxxxxxxxx.
2.5. Xxxxxxxxxx x xxxxxxxxxxxxxxxx
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx včetně xxxxxxxxxx, xxxx nebyla xxxxxxxxxx.
x) Xxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxxx.
2.6. Plán xxxxxxxx xxxxx
x) Xxxxx x xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx xxxxxx xxxxx xx konkrétní xxxxxx.
x) Xxxxxxxx xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx zvládání xxxxx.
x) Xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
x) Způsob xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx úspěšnosti xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
2.7. Xxxx xxxxxxx xxxxxxxxxxxxxx povědomí
a) Xxxxx x termíny xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Přehledy, xxxxx xxxxxxxx předmět xxxxxxxxxxxx xxxxxxx x seznam xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
x) Xxxxx x xxxxxxx hodnocení xxxxx.
2.8. Xxxxxxxx změn
a) Xxxxxxxx xxxxxxxxx xxxxx významných xxxx.
x) Xxxxxxx o xxxxxxx konfigurace podpůrných xxxxx.
2.9. Hlášené kontaktní xxxxx
Xxxxxxx xxxxxxxxx kontaktních xxxxx.
2.10. Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx a xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx
x) Xxxxxxx xxxxxx xxxxxxxxx právních xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx.
x) Přehled xxxxxxxxx xxxxxxx.
2.11. Další doporučená xxxxxxxxxxx
x) Xxxxxxxxx xxxxxxxxxxxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxxx.
Xxxxxxx x. 6 x xxxxxxxx č. 82/2018 Xx.
Xxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x bezpečnostní xxxx
Xxxx xxxxxxx obsahuje xxxxx xxxxxxxxxxxx požadavků xxx xxxxx pro řízení xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx role uvedené x §6 a 7.
Xxx. 1: Xxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxx pro xxxxxx xxxxxxxxxxxx bezpečnosti |
|
Klíčové xxxxxxxx: |
x) Xxxxxxxxxxx za xxxxxxx xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx v xxxxx povinné xxxxx. |
|
Xxxxx xxxxxxxx: |
x) Xxxx xxxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx být xxxxxxx |
Xxx. 2: Manažer xxxxxxxxxxxx bezpečnosti
|
Role: |
Manažer kybernetické xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxx xxxx ISO/IEC 27000 x xxxxxxx xxxxx z xxxxxxx xxxxxxxxxxx a XXX. |
|
Zkušenosti: |
a) Prosazování xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx. |
|
Xxxxxxxx a xxxxx: |
x) Xxxxxxx 3 roky xxxxx x oboru xxxxxxxxxx nebo kybernetické xxxxxxxxxxx, nebo |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Security Xxxxxxx (XXXX), Certified xx Xxxx xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Certified Information Xxxxxxx Security Xxxxxxxxxxxx (XXXXX), Xxxxxxx XX (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
x) Xxxx xxxx xxxxxxxxxx x xxxxxx xxxxxxxxxxx za provoz xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx a x xxxxxxx provozními xx xxxxxxxx xxxxxx. |
Xxx. 3: Architekt xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Odpovědnost xx xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx: |
x) Architektura xxxxxxxxxxxx x xxxxxxxxxxxxx systémů x xxxx navrhování. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxxx implementace bezpečnostních xxxxxxxx. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 roky xxxxx v xxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxx |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Ethical Xxxxxx (XXX), CompTIA Xxxxxxxx +, Xxxxxxxxx Information Xxxxxxxx Manager (XXXX), Xxxxxxxxx in Xxxx xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Security Xxxxxxxxxxxx (XXXXX), Xxxxxxx XX (xxxxxxxxxxx schéma XXX). |
|
Xxxxx xxxxxxxx: |
Xxxx xxxx xxxxxxxxxx x xxxxxx xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx. |
Xxx. 4: Xxxxxxx xxxxxxxxxxxx bezpečnosti
|
Role: |
Auditor xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
Xxxxxxxxx auditu xxxxxxxxxxxx bezpečnosti. |
|
Znalosti: |
a) Metodologie x xxxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxx xxxxxx xxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx a xxxxx: |
x) Xxxxxxx 3 roky xxxxx x oblasti xxxxxx xxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxxxxx, xxxx |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Systems Xxxxxxx (XXXX), Xxxxxxxxx Internal Xxxxxxx (XXX), Xxxxxxxxx xx Xxxx and Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Xxxx Auditor Xxxxxxxxxxx Xxxxxxxx Xxxxxxxxxx Xxxxxx (Xxxx Auditor XXXX), Xxxxxxx BI (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
x) Xxxx není xxxxxxxxxx x rolemi |
Tab. 5: Xxxxxx xxxxxx
|
Xxxx: |
Xxxxxx aktiva |
|
Klíčové xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxxxxx xxxxxxx, xxxxxxx x bezpečnosti xxxxxx. |
|
Xxxxxxxx: |
x) Xxxxx xxxxxxx xxxxxx, xxxxx je xxxxxxxx. |
* Xxxxxxxxxxx může xxx x xxxx než xxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx způsobilost xxxxxxxxxxxxxx rolí xxxxxxx xxxxxxxxx XXX 17 024.
