Právní předpis byl sestaven k datu 30.04.2025.
Zobrazené znění právního předpisu je účinné od 28.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
82/2018 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení aktiv §4
Řízení rizik §5
Organizační bezpečnost §6
Bezpečnostní role §7
Řízení dodavatelů §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení změn §11
Řízení přístupu §12
Akvizice, vývoj a údržba §13
Zvládání kybernetických bezpečnostních událostí a incidentů §14
Řízení kontinuity činností §15
Audit kybernetické bezpečnosti §16
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §17
Bezpečnost komunikačních sítí §18
Správa a ověřování identit §19
Řízení přístupových oprávnění §20
Ochrana před škodlivým kódem §21
Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů §22
Detekce kybernetických bezpečnostních událostí §23
Sběr a vyhodnocování kybernetických bezpečnostních událostí §24
Aplikační bezpečnost §25
Kryptografické prostředky §26
Zajišťování úrovně dostupnosti informací §27
Průmyslové, řídicí a obdobné specifické systémy §28
Digitální služby §29
HLAVA III - BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní politika a bezpečnostní dokumentace §30
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Kategorizace kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ZÁVĚREČNÁ USTANOVENÍ
Přechodná ustanovení §35
Zrušovací ustanovení §36
Účinnost §37
Příloha č. 1 - Hodnocení aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Zranitelnosti a hrozby
Příloha č. 4 - Likvidace dat
Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace
Příloha č. 6 - Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role
Příloha č. 7 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy
Příloha č. 8 - Vzor Formuláře pro hlášení kontaktních údajů
82
XXXXXXXX
xx xxx 21. xxxxxx 2018
x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx, xxxxxxxxxxx opatřeních, xxxxxxxxxxxxx podání v xxxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxx xxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx úřad xxx xxxxxxxxxxxxx a informační xxxxxxxxxx xxxxxxx podle §28 odst. 2 xxxx. x) až x) a x) xxxxxx č. 181/2014 Xx., x xxxxxxxxxxxx xxxxxxxxxxx x x xxxxx xxxxxxxxxxxxx zákonů (xxxxx x xxxxxxxxxxxx xxxxxxxxxxx), ve xxxxx xxxxxx x. 104/2017 Xx. x xxxxxx x. 205/2017 Sb., (xxxx jen "zákon"):
ČÁST XXXXX
XXXXXX USTANOVENÍ
§1
Předmět xxxxxx
Xxxx xxxxxxxx zapracovává xxxxxxxxx xxxxxxx Xxxxxxxx xxxx1) x xxx xxxxxxxxxx systém kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxxxxx systém xxxxxxxx služby anebo xxxxxxxxxx systém nebo xxx elektronických xxxxxxxxxx, xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, (xxxx xxx "xxxxxxxxxx x xxxxxxxxxxx xxxxxx") upravuje
a) xxxxx x strukturu xxxxxxxxxxxx dokumentace,
b) xxxxx x rozsah xxxxxxxxxxxxxx xxxxxxxx,
x) xxxx, xxxxxxxxx x hodnocení významnosti xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
d) xxxxxxxxxxx x způsob xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x provedení reaktivního xxxxxxxx a xxxx xxxxxxxx,
x) vzor oznámení xxxxxxxxxxx xxxxx a xxxx xxxxx a
g) xxxxxx xxxxxxxxx xxx, xxxxxxxxxx xxxxx, informací x xxxxxx xxxxx.
§2
Xxxxxxxx xxxxx
Xxx účely xxxx xxxxxxxx xx xxxxxx
x) xxxxxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxxx, provoz, xxxxxxx, údržbu a xxxxxxxxxx technického aktiva,
b) xxxxxxxxxxxxxxx xxxxxxx xxxxxx, xxxxx xx xxxxxxxxxx xxx xxxxx xxxx xxxxx, které jsou xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx, (xxxx xxx "povinná xxxxx") x není xxxxx jej xxxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxx x xxxxxxxx, xxxxx určují xxxxxx xxxxxxxxx ochrany xxxxx,
x) xxxxxxxxxx xxxxx xxxxxxx xxxxxx identifikace, xxxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxx kybernetické bezpečnostní xxxxxxxx nebo xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxx škodu,
f) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, zaměstnanci x xxxxxxxxxx xxxxxxxxxx xx xx xxxxxxx, rozvoji, xxxxxx nebo xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) primárním xxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx a xxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxx, xx xxxxxx xxxxxx xxxxxxx zranitelnosti xxxxxx x způsobí xxxxx,
x) řízením xxxxx xxxxxxx zahrnující xxxxxxxxx xxxxx, xxxxx x xxxxxxxx xxxxxxxx xx xxxxxxxx xxxxx, sdílení xxxxxxxxx x riziku x sledování x xxxxxxxxxxx xxxxx,
x) xxxxxxxx xxxxxx xxxxxxxxxxx informací xxxx xxxxxxx xxxxxx xxxxxxx osoby založená xx xxxxxxxx x xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx, která xxxxxxx xxxxxx xxxxxxxx, xxxxxxxx, xxxxxxxxxxx, monitorování, xxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxx,
x) xxxxxxxxxx xxxxxxx takové xxxxxxxxx xxxxxxxx, xxxxxxxxxxx prostředky x xxxxxxxxxx vybavení xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x objekty, xx kterých xxxx xxxx systémy xxxxxxxx, xxxxxxx xxxxxxx xxxx xxx dopad xx xxxxxxxxxx a xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxx xxxxx xxxxxxx xxxx, které xxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx xxxx, které xxxx xxxxxxxx xxxxx, xxxx xxxxxxxxxx xxxxx xxxxxxx xxxxx,
x) xxxxxxxxx dodavatelem xxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx (xxxx xxx "provozovatel") x xxxxx, xxx x xxxxxxxx osobou xxxxxxxx xx xxxxxxxx xxxxxx, xxxxx je xxxxxxxx x hlediska bezpečnosti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxx změnou xxxxx, xxxxx xx xxxx xxxx xxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxx xxxxxx,
x) xxxxxxxxxxxxx xxxxx xxxxx aktiva xxxx xxxxx xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxx zneužito xxxxxx nebo více xxxxxxxx.
ČÁST XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx řízení xxxxxxxxxxx xxxxxxxxx
Xxxxxxx osoba x rámci xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx x xxxxxxx xx xxxxxxxxx dotčených xxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, xx kterém xxxx xxxxxxxxxxx xxxxx x xxxxxx, jichž xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx týká,
b) xxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxx informací,
c) pro xxxxxxxxx rozsah systému xxxxxx bezpečnosti xxxxxxxxx xx xxxxxxx xxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, bezpečnostních xxxxxx x hodnocení xxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxx xxxxxx xxxxx §5,
x) vytvoří x schválí bezpečnostní xxxxxxxx v oblasti xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx obsahuje xxxxxx xxxxxx, cíle, xxxxxxxxxxxx xxxxxxx, xxxxx x povinnosti xx xxxxxx x řízení xxxxxxxxxxx informací, x xx xxxxxxx bezpečnostních xxxxxx x výsledků xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx podle §30 x xxxxxx xxxxxxxxx bezpečnostní opatření,
f) xxxxxxx xxxxxxxxx auditu xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx (xxxx jen "xxxxx kybernetické xxxxxxxxxxx") xxxxx §16,
x) zajistí xxxxxxxxxx vyhodnocování xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací xxxxxx xxxxxx hodnocení xxxxx, posouzení xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxx §11 xxxx xxxxxxxx xxxxx, které xxxxx do xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxx dokumentaci xx xxxxxxx xxxxxxxx xxxxxx kybernetické bezpečnosti, xxxxxxxx vyhodnocení xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x x xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxxx x
x) xxxx xxxxxx x xxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx spojené xx systémem xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx.
§4
Xxxxxx aktiv
(1) Xxxxxxx xxxxx x rámci xxxxxx aktiv
a) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) stanoví xxxxxxxx xxx hodnocení xxxxx xxxxxxx x xxxxxxx xxxxxxxx v příloze č. 1 x xxxx xxxxxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxx,
x) xxxx x xxxxxxx garanty xxxxx,
x) xxxxxxx a eviduje xxxxxxxx aktiva x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x xxxxxx xx xx xxxxxxxxxxxx xxxxxx xxxxx xxxxxxx x),
x) xxxx x xxxxxxx xxxxx xxxx primárními x xxxxxxxxxx xxxxxx a xxxxxxx xxxxxxxx závislostí xxxx xxxxxxxxxx a xxxxxxxxxx aktivy,
g) hodnotí xxxxxxxx aktiva x xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxx x),
x) na xxxxxxx hodnocení xxxxx xxxxxxxxx x zavádí xxxxxxxx xxxxxxx xxxxx xxx xxxxxxxxxxx jednotlivých xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxx způsoby xxxxxxxxx xxxxx x xxxxxxxx xxx xxxxxxxxxx x xxxxxx s ohledem xx xxxxxx aktiv, xxxxxx pravidel pro xxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx přenášení xxxxx, x
x) xxxx xxxxxx likvidace dat, xxxxxxxxxx xxxxx, informací x xxxxxx xxxxx xxxx likvidaci xxxxxxxxxxx xxxxxx xxx x xxxxxxx xx úroveň xxxxx x xxxxxxx x přílohou č. 4 k xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx důležitosti xxxxxxxxxx xxxxx xx xxxxx xxxxxxxx xxxxxxx
x) rozsah x xxxxxxxxxx xxxxxxxx xxxxx, xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxxxxxx tajemství,
b) rozsah xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx a kontrolních xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxx a xxxxx xxxxxxxx xxxxxx,
x) dopady xx xxxxxxxxxxx xxxxxxxxxx xxxxxx,
x) rozsah xxxxxxxx xxxxxxx činností,
g) xxxxxx xx xxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx xxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxx a xxxxxx xxxx,
x) dopady xx mezinárodní xxxxxx x
x) xxxxxx xx xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
§5
Xxxxxx xxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxx x xxxxxxxxxx na §4
x) xxxxxxx xxxxxxxx xxx xxxxxxxxx rizik, xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxxxxx xxxxx,
x) x xxxxxxx xx xxxxxx xxxxxxxxxxxx relevantní xxxxxx x xxxxxxxxxxxxx; xxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxxx x příloze č. 3 x této xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxx x pravidelných xxxxxxxxxxx xxxxx odstavce 2 x xxx xxxxxxxxxx xxxxxxx,
x) xxx xxxxxxxxx xxxxx xxxxxxxx relevantní xxxxxx x xxxxxxxxxxxxx x xxxxxxx xxxxx xxxxxx na aktiva; xxxx xxxxxx hodnotí xxxxxxx v rozsahu přílohy č. 2 x této xxxxxxxx,
x) zpracuje zprávu x hodnocení xxxxx,
x) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx potřeb a xxxxxxxx xxxxxxxxx rizik xxxxxxxxxx o aplikovatelnosti, xxxxx obsahuje přehled xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx, xxxxx
1. xxxxxx xxxxxxxxxx, xxxxxx xxxxxxxxxx,
2. byla xxxxxxxxxx, xxxxxx způsobu xxxxxx,
x) xxxxxxxx x xxxxxx xxxx zvládání xxxxx, xxxxx obsahuje xxxx x přínosy xxxxxxxxxxxxxx xxxxxxxx pro zvládání xxxxxxxxxxxx xxxxx, xxxxxx xxxxx xxxxxxxxxxx prosazování xxxxxxxxxxxxxx opatření pro xxxxxxxx xxxxx, potřebné xxxxxxxx, xxxxxxxxx, lidské x xxxxxxxxxx xxxxxx, xxxxxx xxxxxx xxxxxxxx, xxxxx xxxxx xxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx a xxxxxx xxxxxxxxx bezpečnostních xxxxxxxx,
x) xxx xxxxxxxxx xxxxx a x xxxxx xxxxxxxx rizik xxxxxxxx
1. xxxxxxxx xxxxx,
2. xxxxx xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
3. xxxxxxxx xxxxx §11 xxxxxx x
4. xxxxxxxxxxxx xxxxxxxxxxxx incidenty, včetně xxxxx xxxxxxxx, x
x) x xxxxxxx s xxxxxx zvládání xxxxx xxxxxx bezpečnostní xxxxxxxx.
