Animace načítání

Stránka se připravuje...


Na co čekáte? Nečekejte už ani minutu.
Získejte přístup na tento text ještě dnes. Kontaktujte nás a my Vám obratem uděláme nabídku pro Vás přímo na míru.

Právní předpis byl sestaven k datu 28.03.2024.

Zobrazené znění právního předpisu je účinné od 28.05.2018.


Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)

82/2018 Sb.

Vyhláška

ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ

Předmět úpravy §1

Vymezení pojmů §2

ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ

HLAVA I - ORGANIZAČNÍ OPATŘENÍ

Systém řízení bezpečnosti informací §3

Řízení aktiv §4

Řízení rizik §5

Organizační bezpečnost §6

Bezpečnostní role §7

Řízení dodavatelů §8

Bezpečnost lidských zdrojů §9

Řízení provozu a komunikací §10

Řízení změn §11

Řízení přístupu §12

Akvizice, vývoj a údržba §13

Zvládání kybernetických bezpečnostních událostí a incidentů §14

Řízení kontinuity činností §15

Audit kybernetické bezpečnosti §16

HLAVA II - TECHNICKÁ OPATŘENÍ

Fyzická bezpečnost §17

Bezpečnost komunikačních sítí §18

Správa a ověřování identit §19

Řízení přístupových oprávnění §20

Ochrana před škodlivým kódem §21

Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů §22

Detekce kybernetických bezpečnostních událostí §23

Sběr a vyhodnocování kybernetických bezpečnostních událostí §24

Aplikační bezpečnost §25

Kryptografické prostředky §26

Zajišťování úrovně dostupnosti informací §27

Průmyslové, řídicí a obdobné specifické systémy §28

Digitální služby §29

HLAVA III - BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE

Bezpečnostní politika a bezpečnostní dokumentace §30

ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT

Kategorizace kybernetických bezpečnostních incidentů §31

Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32

ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE

Reaktivní opatření §33

Kontaktní údaje §34

ČÁST PÁTÁ - ZÁVĚREČNÁ USTANOVENÍ

Přechodná ustanovení §35

Zrušovací ustanovení §36

Účinnost §37

Příloha č. 1 - Hodnocení aktiv

Příloha č. 2 - Hodnocení rizik

Příloha č. 3 - Zranitelnosti a hrozby

Příloha č. 4 - Likvidace dat

Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace

Příloha č. 6 - Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role

Příloha č. 7 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy

Příloha č. 8 - Vzor Formuláře pro hlášení kontaktních údajů

INFORMACE

82

XXXXXXXX

xx xxx 21. xxxxxx 2018

x bezpečnostních xxxxxxxxxx, kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx, reaktivních xxxxxxxxxx, xxxxxxxxxxxxx xxxxxx v xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx dat (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)

Xxxxxxx xxxx xxx xxxxxxxxxxxxx x informační xxxxxxxxxx stanoví podle §28 odst. 2 xxxx. x) xx x) x f) xxxxxx x. 181/2014 Xx., x xxxxxxxxxxxx xxxxxxxxxxx x x xxxxx souvisejících xxxxxx (xxxxx x kybernetické xxxxxxxxxxx), ve xxxxx xxxxxx x. 104/2017 Xx. a xxxxxx x. 205/2017 Xx., (xxxx xxx "xxxxx"):

XXXX XXXXX

XXXXXX USTANOVENÍ

§1

Předmět xxxxxx

Xxxx xxxxxxxx zapracovává xxxxxxxxx předpis Xxxxxxxx xxxx1) a xxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, významný xxxxxxxxxx xxxxxx, xxxxxxxxxx xxxxxx xxxxxxxx xxxxxx anebo xxxxxxxxxx xxxxxx xxxx xxx elektronických xxxxxxxxxx, xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, (xxxx xxx "xxxxxxxxxx a xxxxxxxxxxx xxxxxx") upravuje

a) xxxxx a xxxxxxxxx xxxxxxxxxxxx dokumentace,

b) xxxxx x xxxxxx bezpečnostních xxxxxxxx,

x) xxxx, xxxxxxxxx x xxxxxxxxx významnosti xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,

d) xxxxxxxxxxx x xxxxxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx,

x) náležitosti xxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx,

x) xxxx xxxxxxxx xxxxxxxxxxx xxxxx a xxxx formu x

x) xxxxxx xxxxxxxxx xxx, xxxxxxxxxx xxxxx, informací x xxxxxx xxxxx.