Xxxxxxx č. 7 x xxxxxxxx x. 82/2018 Sb.
Řízení xxxxxxxxxx - xxxxxxxxxxxx opatření xxx xxxxxxx xxxxxx
Xxxxx xxxxxxx uzavírané s xxxxxxxxxx xxxxxxxxxx:
x) xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx (x xxxxxxx xxxxxxxxxx, xxxxxxxxxxx a xxxxxxxxx),
x) xxxxxxxxxx x xxxxxxxxx xxxxxx xxxx,
x) xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxx o xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x kontrole a xxxxxx xxxxxxxxxx (xxxxxxxx xxxxxxxxxxxx xxxxxx),
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxx xxxx xxx xxxxxxxxx, xx xxxxxxxxxxxxx xx xxxxxx xxxxxxxxx x plném rozsahu xxxxxxxx mezi xxxxxxxx xxxxxx a dodavatelem x nebudou x xxxxxxx s xxxxxxxxx xxxxxxx xxxxx xx xxxxxxxxxx,
x) ustanovení x xxxxxxxxxx dodavatele xxxxxxxxx xxxxxxxxxxxx xxxxxxxx povinné xxxxx xxxx xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx dodavatele xxxxxxxx xxxxxx,
x) xxxxxxxxxx o xxxxxx xxxx,
x) ustanovení x souladu smluv x xxxxxx xxxxxxxxx xxxxxxxx předpisy,
i) ustanovení x povinnosti xxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx x
1. xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx xxxxxxxxxxxxx s xxxxxxx xxxxxxx,
2. xxxxxxx xxxxxx xxxxx na xxxxxx xxxxxxxxxx x x xxxxxxxxxx rizicích xxxxxxxxxxxxx s xxxxxxx xxxxxxx,
3. významné změně xxxxxxxx xxxxxx dodavatele xxxxx zákona x xxxxxxxxxx xxxxxxxxxxx nebo xxxxx xxxxxxxxxxx xxxxxxxxx xxxxx, xxxxxxxxx změně xxxxxxxxx xxxxxxxx x xxxxxx xxxxxx, xxxxxxxxxxx xxxxx xxxxxxxxxxx x xxxxxx podle xxxxxxx xx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx z xxxxxxx xxxxxxxxxxx při xxxxxxxx xxxxxxx (například xxxxxxxxx xxxxxx při ukončení xxxxxxxxxx, xxx xx xxxxx ještě xxxxxxxx xxxxxx xxxx nasazením xxxxxx xxxxxx, migrace xxx a xxxxxxx),
x) xxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxx činností x xxxxxxxxxxx s xxxxxxxxxx (xxxxxxxxx xxxxxxxx xxxxxxxxxx xx xxxxxxxxxxx xxxxx, úkoly dodavatelů xxx xxxxxxxx řízení xxxxxxxxxx xxxxxxxx),
x) xxxxxxxxxxx xxxxxxxx xxx formát xxxxxxx xxx, provozních xxxxx x informací xx xxxxxxxx xxxxxxxx,
x) xxxxxxxx xxx likvidaci xxx,
x) xxxxxxxxxx o xxxxx xxxxxxxxxxxx xxxxxxxxx xx smlouvy v xxxxxxx xxxxxxxx xxxxx xxxxxxxx xxx xxxxxxxxxxx xxxx změny kontroly xxx xxxxxxxxx aktivy xxxxxxxxxxx xxxxxxxxxxx x xxxxxx podle xxxxxxx x
x) xxxxxxxxxx o xxxxxxxx za xxxxxxxx xxxxxxxxxx.
Xxxxxxx x. 8 x xxxxxxxx x. 82/2018 Xx.
Xxxx Xxxxxxxxx xxx hlášení xxxxxxxxxxx xxxxx
Informace
Právní předpis č. 82/2018 Sb. xxxxx xxxxxxxxx xxxx 28.5.2018.
Xx xxx uzávěrky právní xxxxxxx nebyl xxxxx xx xxxxxxxxx.
Xxxxxx xxxxxxx x. 82/2018 Sb. xxx zrušen xxxxxxx xxxxxxxxx č. 264/2025 Sb. s xxxxxxxxx xx 1.11.2025.
Xxxxx xxxxxxxxxxxx xxxxxxxx norem xxxxxx xxxxxxxx předpisů x odkazech xxxx xxxxxxxxxxxxx, xxxxx xx xxxx xxxxxx derogační xxxxx shora uvedeného xxxxxxxx předpisu.
1) Směrnice Xxxxxxxxxx xxxxxxxxxx x Xxxx (XX) 2016/1148 ze xxx 6. července 2016 x xxxxxxxxxx x zajištění vysoké xxxxxxxx xxxxxx bezpečnosti xxxx x xxxxxxxxxxxx xxxxxxx v Xxxx.