(2) Xxxxxxx xxxxx uvedená x §3 xxxx. x), x) x x) xxxxxx provádí xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxx x xxxxxxx xxxxx xxxxxxx x §3 písm. x) xxxxxx xxxxxxx xxxxxx za xxx xxxx.
(3) Xxxxxx rizik xxxx xxx xxxxxxxxx x xxxxxx xxxxxxx, xxx xxx xx xxxxxxxxx x odstavci 1 písm. x), xxxxx xxxxxxx osoba xxxxxxxxx, xx xxxxxxx xxxxxxxx zajistí stejnou xxxx xxxxx úroveň xxxxxxx řízení rizik.
§6
Xxxxxxxxxxx xxxxxxxxxx
(1) Xxxxxxx xxxxx s xxxxxxx xx systém xxxxxx xxxxxxxxxxx xxxxxxxxx
x) zajistí xxxxxxxxx xxxxxxxxxxxx politiky x xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx §3 xxxxxxxxxxxx xx strategickým xxxxxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací do xxxxxxx xxxxxxx osoby,
c) xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx xxx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxx x xxxx xxxxxxxxx xx xxxxx dotčenými xxxxxxxx,
x) zajistí xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx a xxxxxxxxx xx při xxxxx rozvíjení,
g) xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxx xxxxx zastávající xxxxxxxxxxxx xxxx xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx jejich xxxxxxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxx pro xxxxxx xxxxxxxxxxxxxx x xxxx, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx xxxx,
x) zajistí, xxx xxxx zachována xxxxxxxxxxx xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) pro osoby xxxxxxxxxxx bezpečnostní xxxx xxxxxxx xxxxxxxxx xxxxxxxxx x zdroje xxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx jejich rolí x xxxxxx souvisejících xxxxx x
x) zajistí xxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx, obnovy x xxxxxxx xxxxxxxxx xx xxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
(2) Povinná xxxxx x rámci xxxxxxx xxxxxx xxxxxxxxxxx informací xxxx složení xxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx x bezpečnostní xxxx x xxxxxx xxxxx a povinnosti xxxxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(3) Xxxxxxx xxxxx xxxxxxx x §3 písm. x), x) x x) xxxxxx xxxx xxxxx, xxxxx xxxx xxxxxxxx bezpečnostní xxxx
x) xxxxxxxx kybernetické xxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx aktiva x
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxx osoba uvedená x §3 písm. x) xxxxxx xxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxx. Ostatní xxxxxxxxxxxx xxxx xxxxx xxxxxxxx 3 xxxx xxxxxxxxx xxxxxxxx x xxxxxxx x potřebám xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(5) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), d) a x) xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx rolí xxxxxxxxx x xxxxxxxx 3 písm. x) x x).
(6) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. e) xxxxxx zajistí zastupitelnost xxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(7) Xxxxx xxx xxxxxx kybernetické xxxxxxxxxxx xx xxxxxx xxxxxxx s příslušnými xxxxxxxxxxx a xxxxxxxx xxxxxxxxxxxx xxx celkové xxxxxx a xxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx x xxxxxxx xxxxxxxx se xxxxxxxxxxxx xx řízení x xxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx, xxxxx členem xxxx xxx alespoň xxxxx xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxx xxxxxxxx xxxxx a xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxx xxxxx u xxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx přihlédne x xxxxxxxxxxx xxxxxxxx v příloze č. 6 k této xxxxxxxx.
§7
Xxxxxxxxxxxx role
(1) Xxxxxxx xxxxxxxxxxxx bezpečnosti
a) je xxxxxxxxxxxx xxxx odpovědná xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxx xxxx xxxx xxx xxxxxxxx xxxxx, která xx xxx xxxx xxxxxxx xxxxxxxxx x prokáže xxxxxxxx způsobilost praxí x řízením xxxxxxxxxxxx xxxxxxxxxxx xxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx
1. xx dobu nejméně xxx xxx, xxxx
2. xx xxxx xxxxxxx xxxx, xxxxx xxxxxxxxxxx xxxxxxx xx xxxxxx xxxxx,
x) odpovídá za xxxxxxxxxx informování xxxxxxxxxxx xxxxxx x
1. xxxxxxxxxx xxxxxxxxxxxxx x xxxxxxx xxxx xxxxxxxxxxxx a
2. xxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x
x) xxxxx xxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx.
(2) Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxx role xxxxxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx xxx, xxx xxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxx informačního a xxxxxxxxxxxxx xxxxxxx, přičemž xxxxxxx xxxx xxxx xxxx být xxxxxxxx xxxxx, xxxxx je xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxx implementace xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxxx bezpečnosti
a) xx xxxx nejméně xxx xxx, xxxx
x) xx dobu jednoho xxxx, xxxxx xxxxxxxxxxx xxxxxxx na xxxxxx xxxxx.
(3) Xxxxxx aktiva xx xxxxxxxxxxxx xxxx xxxxxxxxx za zajištění xxxxxxx, xxxxxxx x xxxxxxxxxx xxxxxx.
(4) Auditor xxxxxxxxxxxx bezpečnosti
a) xx xxxxxxxxxxxx xxxx xxxxxxxxx xx provádění xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, přičemž xxxxxxx této xxxx xxxx xxx pověřena xxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx způsobilost xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx nebo xxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xx xxxx xxxxxxx xxx xxx, xxxx
2. xx xxxx jednoho xxxx, xxxxx xxxxxxxxxxx xxxxxxx xx xxxxxx xxxxx,
x) xxxxxxxx, xx provedení xxxxxx kybernetické xxxxxxxxxxx xx nestranné, x
x) xxxxx xxx xxxxxxx xxxxxxx jiných xxxxxxxxxxxxxx xxxx.
(5) Xxxxxxx osoba xxx xxxxxxxx xxxx xxxxxxxxxxxxx bezpečnostní xxxx xxxxxxxxx x doporučením xxxxxxxx x příloze č. 6 x této xxxxxxxx.
§8
Xxxxxx xxxxxxxxxx
(1) Xxxxxxx xxxxx
x) stanoví xxxxxxxx xxx dodavatele, xxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxx xxxxxxxx svých xxxxxxxxxx dodavatelů,
c) prokazatelně xxxxxxx xxxxxxxxx své xxxxxxxx dodavatele o xxxxxx evidenci xxxxx xxxxxxx x),
x) xxxxxxxxx xxx xxxxxxxxxx s xxxxxxxx xxxxx xxxxxxx x) a vyžaduje xxxxxx xxxxxx pravidel,
e) xxxx xxxxxx xxxxxxx x xxxxxxxxxx,
x) x xxxxxxxxxxx x xxxxxxx xxxxx xxxxxxxxx s xxxxxxxxxx dodavateli zajistí, xxx smlouvy xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx x příloze č. 7 x xxxx vyhlášce, x
x) xxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxx s xxxxxxxxxx dodavateli z xxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Povinná xxxxx u významných xxxxxxxxxx xxxx
x) x xxxxx xxxxxxxxxx xxxxxx x xxxx xxxxxxxxx xxxxxxx provádí hodnocení xxxxx xxxxxxxxxxxxx s xxxxxxx předmětu xxxxxxxxxx xxxxxx xxxxxxxxx xxxxx přílohy č. 2 x xxxx xxxxxxxx,
x) x xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x určí xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx za xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx a xxxxxxxxxxx kontrolu zavedených xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxx plnění xxxxxx xxxxxxxxx xxxxxx nebo xxxxxx xxxxx xxxxxx x
x) x xxxxxx xx xxxxxx x xxxxxxxx nedostatky xxxxxxx xxxxxx řešení.
(3) Xxxxxxxxxxx xxxxxxxxxxxxxx informování xxxxx xxxxxxxx 1 xxxx. x) jsou
a) xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
c) identifikace xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx x skutečnosti, že xxxxxxxxx je pro xxxxxxx významným xxxxxxxxxxx, x xxxxxxxxx xxxx x xxx, že xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx, a
e) xxxxx xxxxxxxx xxxxx xxxxxxxx 1 písm. x).
(4) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. c) až x) xxxxxx, která xx xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxx informována xxxxx xxxxxxxx 1 xxxx. x), hlásí xxxxxxxxx xxxxx formou xxxxxxxx x §34.
§9
Xxxxxxxxxx lidských xxxxxx
(1) Xxxxxxx xxxxx x xxxxx řízení xxxxxxxxxxx xxxxxxxx xxxxxx
x) x xxxxxxx xx stav x xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxxxx plán xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxx xx zajistit xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxxxx bezpečnostního xxxxxxxx x xxxxx xxxxxxxx xxxxx, xxxxx x xxxxxx
1. xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxx x xxxxxx xxxxxxxxxxxx a x xxxxxxxxxxxx xxxxxxxx x
2. xxxxxxxxxx teoretických x xxxxxxxxxxx školení uživatelů, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) xxxx xxxxx xxxxxxxxx xx xxxxxxxxx jednotlivých xxxxxxxx, xxxxx jsou x xxxxx xxxxxxx,
x) x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx, administrátorů, xxxx xxxxxxxxxxxxx bezpečnostní role x xxxxxxxxxx o xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx a xxxxxxxxxxxx školení,
d) xxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx x souladu x xxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx odborná xxxxxxx, xxxxxxx vychází z xxxxxxxxxx xxxxxx povinné xxxxx x xxxxxxx xxxxxxxxxxxx bezpečnosti,
e) x xxxxxxx x xxxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxxxx xxxxxxxxxx školení x ověřování bezpečnostního xxxxxxxx zaměstnanců v xxxxxxx x jejich xxxxxxxx xxxxxx,
x) zajistí xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx ze strany xxxxxxxxx, administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) v xxxxxxx xxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxxx x xxxxxxx xxxxxxxxxxxxx bezpečnostní xxxx xxxxxxx xxxxxxx xxxxxxxxxxxx,
x) xxxxxxx účinnost xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxxxxx školení x xxxxxxx činností xxxxxxxxx se xxxxxxxxxxx xxxxxxxxxxxxxx povědomí a
i) xxxx xxxxxxxx x xxxxxxx xxx řešení xxxxxxx porušení xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Xxxxxxx xxxxx vede x xxxxxxx xxxxx xxxxxxxx 1 přehledy, xxxxx xxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
§10
Xxxxxx xxxxxxx a xxxxxxxxxx
(1) Povinná xxxxx x rámci xxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx, které obsahují xxxxxxx
x) xxxxx x xxxxxxxxxx administrátorů, xxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx role,
b) xxxxxxx xxx xxxxxxxx x xxxxxxxx chodu systému, xxx xxxxxxx xxxx xxxxxxxx chodu xxxxxxx xx xxxxxxx x xxx xxxxxxxx chybových xxxxx xxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxxx xxx xxxxxxx přístupu x xxxxxxxx o xxxxxx událostech,
d) xxxxxxxx x xxxxxxx pro xxxxxxx xxxx xxxxxxxxx xxxxx,
x) řízení technických xxxxxxxxxxxxx,
x) spojení xx xxxxxxxxx xxxxx, které xxxx pověřeny xxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxxxx provozních xxxx,
x) postupy xxx xxxxxxxxx, xxxxxxxxx a xxxxxx kapacity xxxxxxxx x xxxxxxxxxxx zdrojů,
i) xxxxxxxx a postupy xxx xxxxxxx xxxxxxxxx x dat v xxxxxxx xxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxx x xxxxxxx pro instalaci xxxxxxxxxxx xxxxx,
x) provádění xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxx x
x) xxxxxxxx x xxxxxxx xxx xxxxxxxxx bezpečnosti xxxxxxxx xxxxxx.
(2) Xxxxxxx xxxxx x rámci řízení xxxxxxx x komunikací xxxxxxxx xxxxxxxx a xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 1 x xxxx pravidla x xxxxxxx xxxxxxxxxxx v xxxxxxxxxxx x prováděnými xxxx plánovanými xxxxxxx.
(3) Xxxxxxx osoba zajistí xxxxxxxx vývojového, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxx.
§11
Řízení xxxx
(1) Xxxxxxx xxxxx v rámci xxxxxx xxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) xxxxxxxxxxx možné xxxxxx změn x
x) xxxxxx významné xxxxx.