§2

Vymezení xxxxx

Xxx účely xxxx vyhlášky se xxxxxx

x) administrátorem osoba xxxxxxxxxxx správu, xxxxxx, xxxxxxx, údržbu a xxxxxxxxxx xxxxxxxxxxx xxxxxx,

x) xxxxxxxxxxxxxxx xxxxxxx xxxxxx, xxxxx xx xxxxxxxxxx xxx xxxxx nebo xxxxx, xxxxx xxxx xxxxxxx xxxxxx bezpečnostní xxxxxxxx xxxxx zákona, (xxxx xxx "xxxxxxx xxxxx") x xxxx xxxxx jej xxxxxxx xxxxxx dalších xxxxxxxxxxxxxx xxxxxxxx,

x) xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxx a xxxxxxxx, xxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxx,

x) xxxxxxxxxx xxxxx xxxxxxx proces identifikace, xxxxxxx a vyhodnocení xxxxx,

x) xxxxxxx xxxxxxxxxxx xxxxxxx kybernetické bezpečnostní xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxx xxxx způsobit xxxxx,

x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx se xx xxxxxxx, xxxxxxx, xxxxxx xxxx xxxxxxxxxxx xxxxxxxxxxxx a komunikačního xxxxxxx,

x) xxxxxxxxx aktivem xxxxxxxxx xxxx xxxxxx, xxxxxx zpracovává xxxx xxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxx,

x) rizikem xxxxxxx, xx xxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxx,

x) řízením rizik xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx, výběr a xxxxxxxx xxxxxxxx xx xxxxxxxx rizik, sdílení xxxxxxxxx x xxxxxx x xxxxxxxxx x xxxxxxxxxxx rizik,

j) xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx xxxxxx xxxxxxx osoby založená xx přístupu x xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxx xxxxxx xxxxxxxx, xxxxxxxx, xxxxxxxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x dat,

k) xxxxxxxxxx xxxxxxx takové xxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxx, xx xxxxxxx xxxx xxxx systémy umístěny, xxxxxxx xxxxxxx xxxx xxx dopad na xxxxxxxxxx x xxxxxxxxxxx xxxxxx,

x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx osoba xxxxx orgán xxxxxxx xxxx, xxxxx xxxxxxxxx xxxxxx,

x) vrcholovým vedením xxxxx nebo xxxxxxx xxxx, které xxxx xxxxxxxx xxxxx, nebo xxxxxxxxxx orgán povinné xxxxx,

x) xxxxxxxxx dodavatelem xxxxxxxxxxxx informačního xxxx xxxxxxxxxxxxx xxxxxxx (dále xxx "xxxxxxxxxxxx") x xxxxx, xxx s xxxxxxxx xxxxxx vstupuje xx právního vztahu, xxxxx xx významný x xxxxxxxx bezpečnosti xxxxxxxxxxxx x komunikačního xxxxxxx,

x) xxxxxxxxx xxxxxx xxxxx, která má xxxx xxxx xxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxx xxxxxx,

x) xxxxxxxxxxxxx xxxxx xxxxx aktiva xxxx xxxxx xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx být xxxxxxxx xxxxxx nebo xxxx xxxxxxxx.