(2) Xxxxxxx xxxxx u xxxxxxxxxx změn
a) xxxxxxxxxxx xxxxxx xxxxxx,
x) provádí xxxxxxx xxxxx,
x) přijímá xxxxxxxx xx účelem xxxxxxx xxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxx změnami,
d) xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx dokumentaci,
e) xxxxxxx xxxxxx xxxxxxxxx x
x) xxxxxxx xxxxxxx navrácení xx původního xxxxx.
(3) Xxxxxxx xxxxx xxxxxxx x §3 písm. x), d) x x) xxxxxx xx xxxxxxx výsledků xxxxxxx xxxxx podle xxxxxxxx 2 xxxx. b) xxxxxxxxx o xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx nebo xxxxxxxxx xxxxxxxxxxxxx; xxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx testování xxxx xxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx xxxxx §25 odst. 1 a reaguje xx xxxxxxxx nedostatky.
(4) Xxxxxxx osoba xxxxxxx x §3 xxxx. x) xxxxxx xx xxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxxxxxxx.
§12
Řízení xxxxxxxx
(1) Xxxxxxx xxxxx xx xxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxx, která xxxxxx x xxxxxxxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx podle §19 x 20, a xxxxx brání xx xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx osobou.
(2) Xxxxxxx xxxxx xxxx x xxxxx xxxxxx přístupu x informačnímu x xxxxxxxxxxxxx systému
a) xxxx xxxxxxx na xxxxxxx xxxxxx a xxxx,
x) xxxxxxx každému xxxxxxxxx x xxxxxxxxxxxxxxxx xxxxxxxxxxxxxx x informačnímu x xxxxxxxxxxxxx systému xxxxxxxxxx xxxxx x xxxxxxxxx x xxxxxxxxx identifikátor,
c) xxxx xxxxxxxxxxxxxx, přístupová xxxxx a xxxxxxxxx xxxxxxxx a xxxxxxxxxxx xxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxxx pro řízení xxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxxxxxxxxx opatření xxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx zařízení x xxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxx s xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx povinná xxxxx xxxx ve xxx xxxxxx,
x) omezí xxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxx nutnou x xxxxxx náplně xxxxx,
x) omezí x xxxxxxxxxx používání xxxxxxxxxxxx xxxxxxxxxx, které xxxxx xxx schopné překonat xxxxxxxxx xxxx aplikační xxxxxxxx,
x) xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx s xxxxxxxxx řízení xxxxxxxx,
x) xxxxxxx pravidelné xxxxxxxxxxx xxxxxxxxx xxxxxxxxx přístupových xxxxxxxxx včetně rozdělení xx přístupových xxxxxx x xxxx,
x) xxxxxxx xxxxxxx xxx správu x ověřování xxxxxxxx xxxxx §19 x xxxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxx xxxxx §20,
x) prosazuje, xxx xxxxxxxxx xxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx informací xxxxxxxxxx xxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx nebo xxxxx přístupových xxxxxxxxx xxx xxxxx xxxxxx xxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx nebo osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxxxx nebo xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx xxxx xxxxx xxxxxxxxx xxxxxx x
x) dokumentuje xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx.
§13
Xxxxxxxx, vývoj x xxxxxx
Xxxxxxx xxxxx x xxxxxxxxxxx x plánovanou xxxxxxxx, xxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) řídí xxxxxx xxxxx §5,
x) xxxx xxxxxxxx xxxxx xxxxx §11,
x) stanoví xxxxxxxxxxxx xxxxxxxxx,
x) zahrne xxxxxxxxxxxx požadavky do xxxxxxxx xxxxxxxx, xxxxxx x údržby,
e) xxxxxxx xxxxxxxxxx vývojového a xxxxxxxxxxx xxxxxxxxx x xxxxxxx ochranu xxxxxxxxxxx xxxxxxxxxxx xxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxx xxxx xxxxxx xxxxxxxxx xx provozu x
x) xxxx xxxxxxxxx xxxxx §19 odst. 3, xx-xx cílem xxxxxxxxx akvizice nebo xxxxxx nástroj pro xxxxxx a xxxxxxxxx xxxxxxxx.
§14
Xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxx
x) xxxxxx xxxxxx xxxxxxx x vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
b) xxxxxxx xxxxxxxxxxxx x stanoví xxxxxxx pro
1. xxxxxxx x vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí a xxxxxxxxx x
2. koordinaci x xxxxxxxx kybernetických xxxxxxxxxxxxxx incidentů,
c) definuje x xxxxxxxx xxxxxxx xxx xxxxxxxxxxxx, sběr, xxxxxxx x uchování xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu,
d) zajistí xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx,
x) při xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxx xxxx §22 a 23,
x) xxxxxxx, xx uživatelé, xxxxxxxxxxxxxx, osoby xxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxx xxxxxxxxxxx x xxxxxxxxxx xxxxx xxxxxxxxx neobvyklé xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx xx jakékoliv xxxxxxxxxxxxx,
x) xxxxxxx posuzování xxxxxxxxxxxxxx bezpečnostních událostí, xxx kterém musí xxx rozhodnuto, xxx xxxx xxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §31,
h) xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xxxxx xxxxxxxxxxx postupů,
i) přijímá xxxxxxxx xxx odvrácení x xxxxxxxx dopadu xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu,
j) xxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxx §32,
k) xxxx xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx x x jejich xxxxxxxx,
x) prošetří x xxxx příčiny xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a
m) xxxxxxxxx účinnost řešení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xx základě xxxxxxxxxxx stanoví xxxxx xxxxxxxxxxxx opatření, xxxxxxxxx xxxxxxxxxxx xxxxxxxxx bezpečnostní xxxxxxxx k xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x x) xxxxxx xxxx při xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx používá xxxxxxx xxxxx §24.
§15
Řízení xxxxxxxxxx činností
Povinná xxxxx v rámci xxxxxx xxxxxxxxxx xxxxxxxx
x) xxxxxxx xxxxx x xxxxxxxxxx administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxx xxxxxxxxx xxxxx x xxxxxxx xxxxxx vyhodnotí x xxxxxxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů x posoudí xxxxx xxxxxx xxxxxxxxxxx s xxxxxxxxx kontinuity xxxxxxxx,
x) xx xxxxxxx výstupů xxxxxxxxx xxxxx a xxxxxxx dopadů xxxxx xxxxxxx b) xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx určení
1. xxxxxxxxx xxxxxx poskytovaných xxxxxx, která xx xxxxxxxxxx pro užívání, xxxxxx x správu xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
2. doby xxxxxxxx xxxxx, během xxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx, x
3. xxxx obnovení xxx xxxx xxxxxx období, xx xxxxx musí xxx xxxxxx xxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxx xx xxxxxxx,
x) stanoví xxxxxxxx xxxxxx kontinuity xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx x),
x) xxxxxxxxx, xxxxxxxxxxx x pravidelně xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxx xxxxxxxxxxx s xxxxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx x xxxxxxxxxxxxx služeb x
x) xxxxxxxxx opatření pro xxxxxxx odolnosti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx a xxxxxxxx xxxxxxxxxxx x vychází xxx xxx x xxxxxxxxx xxxxx §27.
§16
Xxxxx xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxxxx xxxxx v xxxxx auditu kybernetické xxxxxxxxxxx
x) xxxxxxx x xxxxxxxxxxx xxxxx dodržování xxxxxxxxxxxx xxxxxxxx, včetně xxxxxxxxxxx technické xxxxx, x xxxxxxxx auditu xxxxxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx povědomí x plánu zvládání xxxxx a
b) xxxxxxxx xxxxxx xxxxxxxxxxxxxx opatření x nejlepší xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx, xxxxxx předpisy x xxxxxxxxx xxxxxxx xxxxxxxxxxxx se k xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x určí xxxxxxxx nápravná xxxxxxxx xxx xxxxxxxxx xxxxxxx.
(2) Xxxxx xxxxx odstavce 1 je prováděn
a) xxx významných změnách, x rámci xxxxxx xxxxxxx,
x) x pravidelných xxxxxxxxxxx alespoň xx 3 xxxxxx x xxxxxxx xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx x
x) x pravidelných xxxxxxxxxxx xxxxxxx po 2 xxxxxx x xxxxxxx xxxxxxx xxxxx xxxxxxxxx x písmenu x).
(3) Xxxx-xx v xxxxxxxxxxxx xxxxxxxxx možné xxxxxxx audit x xxxxxxxxxxx podle odstavce 2 xxxx. x) x x) v xxxxx xxxxxxx, xx xxxxx audit xxxxxxxx xxxxxxxx xx systematických xxxxxxx. X xxxxxxx xxxxxxx je nutno xxxxx x celém xxxxxxx xxxxxxx nejpozději xx 5 xxx.
(4) Xxxxx xxxxxxxxxxxx bezpečnosti xxxx být xxxxxxxx xxxxxx vyhovující xxxxxxxxx xxxxxxxxxx x §7 xxxx. 4, xxxxx xxxxxxxxx hodnotí správnost x účinnost zavedených xxxxxxxxxxxxxx xxxxxxxx.
(5) Povinná xxxxx, která xx xxxxxxxx provozovatelem, xxxxxxxxx xxxxxxxx auditu kybernetické xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
XXXXX II
TECHNICKÁ XXXXXXXX
§17
Xxxxxxx xxxxxxxxxx
Xxxxxxx osoba v xxxxx fyzické bezpečnosti
a) xxxxxxxxx xxxxxxxxx, xxxxxxx xxxx zneužití xxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) stanoví xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxx, ve xxxxx xxxx xxxxxxxxxx x zpracovávány xxxxxxxxx x umístěna xxxxxxxxx xxxxxx informačního x xxxxxxxxxxxxx systému, x
x) x fyzického bezpečnostního xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx b) xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxx fyzické xxxxxxxxxxx
1. k zamezení xxxxxxxxxxxxx xxxxxx,
2. x xxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x
3. xxx xxxxxxxxx xxxxxxx xx xxxxxx objektů x v xxxxx xxxxxxx.
§18
Xxxxxxxxxx komunikačních xxxx
Xxxxxxx xxxxx xxx xxxxxxx xxxxxxxxxxx komunikační xxxx xxxxxxxx v xxxxxxx xxxxx §3 písm. x)
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxx xxxxxxxxxx v xxxxx komunikační sítě x xxxxxxxxx komunikační xxxx,
x) pomocí kryptografie xxxxxxx xxxxxxxxx x xxxxxxxxx xxx při xxxxxxxxx přístupu, vzdálené xxxxxx xxxx při xxxxxxxx xx xxxxxxxxxxx xxxx pomocí bezdrátových xxxxxxxxxxx,
x) aktivně xxxxxxx xxxxxxxxx xxxxxxxxxx x
x) xxx xxxxxxxxx xxxxxxxxxx xxxx x xxx xxxxxx xxxxxxxxxx mezi xxxxxx xxxxxxxx xxxxxxx xxxxxxx, xxxxx zajistí xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx.
§19
Xxxxxx x xxxxxxxxx xxxxxxx
(1) Xxxxxxx osoba xxxxxxx xxxxxxx xxx xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx, administrátorů x aplikací xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxx xxx xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx zajišťuje
a) xxxxxxx xxxxxxxx xxxx zahájením xxxxxxx x informačním x xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxx možných xxxxxxxxxxx pokusů x xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxx autentizačních xxxxx xxxxx xxxxxxxxxxxxx xxxxxxxx a zneužití,
d) xxxxxxxx autentizačních xxxxx xx formě odolné xxxxx xxxxxxx xxxxxx,
x) xxxxxxxx xxxxxxx identity xx xxxxxx době xxxxxxxxxx,
x) dodržení xxxxxxxxxx xxxxxxxxxxxxxx údajů xxx xxxxxx xxxxxxxx a
g) xxxxxxxxxxxxxxx xxxxxx xxxxxxx.
(3) Xxxxxxx xxxxx xxx xxxxxxx identity uživatelů, xxxxxxxxxxxxxx x aplikací xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxx založený xxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxx x xxxxx, xxxxx na xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxx různými xxxx xxxxxxx.
(4) Xx xxxx xxxxxxx požadavku xxxxx xxxxxxxx 3 xxxx xxxxxxx xxx xxxxxxx identity uživatelů, xxxxxxxxxxxxxx x xxxxxxxx, xxxxxxxx xxxxxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxx x xxxxxxx obdobnou xxxxxx xxxxxxxxxxx.
(5) Xx xxxx xxxxxxx požadavků xxxxx xxxxxxxx 3 xxxx 4 musí nástroj xxx xxxxxxx identity xxxxxxxxx, administrátorů a xxxxxxxx, xxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxx x heslo, xxxxxxxxx xxxxxxxx
x) délky xxxxx xxxxxxx
1. 12 xxxxx x uživatelů x
2. 17 xxxxx x xxxxxxxxxxxxxx x xxxxxxxx,
x) xxxxxxxxxx xxxxx xxxxx x xxxxx xxxxxxx 64 xxxxx,
x) xxxxxxxxxxx xxxxxxx malých x xxxxxxx písmen, xxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx xxxxxxxxxx xxxxx xxxxx, xxxxxxx xxxxxx mezi xxxxx xxxxxxx hesla nesmí xxx kratší xxx 30 xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxx x administrátorům
1. xxxxxx si xxxxxxxxxx xxxxxxxxx xxxxx,
2. xxxxxx xxxxx xx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx, xxxxxxxxxxxxxx xxxxx, x-xxxxx, názvu xxxxxxx xxxx xxxxxxxx xxxxxxxx x
3. xxxxxxxx použití xxxxx používaných xxxxx x xxxxxx xxxxxxx 12 předchozích xxxxx x
x) xxx xxxxxxxx xxxxx xxxxx v xxxxxxxxx xxxxxxxxx po 18 měsících, přičemž xxxx pravidlo se xxxxxxxxxx xx xxxx xxxxxxxx x obnově xxxxxxx v případě xxxxxxx.
(6) Povinná xxxxx x xxxxxxx používání xxxxxxxxxxx pouze účtem x xxxxxx xxxx
x) xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxx xx xxxx xxxxxx použití,
b) xxxxxxxxxxx xxxxxxxxx heslo xxxxxxxx k xxxxxxxx xxxxxxxx po xxxx xxxxxx xxxxxxx xxxx xxxxxxxxx xxxxxxx 60 xxxxx xx jeho xxxxxxxxx x
x) xxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxxxxxxx hesel do xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9.
§20
Xxxxxx přístupových xxxxxxxxx
Xxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxx pro řízení xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx xxxxxx xxxxxxxxx
x) xxx xxxxxxx x xxxxxxxxxxx xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx x
x) pro xxxxx xxx, xxxxx xxx x xxxxx oprávnění.
§21
Xxxxxxx xxxx xxxxxxxxx xxxxx
(1) Xxxxxxx osoba xxxxxxx x §3 xxxx. x), x) x x) xxxxxx x rámci ochrany xxxx škodlivým xxxxx
x) x ohledem na xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx automatickou xxxxxxx
1. xxxxxxxxx xxxxxx,
2. mobilních xxxxxxxx,
3. xxxxxxx,
4. xxxxxxxx xxxxxxx a xxxxxxxxx xxxxxxxx nosičů,
5. komunikační xxxx a prvků xxxxxxxxxxx xxxx x
6. xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x xxxx používání xxxxxxxxx zařízení a xxxxxxxx nosičů,
c) xxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx,
x) řídí xxxxxxxxx xx spouštění xxxx x
x) provádí xxxxxxxxxxx a xxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxx.
(2) Xxxxxxx osoba xxxxxxx v §3 xxxx. x) zákona xxxxxxxxx xxxxx odstavce 1 přiměřeně.
§22
Xxxxxxxxxxxxx xxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx, xxxx xxxxxxxxx a xxxxxxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxxxxxx bezpečnostní x xxxxxxxx provozní xxxxxxxx xxxxxxxxxx aktiv xxxxxxxxxxxx x komunikačního systému x
x) xx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxxx xxxxx, x kterých xx xxxxxxxxxxxxx bezpečnostních x xxxxxxxxxx xxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx událostí xxxxx xxxxxxxx 1 zajišťuje
a) xxxxxxxxxxxx síťovou xxxxxxxxxxxx xxxxxxxx původce, je-li x komunikační xxxx xxxxxx xxxxxxx, xxxxx xxxx xxxx xxxxxxx xxxxxxxxxxxx,
x) xxxx informací x xxxxxxxxxxxxxx x xxxxxxxxxx událostech; xxxxxxx xxxxxxxxxxx
1. xxxxx x xxx xxxxxx xxxxxxxxxxx xxxxxxxx pásma,
2. xxx xxxxxxxx,
3. xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, xxxxx činnost xxxxxxxxxxx,
4. jednoznačnou xxxxxxxxxxxx xxxx, xxx kterým xxxx činnost provedena,
5. xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx a
6. xxxxxxxxx nebo xxxxxxxxxxx xxxxxxxx,
x) xxxxxxx informací xxxxxxxxx podle písmen x) a b) xxxx xxxxxxxxxxxx čtením x jakoukoli změnou,
d) xxxxxxxxxxxxx
1. přihlašování x xxxxxxxxxxx ke xxxx xxxxx, x xx xxxxxx xxxxxxxxxxx pokusů,
2. xxxxxxxx provedených xxxxxxxxxxxxxx,
3. xxxxxxx i neúspěšné xxxxxxxxxx x xxxx, xxxxxxxxxxx x xxxxx,
4. xxxxxxxxxxx xxxxxxxx x xxxxxxxx nedostatku xxxxxxxxxxxx xxxx x xxxxxxxxx,
5. xxxxxxxx uživatelů, xxxxx xxxxx mít xxxx xx xxxxxxxxxx informačního x xxxxxxxxxxxxx systému,
6. xxxxxxxx a ukončení xxxxxxxx xxxxxxxxxxx xxxxx,
7. xxxxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxx aktiv x
8. xxxxxxxx k xxxxxxxx o xxxxxxxxxx, xxxxxx x manipulaci xx xxxxxxx x xxxxxxxxxx a xxxxx xxxxxxxxx nástrojů pro xxxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxxxxxxx xxxxxxxxxx času xxxxxxxxxxx aktiv xxxxxxx xxxxxx xx 24 xxxxx.
(3) Povinná osoba xxxxxxx x §3 xxxx. c), x) x x) zákona xxxxxxxx xxxxxxx událostí xxxxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxx po xxxx 18 měsíců.
(4) Xxxxxxx xxxxx uvedená x §3 xxxx. x) zákona uchovává xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxx po xxxx 12 xxxxxx.
§23
Detekce kybernetických bezpečnostních xxxxxxxx
(1) Xxxxxxx osoba x xxxxx xxxxxxxxxxx xxxx, xxxxx součástí xx informační a xxxxxxxxxxx systém, xxxxxxx xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx x kontrolu přenášených xxx v xxxxx xxxxxxxxxxx sítě a xxxx xxxxxxxxxxxxx sítěmi,
b) xxxxxxx a xxxxxxxx xxxxxxxxxxx dat na xxxxxxxxx xxxxxxxxxxx sítě x
x) xxxxxxxxx xxxxxxxxx xxxxxxxxxx.
(2) Povinná osoba xxxxxxx x §3 xxxx. x), x) x f) zákona xxxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx událostí přiměřeně x ohledem na xxxxxxxxxx aktiv x xxxxx
x) xxxxxxxxx stanic,
b) xxxxxxxxx xxxxxxxx,
x) serverů,
d) xxxxxxxx xxxxxxx a xxxxxxxxx xxxxxxxx nosičů,
e) xxxxxxxx xxxxxxxxx prvků x
x) xxxxxxxxx aktiv.
§24
Xxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
Xxxxxxx xxxxx xxxxxxx v §3 xxxx. c), x) a x) xxxxxx používá xxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx
x) sběr x xxxxxxxxxxxxx xxxxxxxx zaznamenaných xxxxx §22 a 23,
x) xxxxxxxxxxx x xxxxxxxxxxx souvisejících záznamů,
c) xxxxxxxxxxx informací xxx xxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostech,
d) xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x cílem identifikace xxxxxxxxxxxxxx bezpečnostních incidentů, xxxxxx xxxxxxxx xxxxxxxx xxxxxxxx bezpečnostních xxxx,
x) xxxxxxx xxxxxxx nesprávného xxxxxxxxxxx xxxxxxxx pravidelnou xxxxxxxxxxx xxxxxxxxx pravidel xxx
1. xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx a
2. xxxxxx varování x
x) xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx.
§25
Aplikační bezpečnost
(1) Xxxxxxx xxxxx provádí xxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému xx xxxxxxxxx xx důležitá xxxxxx, x xx
x) xxxx xxxxxx xxxxxxxx xx xxxxxxx x
x) x souvislosti x xxxxxxxxx xxxxxx xxxxx §11 xxxx. 3.
(2) Xxxxxxx xxxxx dále x xxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx xxxxxxxx, xxxxxxxxx x xxxxxxxxx xxxx
x) xxxxxxxxxxxx činností x
x) xxxxxxxx xxxxxxxxxxx xxxxxxxx.
§26
Kryptografické xxxxxxxxxx
Xxxxxxx xxxxx xxx ochranu xxxxx xxxxxxxxxxxx x komunikačního xxxxxxx
x) používá xxxxxxxx xxxxxx kryptografické algoritmy x xxxxxxxxxxxxxx klíče,
b) xxxxxxx xxxxxx xxxxxx xxxxx x xxxxxxxxxxx, xxxxx
1. xxxxxxx xxxxxxxxxx, xxxxxxxxxx, xxxxxxxx, změny, xxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxx x
2. xxxxxx xxxxxxxx a xxxxx,
x) xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxxx xxxxxxxxxx x
x) zohledňuje xxxxxxxxxx x xxxxxxx kryptografických xxxxxxxxxx vydaná Xxxxxx, xxxxxxxxxx xx jeho xxxxxxxxxxxxx xxxxxxxxx.
§27
Xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx xxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx
x) dostupnost xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxx splnění cílů xxxxx §15,
x) xxxxxxxx xxxxxxxxxxxx a komunikačního xxxxxxx vůči kybernetickým xxxxxxxxxxxxx incidentům, xxxxx xx xxxxx snížit xxxx dostupnost,
c) dostupnost xxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x
x) xxxxxxxxxx xxxxx xxxxxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
§28
Xxxxxxxxxx, řídicí x xxxxxxx xxxxxxxxxx systémy
Povinná xxxxx xxx xxxxxxxxx xxxxxxxxxxxx bezpečnosti xxxxxxxxxxxx, xxxxxxxx a xxxxxxxxx xxxxxxxxxxxx systémů xxxxxxx xxxxxxxx x opatření, xxxxx xxxxxxx
x) použití xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx, které jsou xxxxxx xx specifického xxxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxx k xxxxxxxxx xxxxxx xxxxxxx x xx xxxxxxxxxxx síti,
c) xxxxxxxxx xxxxxxxxxxx sítě xxxxxx xxx xxxx xxxxxxx xx xxxxxxx xxxxxxxxxxxxxx,
x) omezení a xxxxxx xxxxxxxxxx přístupu x xxxxx systémům,
e) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx těchto systémů xxxx využitím xxxxxxx xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx těchto systémů xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
§29
Digitální xxxxxx
(1) Xxxxxxx xxxxx xxxxxxx x §3 písm. h) xxxxxx xxxxxx bezpečnostní xxxxxxxx xxxxx prováděcího xxxxxxxx Xxxxxx (EU) 2018/151 xx xxx 30. xxxxx 2018, xxxxxx se xxxxxxx xxxxxxxx pro uplatňování xxxxxxxx Evropského xxxxxxxxxx x Xxxx (XX) 2016/1148, xxxxx jde x bližší xxxxxxxxx xxxxx, xxxxx musí xxxxxxxxxxxxx digitálních xxxxxx xxxxxxxxxxx při řízení xxxxxxxxxxxxxx rizik, jimiž xxxx xxxxxxxxx xxxx x xxxxxxxxxx xxxxxxx, x xxxxxxxxx xxx xxxxxxxxxx toho, zda xx xxxxx xxxxxxxxx xxxxxxxx; xxxxxxxxxx §3 xx 28 se xx tuto xxxxxxxx xxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. x) xxxxxx hlásí kontaktní xxxxx xxxxx §34 xxxx. 2.
(3) Povinná xxxxx xxxxxxx x §3 xxxx. h) xxxxxx hlásí xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §32 odst. 2 x 3.
HLAVA XXX
XXXXXXXXXXXX XXXXXXXX X XXXXXXXXXXXX XXXXXXXXXXX
§30
Xxxxxxxxxxxx xxxxxxxx x bezpečnostní xxxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx x příloze č. 5,
b) xxxxxxxxxx přezkoumává bezpečnostní xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxxx, xxx xxxx bezpečnostní xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx aktuální.
(2) Xxxxxxxxxxxx xxxxxxxx a bezpečnostní xxxxxxxxxxx xxxx xxx
x) xxxxxxxx x listinné xxxx xxxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxx x rámci xxxxxxx osoby,
c) xxxxxxxxx xxxxxxxx dotčeným xxxxxxx,
x) xxxxxx,
x) xxxxxxxx x xxxxxxx xxxxxxxxxx, integrity x dostupnosti x
x) xxxxxx tak, xxx xxxxxxxxx v nich xxxxxxxx xxxx úplné, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx x xxxxxx vyhledatelné.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX
§31
Xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Jednotlivé xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx se xxxxxxxxxxxx podle xxxxxxxxxxx xxx xxxxxxxxxx
x) xxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, podle xxxxxxx byly xxxxxxx xxxxx určeny,
b) xxxxx xxxxxxxxx xxxxxxxxx,
x) způsobené xxxx xxxxxxxxxxxxx škody,
d) xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
f) xxxxxx xx služby xxxxxxxxxxx xxxxxx informačními x komunikačními xxxxxxx,
x) xxxxx xxxxxx incidentu,
h) xxxxxxxxxxx xxxxxxx dotčené xxxxxxx a
i) xxxxxxx xxxxxx.
(2) Pro xxxxxxx xxxxxxx x zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx xx xxxxxxx xxxxxxxxxx xxxxx odstavce 1 xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - velmi xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx xxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx. Xxxx řešení xxxxxxxx neprodlené zásahy xxxxxxx x xxx, xx musí xxx xxxxx xxxxxxxxxx prostředky xxxxxxxxx dalšímu šíření xxxxxxxxxxxxxx bezpečnostního incidentu xxxxxx xxxxxxxxxxxx vzniklých x potenciálních xxxx,
x) Xxxxxxxxx XX - xxxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, xxx kterém xx xxxxxxxx bezpečnost xxxxxxxxxxxxx xxxxxx nebo xxxxx. Xxxx xxxxxx xxxxxxxx neprodlené zásahy xxxxxxx s xxx, xx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx, xxxx
x) Xxxxxxxxx I - méně významný xxxxxxxxxxxx xxxxxxxxxxxx incident, xxx xxxxxx xxxxxxx x xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxx poskytovaných xxxxxx xxxx xxxxx. Xxxx xxxxxx vyžaduje xxxxxx xxxxxxx x xxx, že xxxx xxx vhodnými prostředky xxxxxxx xxxxx šíření xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace xxxxxxxxx xxxx.
(3) Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xxxxx xxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx narušení xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx kombinaci xxxxxx xxxxxxxxx x xxxxxxxxx x) xx x).
(4) Xxxx xxxxxxxxxx se xxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx u xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) zákona.
§32
Xxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Kybernetický bezpečnostní xxxxxxxx xx Xxxxx xxxxx xx xxxxxxxxxxxxx xxxxxxxxx zveřejněném xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx xxxxx Úřadu xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx na xxxxxxxxxxxxx stránkách Xxxxx,
x) xx xxxxxx schránky Xxxxx, nebo
c) prostřednictvím xxxxxxxx xxxxxxxx, pokud xx xxxxxxxxx, xxxxx xxxxx je xxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx.
(2) Xxxxxxxxxxxx bezpečnostní xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx národního XXXX xxxxxxxx
x) xx xxxxxx elektronické xxxxx xxxxxxxxxxxxx xxxxxxxxx CERT xxxxxxx xxx xxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xx xxxx internetových xxxxxxxxx,
x) xx xxxxxx xxxxxxxx xxxxxxxxxxxxx národního XXXX, xxxx
x) prostřednictvím xxxxxxxxxxxxx xxxxxxx provozovatele xxxxxxxxx XXXX.
(3) Hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xx xxxxx xxxxxx i x xxxxxxxx podobě, xxxxx xxxxx v xxxxxxxxx, xxx nelze xxxxxx žádný xx xxxxxxx uvedených x xxxxxxxxxx 1 a 2.
(4) Náležitosti hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxx
x) xxxxxxxxxxxx odesilatele,
b) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxx x xxx xxxxxxxx xxxxxxxxx a
d) popis xxxxxxxxx.
XXXX XXXXXX
XXXXXXXXX XXXXXXXX X XXXXXXXXX XXXXX
§33
Xxxxxxxxx xxxxxxxx
(1) Xxxxxxx xxxxx, xxxxx Xxxx xxxxxx xxxxxxx reaktivní xxxxxxxx,
x) xxxxxxx xxxxxxxxx dopady xxxxxxxxxxx xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxx x na xxxxxxxx xxxxxxxxxxxx xxxxxxxx x vyhodnotí xxxxx xxxxxxxxx účinky a
b) xxxxxxx způsob xxxxxxxx xxxxxxxxx tohoto xxxxxxxx, xxxxx xxxxxxxxxxxx xxxx xxxxx negativní xxxxxx, x xxxx časový xxxx jeho xxxxxxxxx.
(2) Xxxxxxx xxxxx, které Xxxx xxxxxx xxxxxxx xxxxxxxxx opatření, oznámí xxxxxx xxxxxxxxx reaktivního xxxxxxxx x xxxx xxxxxxxx xx xxxxx xxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
§34
Kontaktní xxxxx
(1) Xxxxxxxxx xxxxx se Xxxxx xxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx zveřejněném xx xxxxxxxxxxxxx stránkách Xxxxx xxxxxxxx
x) na xxxxxx xxxxxxxxxxxx pošty Úřadu xxxxxxx xxx xxxxxx xxxxxxxx kontaktních údajů, xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Úřadu,
b) xx xxxxxx schránky Xxxxx, xxxx
x) prostřednictvím xxxxxxxx xxxxxxxx, xxxxx xx xxxxxxxxx, jehož xxxxx xx xxxxxxxxx na xxxxxxxxxxxxx stránkách Úřadu.
(2) Xxxxxxxxx xxxxx xx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx provozovatele xxxxxxxxx XXXX xxxxxxxx
x) xx xxxxxx elektronické xxxxx provozovatele xxxxxxxxx XXXX xxxxxxx xxx xxxxxx oznámení kontaktních xxxxx, xxxxxxxxxxx xx xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx datové schránky xxxxxxxxxxxxx xxxxxxxxx XXXX, xxxx
x) prostřednictvím xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.
(3) Hlášení xxxxxxxxxxx xxxxx je xxxxx xxxxxx i x xxxxxxxx podobě, xxxxx xxxxx v případech, xxx xxxxx xxxxxx xxxxx xx způsobů xxxxxxxxx x xxxxxxxxxx 1 x 2.
(4) Xxxx oznámení xxxxxxxxxxx xxxxx xx xxxxxx x příloze č. 8 x xxxx vyhlášce.
(5) Xxxxxxx xxxxx uvedená v §3 xxxx. x) xx f) xxxxxx, xxxxx xx xxxxxxxxxxxxxx, xxxx k hlášení xxxxxxxxxxx údajů xxxxx xxxxxxxx 1 xxxxxxxx xxxxxxxx, xxxxxx xx xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §8 xxxx. 1 xxxx. x).
ČÁST XXXX
XXXXXXXXX USTANOVENÍ
§35
Přechodná xxxxxxxxxx
(1) V případě xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, které xxxx xxxxxx přede xxxx xxxxxx xxxxxxxxx xxxx vyhlášky, x x xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x xxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx kritérií xxxxx xxxx xxxxxx xxxxxxxxx této vyhlášky, xx do jednoho xxxx xxx xxx xxxxxx účinnosti této xxxxxxxx xxx obsah x strukturu xxxxxxxxxxxx xxxxxxxxxxx x xxxxx x xxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentech, xxxxxxxxxxx xxxxxxxxxx x x xxxxxxxxx náležitostí xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx).
(2) X xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx, které xxxx xxxxxx xxxxx xxxx xxxxxx účinnosti této xxxxxxxx, a x xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x xxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx kritérií xxxxx xxxx nabytí xxxxxxxxx xxxx vyhlášky, xx xx xxxxxxx roku xxx xxx xxxxxx xxxxxxxxx xxxx xxxxxxxx xxx xxxxxx likvidace xxx, xxxxxxxxxx xxxxx, xxxxxxxxx x jejich xxxxx tato xxxxxxxx xxxxxxxxx.
§36
Xxxxxxxxx ustanovení
Zrušuje se xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx opatřeních, xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentech, xxxxxxxxxxx xxxxxxxxxx a x xxxxxxxxx xxxxxxxxxxx xxxxxx x oblasti xxxxxxxxxxxx xxxxxxxxxxx (vyhláška o xxxxxxxxxxxx xxxxxxxxxxx).
§37
Účinnost
Tato xxxxxxxx xxxxxx xxxxxxxxx xxxx xxxxxxxxx.
Xxxxxxx:
Xxx. Xxxxxxxx x. x.
Xxxxxxx x. 1 x xxxxxxxx č. 82/2018 Sb.
Hodnocení xxxxx
(1) Xxx xxxxxxxxx xxxxxxxxxxx xxxxx jsou x xxxxx xxxxxxx xxxxxxx xxxxxxxx x čtyřech xxxxxxxx a xxxxxxxx xx, xxxx xxxxx xx xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx u xxxxxxxxxxxx xxxxx. Xxxxxxx xxxxx xxxx používat xxxxxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxx xxxx xx xxxxxx x xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx vazby mezi xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxx důležitosti xxxxx x stupnicemi x xxxxxxxx pro hodnocení xxxxxxxxxxx xxxxx, xxxxx xxxx uvedeny v xxxx xxxxxxx.
(2) Xx xxxxxxxxxx, xxx xx xxxxx xxxxxxx xxxxx xxxx dopadové xxxxxx xxxxxxxxxxxx xxxx xxxxxxxx.
Xxx. 1: Stupnice xxx xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx ochranu xxxxxx |
|
Xxxxx |
Xxxxxx xxxx xxxxxxx xxxxxxxxx xxxx byla xxxxxx xx xxxxxxxxxx. Narušení xxxxxxxxxx aktiv neohrožuje xxxxxxxxx xxxxx xxxxxxx xxxxx. X případě sdílení xxxxxxxx xxxxxx x xxxxxxx xxxxxxxx a xxxxxxx xxxxxxxxxxx podle xxx. traffic xxxxx xxxxxxxxx (dále jen "XXX") je xxxxxxxxx xxxxxxxx TLP:WHITE. |
Není xxxxxxxxxx xxxxx ochrana. |
|
Xxxxxxx |
Xxxxxx xxxxxx veřejně xxxxxxxxx x xxxxx xxxx-xxx xxxxxxx osoby, ochrana xxxxx není vyžadována xxxxxx xxxxxxx xxxxxxxxx xxxx smluvním xxxxxxxxx. X xxxxxxx xxxxxxx xxxxxxxx xxxxxx s třetími xxxxxxxx x xxxxxxx xxxxxxxxxxx podle XXX xx xxxxxxxxx xxxxxxx xxxxxxxx TLP:GREEN xxxx XXX:XXXXX. |
Xxx xxxxxxx důvěrnosti xxxx xxxxxxxxx prostředky xxx xxxxxx přístupu. |
|
Xxxxxx |
Xxxxxx xxxxxx veřejně xxxxxxxxx x xxxxxx xxxxxxx je xxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx nebo xxxxxxxxx xxxxxxxxxx (xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxx xxxxx). X xxxxxxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx XXX xx xxxxxxxxx zejména xxxxxxxx TLP:AMBER. |
Pro xxxxxxx xxxxxxxxxx xxxx využívány xxxxxxxxxx, které xxxxxxx xxxxxx x zaznamenávání xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxxxx sítí xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx míru xxxxxxx nad rámec xxxxxxxxx xxxxxxxxx (xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxx kategorie xxxxxxxx xxxxx). X xxxxxxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxx xxxxxxxx a xxxxxxx xxxxxxxxxxx xxxxx XXX xx využíváno xxxxxxx xxxxxxxx XXX:XXX xxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx využívány xxxxxxxxxx, xxxxx zajistí xxxxxx a zaznamenávání xxxxxxxx. Xxxx xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx ze xxxxxx xxxxxxxxxxxxxx. Přenosy xxxxxxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxx. 2: Xxxxxxxx xxx xxxxxxxxx integrity
|
Úroveň |
Popis |
Příklady xxxxxxxxx xx xxxxxxx aktiva |
|
Nízká |
Aktivum xxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxx povinné xxxxx. |
Xxxx xxxxxxxxxx žádná xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx může xxxxxxxxx xxxxxxx z xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx xxxx x poškození xxxxxxxxxxx xxxxx xxxxxxx osoby x může se xxxxxxxx méně xxxxxxxxx xxxxxx na xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány xxxxxxxxxx xxxxxxxx (například xxxxxxx xxxxxxxxxxxx xxxx pro xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x hlediska integrity. Xxxxxxxx integrity xxxxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx s xxxxxxxxxxx xxxxxx xx primární xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány xxxxxxxxx xxxxxxxxxx, xxxxx dovolují xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx a xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xx xxxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx z xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx xxxx x xxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx x xxxxxxx x xxxxx xxxxxxx xxxxxx na primární xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx xxxxxxxxx speciální xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxx změnu (xxxxxxxxx xxxxxx technologie xxxxxxxxxxx xxxxxxx). |
Xxx. 3: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxxx dostupnosti xxxxxx xxxx důležité x x xxxxxxx xxxxxxx je běžně xxxxxxxxxx delší xxxxxx xxxxxx xxx nápravu (xxx do 1 xxxxx). |
Xxx xxxxxxx xxxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx dostupnosti aktiva xx nemělo xxxxxxxxx xxxx xxxxxxxxxx xxx, xxxxxxxxxxxxx xxxxxxx xxxx x možnému xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx. |
Xxx xxxxxxx dostupnosti xxxx xxxxxxxxx běžné xxxxxx zálohování x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx dostupnosti xxxxxx xx xxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxx. Xxxxxxxx xxxxxxx je xxxxx řešit xxxxxxxxxx, xxxxxxx xxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx. Xxxxxx xxxx xxxxxxxxxx xx velmi důležitá. |
Pro xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx záložní xxxxxxx x xxxxxx poskytování xxxxxx může xxx xxxxxxxxx zásahy xxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx dostupnosti xxxxxx xxxx xxxxxxxxx x x xxxxxxxxxx xxxxxxxxxxxx (x řádu xxxxxxxx xxxxx) vede x xxxxxxx ohrožení oprávněných xxxxx xxxxxxx xxxxx. Xxxxxx xxxx považována xx kritická. |
Pro xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx xxxxxxx xxxxxxx a xxxxxx xxxxxxxxxxx xxxxxx xx xxxxxxxxxx x xxxxxxxxxxxxxx. |
Xxxxxxx x. 2 x xxxxxxxx č. 82/2018 Xx.
Xxxxxxxxx rizik
(1) Xxxxxxxxxxx xxxxxxxxx funkce xxx určení rizika xx xxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx xxxxx §5.
(2) Xxxxxxx rizika xx xxxxxxxxxx xxxxxxxxx jako xxxxxx, xxxxxx xxxxxxxxx xxxxx, xxxxxx x xxxxxxxxxxxx.
(3) Xxx xxxxxxxxx xxxxx xxx použít xxxxxxxxx tuto funkci:
Riziko = xxxxx x xxxxxx x zranitelnost.
(4) Xxxxx xx x xxxxx případě xxxxxxx x hodnocení xxxxx xxxxx přílohy č. 1.
(5) X xxxxxxx, že povinná xxxxx xxxxxxx metodu xxx xxxxxxxxx rizik, xxxxx xxxxxxxxxxx hodnocení xxxxxx x xxxxxxxxxxxxx, xx xxxxx stupnice xxx hodnocení hrozeb x zranitelností sloučit. Xxxxxxxx xxxxxxx xx xxxxxx xxxx xx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx x xxxxxxxxxxxxx. Xx tímto xxxxxx xxx xxxxxx xxxxxxxxx xxxxxxxx, který xxxxxxxx vyjádří xxx xxxxxx hrozby, xxx x xxxxxx zranitelnosti. Xxxxxxx xx xxxxxxxxx x x xxxxxxxxx, xxx xxxxxxx xxxxx xxxxxxx jiný počet xxxxxx xxx xxxxxxxxx xxxxxx, xxxxxx, zranitelností x xxxxx.
Xxx. 1: Xxxxxxxx pro hodnocení xxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx neexistuje nebo xx xxxx xxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xx málo xxxxxxxxxxxxx xx xxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx jistá. |
Xxx. 2: Xxxxxxxx xxx hodnocení xxxxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx nebo xx xxxxxxxx xxxxxxxxxxxxx málo xxxxxxxxxxxxx. Xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, která xxxx schopna xxxx xxxxxxxxx možné zranitelnosti xxxx xxxxxxxx xxxxxx x jejich xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx málo xxxxxxxxxxxxx až pravděpodobné. Xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, jejichž účinnost xx pravidelně kontrolována. Xxxxxxxxx bezpečnostních opatření xxxx detekovat možné xxxxxxxxxxxxx xxxx případné xxxxxx o překonání xxxxxxxx je xxxxxxx. Xxxxxx známé xxxxx xxxxxxx pokusy x xxxxxxxxx bezpečnostních opatření. |
|
Vysoká |
Zneužití xxxxxxxxxxxxx je xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxx, xxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx x xxxx xxxxxxxxxx kontrolována. Xxxx xxxxx dílčí xxxxxxx pokusy x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. Xxxxxxxxxxxx opatření xxxxxx xxxxxxxxxxx xxxx xx jejich účinnost xxxxxx xxxxxxx. Xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Xxxx xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření. |
Tab. 3: Xxxxxxxx pro xxxxxxxxx xxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx xx xxxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx sníženo méně xxxxxxxxx xxxxxxxxxx nebo x xxxxxxx vyšší xxxxxxxxxx xxxxxxxx xx xxxxxx akceptovatelné. |
|
Vysoké |
Riziko je xxxxxxxxxx xxxxxxxxxxx x xxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxx k xxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxxxxxxxx a musí xxx neprodleně zahájeny xxxxx k xxxx xxxxxxxxxx. |
Xxxxxxx č. 3 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxxxxxx x xxxxxx
Xxxxxxxxxx: Tato xxxxxxx xxxxxxxx jen xxxxxxx xxxxxxxxx zranitelností x xxxxxx. Xxxxxxxxxxxx konkrétních xxxxxxxxxxxxx x hrozeb xx odpovědností povinné xxxxx.
Xxxxxxxxxxxxx
1. xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
2. xxxxxxxxxxx informačního x komunikačního systému,
3. xxxxxxxxxxxx ochrana vnějšího xxxxxxxxx,
4. nedostatečné bezpečnostní xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
5. xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
6. nevhodné xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
7. nedostatečné xxxxxxx xxx xxxxxxxxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxxxx bezpečnostních incidentů,
8. xxxxxxxxxxxx monitorování činnosti xxxxxxxxx x xxxxxxxxxxxxxx x neschopnost xxxxxxx xxxxxx nevhodné xxxx xxxxxxx způsoby xxxxxxx,
9. xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxx xxxxxxxxxxxxx vymezení xxxx x povinností xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxxxxxxxx xxxx,
10. xxxxxxxxxxxx xxxxxxx xxxxx,
11. nevhodná xxxxxxxxxxxx xxxxxxxxxxxx,
12. xxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,
13. xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx strany xxxxxxxxxxx.
Xxxxxx
1. xxxxxxxx bezpečnostní xxxxxxxx, xxxxxxxxx neoprávněných činností, xxxxxxxx xxxxxxxxx ze xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
2. poškození xxxx xxxxxxx technického anebo xxxxxxxxxxxx xxxxxxxx,
3. xxxxxxxx xxxxxxxx,
4. užívání xxxxxxxxxxxx xxxxxxxx x xxxxxxx x licenčními xxxxxxxxxx,
5. xxxxxxxx kód (xxxxxxxxx xxxx, spyware, xxxxxxx xxxx),
6. xxxxxxxx xxxxxxx xxxxxxxxxxx,
7. xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx dodávek xxxxxxxxxx xxxxxxx,
8. xxxxxxxx nebo xxxxxxxxxxx xxxxxxxxxx xxxxx,
9. xxxxxx, xxxxxxxx xxxx xxxxxxxxx xxxxxx,
10. xxxxxxxxxx xxxxxxxxx xxxxxxx ze xxxxxx xxxxxxxxxx,
11. pochybení xx strany xxxxxxxxxxx,
12. xxxxxxxx vnitřních xxxxxxxxxx, xxxxxxx,
13. dlouhodobé přerušení xxxxxxxxxxx xxxxxx elektronických xxxxxxxxxx, xxxxxxx xxxxxxxxxx xxxxxxx xxxx jiných xxxxxxxxxx služeb,
14. xxxxxxxxxx xxxxxxxxxxx s potřebnou xxxxxxxx xxxxxx,
15. cílený xxxxxxxxxxxx útok xxxxxx xxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxx,
16. xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx nosičů xxx,
17. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx (odposlech, modifikace).
Xxxxxxx x. 4 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxx dat
(1) Xxxx xxxxxxx xxxxx xxxxxxxxxx správce xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxxxxx způsobů xxxxxx xxx x xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxx, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx.
(2) Xxxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému xx xxxxxxx xxxxxxxx xxx xxxxxx xxx x xxxxxxxxx technických xxxxxx xxx x xxxxxxx x xxxxx přílohou. Xxx xxxxxx xxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx. Xx xxxxx xxxxxx xxxxxxxxx xxxxxx služby xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxx adekvátních xxxxxxxx xxx mazání xxx x xxxxxxxxx xxxxxxxxxxx xxxxxx dat, xxxxxxxx x xxxxxxx x xxxxxxxxxxx xxxxx.
(3) Xxxxxxxx xxx xxxxxxxxx xxx xx měla být xxxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxxxx aktiv x xxxx xx xxxxxxx xxxxxxxxxxx
x) xxxxxxx xxxxxx (zejména x xxxxxxx důvěrnosti),
b) technologii (xxxx x xxxxxxxx xxxxxx xxxxxxxxx),
x) xxx xx xxxxx xxxxxxxxx xxxxxxx pod xxxxxxxxx xxxxxxxxxx xx nikoliv,
d) xxx xxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxxxx xxxxxxxxx,
x) xxx xxxx xxxxxxxxx xxx xxxxxxxx (interní xxxxxxxxxxx, xxxx dodavatel),
f) xxxxxxxxxx xxxxxxxx a nástrojů xxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxxx nosičů,
h) xxx xx x xxxxxxxxx xxxxxxxxx personál,
i) časovou xxxxxxxxx likvidace,
j) xxxx xxxxxxxxx x xxxxxxx xx xxxxxxxx, školení, xxxxxxxx, xxxxxxxx xxxxxxx xxxxxx informace
k) xxxxx xxxxxxx likvidace xxx (xxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxx, xxxxxxxxxxxxx xxx xxxxxx šifrováním a xxxxxxx),
x) xxxxxxxxxx xxxxxxx xxxxxxxxx xxx vzhledem xx stavu nosiče xxxxxxxxx (xxxxxxxxx při xxxxxxxxx xxxxxxxx nebude xxxxx xxxxxx xxxxxxxx xxxxxxx informace, ale xxxxxxx xx způsobů xxxxxxx xxxxxxxxx).
(4) Xxxxxxx xxxxxxxxx technických xxxxxx xxxxxxxxx, provozních xxxxx, xxxxxxxxx x jejich xxxxx:
x) Odstranění
1. Xxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxxx xxx tak, xxx xxxx xxx xxxxxx nedostupná (například xxxxxxxxxx datového xxxxxxx, xxxxxxxx xxxxxxxxx dokumentu xx xxxxxx).
2. Xxx x xxxxxxx xxxxxxxx xxxxxx xxxxxxxxx xxx. X xxxxxxx xxxxxxx xxxxxx xxxxxxxxx je xxxxx s xxxxxxxxxxx xxxxxxxx úsilí xxxxxxxxx xxxxxxx.
3. Xxxx xxxxxx xxxx použitelná xxx xxxxxx xxxxxxxxxxx xxx xxxxxxxxxxxx opětovný xxxxx.
4. Xxxxxxxxxx způsob xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1): xxxxx.
x) Xxxxxxxx
1. Xxxxxx xxxxxxxxx xxxxxxx v xxxxxxxx xxxxxxxx informace xxxxxxxxxx xxxxxxxxx.
2. Xxx x středně xxxxxxxx xxxxxx likvidace xxx. Xxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx.
3. Xxxxxxxx xxxx xxx xxxxxxxxx nebo xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxx.
4. Tato xxxxxx xxxx xxxxxx xxx xxxxxxxxx média, xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx, xxxxxxxx pro xxxxx x xxxxxx xxxxxxxxx.
5. Použitelný xxxxxx xxx úroveň důvěrnosti xxxxxx (xxxxxxx x přílohy č. 1): xxxxx až xxxxxxxx.
x) Xxxxxxx likvidace xxxxxx informace
1. Xxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxx nosiče informace, xxxxxxxxx x rozebrání xxxxxxxx a xxxxxxxxx xxxxxxx nosiče xxxxxxxxx (xxxxxxxxxxx, chemickým či xxxxxxxx působením).
2. Xxx x xxxxxxxxxxxxxx xxxxxx xxxxxxxxx xxx. Xxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxx nelze znovu xxxxxx xxx původní xxxx. Xxxxxxx informace xxxx xxxxx obnovit xxx při xxxxxxxxxx xxxxxxx množství xxxxxxxxxx x úsilí.
3. Xxxxxxxxxx xxxxxx xxxxxxxxx pro xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx z přílohy č. 1): xxxxxxx xx xxxxxxxx.
Xxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx xxxxxx (vychází x přílohy č. 1)
|
Xxxxxxxxx xxxxxx likvidace xxxxx xxxxxx důležitosti xxxxxx |
|||||
|
Xxxxx informace |
1. Xxxxx |
2. Xxxxxxx |
3. Xxxxxx |
4. Xxxxxxxx |
|
|
Xxxxxxxxx xx xxxxxx xxxxxxxx xxxxxx (xxxxxxx xxxxxxxxx, xxxxxxxx x xxxxxxx) |
Xxxxxxxxxx: Xxxxxxxx xx xxxxxx. |
Xxxxxxxx: Xxxxxxxxx. |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxxx xxxxxxxxx: |
|||||
|
Xxxxxxx xxxxxxxx (mobilní telefony, xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxx xxxxxxxx (xxxxxx, xxxxxx, modem x xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
|||
|
Kancelářské xxxxxxxx (xxxxxxx, xxxxxxxx, xxx) |
|||||
|
Xxxxxxxxxx xxxxx (xxxxxxxxxx xxxxx, xxxxx, XXX [Xxxx Disk Xxxxx]) |
Xxxxxxxxxx: |
Xxxxxxxx: |
|||
|
Xxxxxxx xxxxx (XX, XXX, XX-XXX, XXX-XXX) |
Xxxxxxx xxxxxxxxx: |
||||
|
Xxxxxxx xxxxxxxxx. |
|||||
|
Xxxxxxxxxxxx xxxxx (flash xxxxxx) |
|||||
|
Xxxxxxxxxxx x xxxxx |
Xxxxxxxxx xxxxxx xxxxxxxxx xxx xx xxx xxx xxxxxxxx xxxxxxxx xxxxxxxxx. |
||||
|
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxxx: |
Xxxxxxxx/xxxxxxx xxxxxxxxx: |
||
|
Xxxxxxxxxxxx v xxxxxxx dedikovaného xxxxxxxxxx xxxxx xx xxxxx xxxx po xxxxxxxx xxxxxx xxxxxxx. |
|||||
Xxxxxxx x. 5 x xxxxxxxx č. 82/2018 Sb.
Obsah xxxxxxxxxxxx xxxxxxxx x bezpečnostní xxxxxxxxxxx
1. Xxxxxxxxxxxx xxxxxxxx
1.1. Xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) Xxxx, xxxxxxxx x xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxx x xxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxx x provozu xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxxxxx systému xxxxxx bezpečnosti informací.
g) Xxxxxxxx a xxxxxxx xxx xxxxxxxx xxxxxxxx x zlepšování systému xxxxxx bezpečnosti informací.
1.2. Xxxxxxxx řízení xxxxx
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx primárních xxxxx
1. xxxxxx a xxxxxxxx xxxxxxxxxxxx primárních xxxxx xxxxxx xxxxxx jejich xxxxxxx,
2. xxxxxxxxx důležitosti xxxxxxxxxx aktiv x xxxxxxxx xxxxxxxxxx, integrity x xxxxxxxxxxx.
x) Identifikace, xxxxxxxxx x evidence xxxxxxxxxx xxxxx
1. určení x xxxxxxxx jednotlivých xxxxxxxxxx xxxxx včetně xxxxxx jejich xxxxxxx,
2. xxxxxx xxxxx mezi xxxxxxxxxx a xxxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx aktiv
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx xxx manipulaci a xxxxxxxx xxxxx podle xxxxxx aktiv,
3. xxxxxxxxx xxxxxxx xxxxxxxxx aktiv.
d) Xxxxxxx xxxxxxxxxxxx mazání xxxx xxxxxx technických xxxxxx xxx, xxxxxxxxx, xxxxxxxxxx xxxxx x xxxxxx xxxxx.
1.3. Xxxxxxxx xxxxxxxxxxx bezpečnosti
a) Určení xxxxxxxxxxxxxx rolí x xxxxxx xxxx x xxxxxxxxxx.
x) Požadavky xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxx.
x) Xxxxxxxxx xx oddělení xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxx.
1.4. Xxxxxxxx xxxxxx xxxxxxxxxx
x) Pravidla x xxxxxxxx xxx xxxxx dodavatelů.
b) Xxxxxxxx xxx hodnocení xxxxx xxxxxxxxxxxxx x xxxxxxxxxx.
x) Xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxx x xxxxxxx a xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x x xxxxxx xxxxxxxx xxxxxxx odpovědnosti.
d) Xxxxxxxx xxx xxxxxxxxx xxxxxxxx zavedení xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx dodavatelů.
1.5. Xxxxxxxx xxxxxxxxxxx lidských xxxxxx
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxx hodnocení
1. způsoby x xxxxx xxxxxxx xxxxxxxxx,
2. xxxxxxx a xxxxx poučení xxxxxxx xxxxx,
3. xxxxxxx a xxxxx poučení xxxxxxxxxxxxxx,
4. xxxxxxx x xxxxx xxxxxxx xxxx zastávajících xxxxxxxxxxxx xxxx.
x) Bezpečnostní xxxxxxx nových xxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxx xxxxxxx porušení xxxxxxxxxxxx xxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxx xxxxxxxx xxxxxx
1. vrácení xxxxxxxxx xxxxx x xxxxxxxx xxxx xxx xxxxxxxx xxxxxxxxxx vztahu,
2. xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxx xxxxxx.
1.6. Xxxxxxxx řízení xxxxxxx x xxxxxxxxxx
x) Xxxxxxxxx a xxxxxxxxxxxx xxxxxxx x bezpečným xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx a xxxxxxxxx bezpečného xxxxxxx.
x) Xxxxxxxx x omezení xxx provádění xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxxxxxxxxxxxx xxxxx.
1.7. Politika xxxxxx přístupu
a) Xxxxxxx xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (xxxx to xxxx).
x) Xxxxxxxxx xx řízení xxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxx přístupu.
d) Řízení xxxxxxxxxxxxxxx oprávnění.
e) Řízení xxxxxxxx pro mimořádné xxxxxxx.
x) Xxxxxxxxxx přezkoumání xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx skupinách.
1.8. Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxx
x) Pravidla pro xxxxxxxx xxxxxxxxx x xxxxxx.
x) Xxxxxxxx použití xxxxxxxxxxxx xxxxx.
x) Bezpečné xxxxxxx elektronické pošty x xxxxxxxx na xxxxxxxx.
x) Bezpečný xxxxxxxx xxxxxxx.
x) Xxxxxxxx chování xx sociálních sítích.
f) Xxxxxxxxxx ve xxxxxx x mobilním xxxxxxxxx.
1.9. Xxxxxxxx zálohování x xxxxxx a xxxxxxxxxxxx xxxxxxxx
x) Požadavky xx xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx x postupy xxxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxxxxxxxx ukládání.
d) Xxxxxxxx bezpečného zálohování x xxxxxxxxxxxx xxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx obnovy.
f) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxx x obnovy.
g) Xxxxxxxx přístupu x xxxxxxx, xxxxxxxxx informacím.
1.10. Xxxxxxxx bezpečného xxxxxxxxx x xxxxxx xxxxxxxxx
x) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx.
x) Xxxxxxxx pro využívání xxxxxxxxxxxxxx ochrany.
1.11. Xxxxxxxx xxxxxx technických xxxxxxxxxxxxx
x) Xxxxxxxx xxx omezení xxxxxxxxx programového vybavení.
b) Xxxxxxxx a xxxxxxx xxxxxxxxxxx opravných xxxxxxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx testování xxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxx programového xxxxxxxx.
1.12. Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx
x) Xxxxxxxx x postupy xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx zařízení, xxxxx xxxxxxx osoba nemá xx xxx xxxxxx.
1.13. Xxxxxxxx akvizice, xxxxxx x údržby
a) Xxxxxxxxxxxx xxxxxxxxx pro akvizici, xxxxx x xxxxxx.
x) Xxxxxx xxxxxxxxxxxxx.
x) Politika xxxxxxxxxxx a nabývání xxxxxxx programového xxxxxxxx x informací
1. xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx,
2. xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxxxx licenčních xxxxxxxx.
1.14. Xxxxxxxx xxxxxxx xxxxxxxx údajů
a) Charakteristika xxxxxxxxxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
x) Xxxxx přijatých x xxxxxxxxxxx technických xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
1.15. Politika xxxxxxx xxxxxxxxxxx
x) Xxxxxxxx xxx xxxxxxx objektů.
b) Xxxxxxxx pro xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx xxx xxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxx.
1.16. Politika xxxxxxxxxxx xxxxxxxxxxx sítě
a) Pravidla x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxx.
x) Xxxxxx xxxx x xxxxxxxxxx xx bezpečný xxxxxx xxxx.
x) Xxxxxxxx x postupy xxx xxxxxx přístupů v xxxxx xxxx.
x) Xxxxxxxx x postupy pro xxxxxxx vzdáleného přístupu x síti.
e) Xxxxxxxx x postupy pro xxxxxxxxxxxx sítě a xxxxxxxxxxxxx provozních xxxxxxx.
1.17. Xxxxxxxx ochrany před xxxxxxxxx kódem
a) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxx komunikace.
b) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxx x xxxxxxxxx datových xxxxxxx.
x) Xxxxxxxx a xxxxxxx pro xxxxxxx xxxxxxxxxx xxxxxx.
1.18. Xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxx x postupy xxxxxxxx xxxxxxxx pro xxxxxxx kybernetických bezpečnostních xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx vyhodnocování x xxxxxxxxx na xxxxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx.
x) Xxxxxxxx a postupy xxx optimalizaci xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí.
1.19. Xxxxxxxx xxxxxxx x xxxxxx xxxxxxxx xxx xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxxxxxx aktualizace xxxxxxxx xxx vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx optimální xxxxxxxxx xxxxxxxxxxxxxx vlastností nástroje xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
1.20. Xxxxxxxx xxxxxxxxxx xxxxxxxxx kryptografické ochrany
a) Xxxxxx ochrany x xxxxxxx na typ x sílu xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx
1. xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx,
2. xxx xxxxxxx xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx technický xxxxx xxx.
x) Systém xxxxxx xxxxx.
1.21. Xxxxxxxx xxxxxx xxxx
x) Xxxxxx x xxxxxxxx řízení xxxxxxxxxx xxxx v xxxxx xxxxxxx xxxxx, xxxxxx xxxxxxxxx, informačních x xxxxxxxxxxxxx systémech.
b) Xxxxxxxxxxxxx xxxxxx významných xxxx.
x) Xxxxxx xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxx.
1.22. Politika xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a postupy xxx identifikaci, xxxxxxxx x zvládání jednotlivých xxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxxxxx systému xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů x xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxx.
1.23. Xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx
x) Práva x xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Cíle xxxxxx xxxxxxxxxx činností
1. xxxxxxxxx xxxxxx poskytovaných xxxxxx,
2. xxxx xxxxxxxx chodu,
3. xxx xxxxxxxx xxx.
x) Xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx pro naplnění xxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů na xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxx xxxxx.
x) Xxxxxx x xxxxx xxxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxx.
x) Postupy xxx realizaci xxxxxxxx xxxxxxxx Xxxxxx.
2. Obsah xxxxxxxxxxxx dokumentace
2.1. Zpráva x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) Xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Předmět xxxxxx xxxxxxxxxxxx bezpečnosti.
c) Xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx xxxx xxxxxxxx a xxxx, xxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx.
x) Xxxxx a místo, xxx xxxx xxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti.
f) Xxxxxxxx x auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
2.2. Zpráva x přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxxxx opatření z xxxxxxxxxxx přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxxxxxx xxxx x xxxxxxxxx, které xxxxx xxx xxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxx x výkonnosti xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x xxxxxxxx xxxxxxxx,
2. xxxxxxxx monitorování a xxxxxx,
3. xxxxxxxx xxxxxx,
4. xxxxxxxx cílů xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxx xxxxx x stav plánu xxxxxxxx rizik.
e) Xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx opatření x osob zajišťujících xxxxx xxxxxxxxxxxx xxxxxxxx.
2.3. Xxxxxxxx xxx identifikaci x xxxxxxxxx xxxxx x pro xxxxxxxxx xxxxx
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx primárních xxxxx
1. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxxxxxxx xxxxx,
2. určení xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxx aktiv,
3. xxxxxx stupnice pro xxxxxxxxx úrovní xxxxxxxxxxx xxxxx.
x) Xxxxxx xxxxxxxx xxx hodnocení xxxxx
1. xxxxxx stupnice xxx xxxxxxxxx xxxxxx xxxxxx,
2. xxxxxx stupnice pro xxxxxxxxx xxxxxx xxxxxx,
3. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxxxxx,
4. xxxxxx stupnice xxx xxxxxxxxx úrovní rizik.
c) Xxxxxx x xxxxxxxx xxx zvládání xxxxx.
x) Xxxxxxx schvalování xxxxxxxxxxxxxxxx xxxxx.
2.4. Zpráva x xxxxxxxxx xxxxx x xxxxx
x) Xxxxxxx xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx a xxxxx primárních xxxxx,
2. xxxxxx xxxxxxx primárních xxxxx,
3. xxxxxxxxx primárních xxxxx z xxxxxxxx xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx.
x) Xxxxxxx podpůrných xxxxx
1. xxxxxxxxxxxx x xxxxx podpůrných aktiv,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. určení vazeb xxxx xxxxxxxxxx x xxxxxxxxxx aktivy.
c) Hodnocení xxxxx
1. xxxxxxxxx xxxxxxx xxxxxx na aktiva,
2. xxxxxxxxx existujících xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx existujících opatření,
4. xxxxxxxxx xxxxxx rizika, xxxxxxxxx xxxx xxxxxx x xxxxxxxx pro xxxxxxxxxxxxxxxx rizik,
5. určení x schválení akceptovatelných xxxxx.
x) Zvládání xxxxx
1. xxxxx xxxxxxx zvládání xxxxx,
2. xxxxx opatření x xxxxxx xxxxxxxxx.
2.5. Xxxxxxxxxx x aplikovatelnosti
a) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxx xxxxxxxxxx, xxxx xxxxxx aplikována.
b) Xxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx včetně xxxxxxx xxxxxx implementace.
2.6. Plán xxxxxxxx rizik
a) Xxxxx x cíle xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx rizik xxxxxx xxxxx xx konkrétní xxxxxx.
x) Xxxxxxxx xxxxxx xxx xxxxxxxxxx bezpečnostní xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
d) Xxxxxxx xxxxxxxx jednotlivých xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx zvládání xxxxx.
2.7. Xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx zastávajících xxxxxxxxxxxx xxxx.
x) Xxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Přehledy, xxxxx xxxxxxxx xxxxxxx jednotlivých xxxxxxx x seznam xxxx, které xxxxxxx xxxxxxxxxxx.
x) Formy x xxxxxxx hodnocení xxxxx.
2.8. Xxxxxxxx xxxx
x) Evidence xxxxxxxxx xxxxx významných xxxx.
x) Záznamy o xxxxxxx konfigurace podpůrných xxxxx.
2.9. Hlášené kontaktní xxxxx
Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx.
2.10. Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx
x) Přehled xxxxxx závazných právních xxxxxxxx.
x) Xxxxxxx vnitřních xxxxxxxx a xxxxxx xxxxxxxx.
x) Přehled xxxxxxxxx xxxxxxx.
2.11. Xxxxx xxxxxxxxxx xxxxxxxxxxx
x) Xxxxxxxxx xxxxxxxxxxxxxx.
x) Xxxxxxx síťových zařízení.
Xxxxxxx č. 6 x xxxxxxxx x. 82/2018 Sb.
Výbor xxx xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxx xxxx
Xxxx xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx požadavků xxx xxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx role xxxxxxx x §6 a 7.
Xxx. 1: Xxxxx xxx xxxxxx kybernetické xxxxxxxxxxx
|
Xxxx: |
Xxxxx xxx řízení xxxxxxxxxxxx bezpečnosti |
|
Klíčové xxxxxxxx: |
x) Xxxxxxxxxxx za xxxxxxx xxxxxx x rozvoj xxxxxxxxxxxx xxxxxxxxxxx x xxxxx povinné xxxxx. |
|
Xxxxx xxxxxxxx: |
x) Xxxx výboru xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx být xxxxxxx |
Xxx. 2: Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx činnosti: |
a) Xxxxxxxxxxx xx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxx řady XXX/XXX 27000 x obdobné xxxxx z xxxxxxx xxxxxxxxxxx x XXX. |
|
Xxxxxxxxxx: |
x) Prosazování xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx. |
|
Xxxxxxxx x praxe: |
a) Xxxxxxx 3 xxxx xxxxx x xxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxx |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Information Security Xxxxxxx (XXXX), Certified xx Risk xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Certified Xxxxxxxxxxx Xxxxxxx Xxxxxxxx Xxxxxxxxxxxx (XXXXX), Xxxxxxx XX (xxxxxxxxxxx xxxxxx ČIA). |
|
Další xxxxxxxx: |
x) Xxxx není xxxxxxxxxx x xxxxxx xxxxxxxxxxx za xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx a x xxxxxxx xxxxxxxxxx xx xxxxxxxx xxxxxx. |
Xxx. 3: Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxx implementace bezpečnostních xxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxxx informačních x xxxxxxxxxxxxx systémů x její xxxxxxxxxx. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxxx implementace bezpečnostních xxxxxxxx. |
|
Xxxxxxxx x praxe: |
a) Xxxxxxx 3 xxxx xxxxx v xxxxx xxxxxxxxxx nebo kybernetické xxxxxxxxxxx, nebo |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Ethical Xxxxxx (XXX), CompTIA Security +, Xxxxxxxxx Xxxxxxxxxxx Xxxxxxxx Manager (XXXX), Xxxxxxxxx xx Xxxx xxx Xxxxxxxxxxx Systems Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Systems Security Xxxxxxxxxxxx (XXXXX), Manažer XX (akreditační xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
Xxxx xxxx xxxxxxxxxx x xxxxxx xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx. |
Xxx. 4: Auditor xxxxxxxxxxxx bezpečnosti
|
Role: |
Auditor xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx činnosti: |
Provádění auditu xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxx x xxxxx auditu xxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxx xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx x praxe: |
a) Xxxxxxx 3 xxxx xxxxx x oblasti xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxx |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Systems Xxxxxxx (XXXX), Xxxxxxxxx Xxxxxxxx Xxxxxxx (CIA), Xxxxxxxxx xx Xxxx xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Xxxx Auditor Xxxxxxxxxxx Xxxxxxxx Management Xxxxxx (Xxxx Xxxxxxx XXXX), Xxxxxxx XX (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
x) Xxxx xxxx xxxxxxxxxx x rolemi |
Tab. 5: Xxxxxx xxxxxx
|
Xxxx: |
Xxxxxx xxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxxxxx xxxxxxx, xxxxxxx x xxxxxxxxxxx xxxxxx. |
|
Xxxxxxxx: |
x) Dobrá znalost xxxxxx, jehož xx xxxxxxxx. |
* Xxxxxxxxxxx může být x xxxx než xxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx ISO 17 024.
Příloha č. 7 x vyhlášce x. 82/2018 Xx.
Xxxxxx dodavatelů - bezpečnostní xxxxxxxx xxx xxxxxxx vztahy
Obsah xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx:
x) xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx (x pohledu xxxxxxxxxx, xxxxxxxxxxx a xxxxxxxxx),
x) xxxxxxxxxx x oprávnění xxxxxx xxxx,
x) ustanovení x xxxxxxxxx xxxxxxxxxxxx xxxx, popřípadě x xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxx x xxxxxx dodavatele (xxxxxxxx xxxxxxxxxxxx xxxxxx),
x) ustanovení xxxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxx xxxx xxx xxxxxxxxx, xx poddodavatelé xx zaváží dodržovat x plném xxxxxxx xxxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxxxx x xxxxxxx x xxxxxxx x xxxxxxxxx xxxxxxx osoby xx xxxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx dodavatele povinnou xxxxxx,
x) ustanovení x xxxxxx změn,
h) xxxxxxxxxx x souladu xxxxx x xxxxxx xxxxxxxxx xxxxxxxx předpisy,
i) xxxxxxxxxx x xxxxxxxxxx dodavatele xxxxxxxxxx xxxxxxxx xxxxx x
1. xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx x xxxxxxx smlouvy,
2. xxxxxxx xxxxxx xxxxx na xxxxxx xxxxxxxxxx a x xxxxxxxxxx rizicích xxxxxxxxxxxxx s xxxxxxx xxxxxxx,
3. významné změně xxxxxxxx xxxxxx xxxxxxxxxx xxxxx xxxxxx o xxxxxxxxxx xxxxxxxxxxx xxxx xxxxx vlastnictví xxxxxxxxx xxxxx, popřípadě xxxxx xxxxxxxxx xxxxxxxx x xxxxxx xxxxxx, xxxxxxxxxxx xxxxx xxxxxxxxxxx x xxxxxx xxxxx xxxxxxx xx xxxxxxxx,
x) specifikace xxxxxxxx x pohledu xxxxxxxxxxx xxx xxxxxxxx xxxxxxx (xxxxxxxxx xxxxxxxxx xxxxxx při xxxxxxxx xxxxxxxxxx, xxx xx xxxxx xxxxx xxxxxxxx xxxxxx xxxx xxxxxxxxx xxxxxx xxxxxx, xxxxxxx xxx a podobně),
k) xxxxxxxxxxx xxxxxxxx pro xxxxxx xxxxxxxxxx činností x xxxxxxxxxxx x xxxxxxxxxx (například xxxxxxxx xxxxxxxxxx do xxxxxxxxxxx xxxxx, xxxxx xxxxxxxxxx xxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx),
x) xxxxxxxxxxx xxxxxxxx xxx formát xxxxxxx dat, provozních xxxxx x xxxxxxxxx xx vyžádání xxxxxxxx,
x) xxxxxxxx xxx likvidaci xxx,
x) xxxxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxx x xxxxxxx xxxxxxxx změny xxxxxxxx nad dodavatelem xxxx změny xxxxxxxx xxx zásadními xxxxxx xxxxxxxxxxx dodavatelem x xxxxxx podle xxxxxxx x
x) xxxxxxxxxx o xxxxxxxx xx xxxxxxxx xxxxxxxxxx.
Xxxxxxx x. 8 x vyhlášce x. 82/2018 Sb.
Vzor Xxxxxxxxx xxx xxxxxxx kontaktních xxxxx
Xxxxxxxxx
Xxxxxx xxxxxxx č. 82/2018 Xx. nabyl xxxxxxxxx xxxx 28.5.2018.
Xx xxx xxxxxxxx xxxxxx xxxxxxx nebyl xxxxx xx xxxxxxxxx.
Xxxxx xxxxxxxxxxxx xxxxxxxx norem xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx se xxxx xxxxxx derogační xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
1) Xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Rady (XX) 2016/1148 ze xxx 6. xxxxxxxx 2016 x opatřeních x zajištění xxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxx a xxxxxxxxxxxx xxxxxxx v Xxxx.