ČÁST XXXXX

XXXXXXXXXXXX XXXXXXXX

XXXXX X

XXXXXXXXXXX XXXXXXXX

§3

Xxxxxx řízení xxxxxxxxxxx informací

Povinná xxxxx x rámci xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx

x) xxxxxxx s xxxxxxx xx xxxxxxxxx dotčených xxxxx a organizační xxxxxxxxxx rozsah systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xx xxxxxx xxxx xxxxxxxxxxx xxxxx a xxxxxx, xxxxx se xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx,

x) stanoví xxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx,

x) pro xxxxxxxxx xxxxxx systému xxxxxx bezpečnosti xxxxxxxxx xx xxxxxxx xxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx potřeb x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx bezpečnostní xxxxxxxx,

x) řídí xxxxxx xxxxx §5,

e) xxxxxxx x schválí bezpečnostní xxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx xx xxxxxx k řízení xxxxxxxxxxx xxxxxxxxx, a xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxxxx xxxxxxxxxxxx politiku x xxxxxxx xxxxxxxxx xxxxx §30 x xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,

x) xxxxxxx xxxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx x komunikačního xxxxxxx (dále jen "xxxxx xxxxxxxxxxxx xxxxxxxxxxx") xxxxx §16,

x) xxxxxxx xxxxxxxxxx vyhodnocování xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxx systému xxxxxx bezpečnosti xxxxxxxxx xxxxxx revize xxxxxxxxx xxxxx, posouzení xxxxxxxx xxxxxxxxxxx auditů kybernetické xxxxxxxxxxx x xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,

x) průběžně xxxxxxxxxxxx x xxxxxxxx xxxxx §11 xxxx xxxxxxxx xxxxx, xxxxx xxxxx xx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,

x) xxxxxxxxxxx systém xxxxxx bezpečnosti xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xx xxxxxxx zjištění xxxxxx kybernetické xxxxxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x x xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxxx x

x) xxxx xxxxxx a xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací a xxxxxxxxxxx xxxxxxxx spojené xx xxxxxxxx řízení xxxxxxxxxxx informací x xxxxxxx rizik.

§4

Xxxxxx aktiv

(1) Xxxxxxx xxxxx x rámci xxxxxx aktiv

a) xxxxxxx xxxxxxxx pro xxxxxxxxxxxx xxxxx,

x) xxxxxxx metodiku xxx xxxxxxxxx aktiv xxxxxxx v rozsahu xxxxxxxx v příloze č. 1 x této xxxxxxxx,

x) xxxxxxxxxxxx x xxxxxxx xxxxxx,

x) xxxx a xxxxxxx xxxxxxx xxxxx,

x) xxxxxxx x xxxxxxx xxxxxxxx aktiva x xxxxxxxx xxxxxxxxxx, integrity x dostupnosti a xxxxxx xx do xxxxxxxxxxxx xxxxxx xxxxx xxxxxxx x),

x) xxxx x xxxxxxx xxxxx xxxx primárními x xxxxxxxxxx aktivy x xxxxxxx xxxxxxxx závislostí xxxx xxxxxxxxxx x xxxxxxxxxx aktivy,

g) xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxx xxxxxx zejména xxxxxxxx xxxxxxxxxx xxxxx xxxxxxx f),

h) xx xxxxxxx xxxxxxxxx xxxxx xxxxxxxxx a xxxxxx xxxxxxxx xxxxxxx xxxxx xxx zabezpečení xxxxxxxxxxxx xxxxxx xxxxx,

x) stanoví xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx a xxxxxxxx xxx xxxxxxxxxx s xxxxxx x ohledem xx xxxxxx aktiv, xxxxxx xxxxxxxx pro xxxxxxxx xxxxxxxxxxxx sdílení x fyzické přenášení xxxxx, x

x) určí xxxxxx xxxxxxxxx xxx, xxxxxxxxxx údajů, informací x xxxxxx xxxxx xxxx xxxxxxxxx technických xxxxxx xxx x xxxxxxx xx xxxxxx xxxxx x souladu x přílohou č. 4 x xxxx vyhlášce.

(2) Xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx je třeba xxxxxxxx xxxxxxx

x) xxxxxx x důležitost xxxxxxxx xxxxx, xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxxxxxx tajemství,

b) xxxxxx xxxxxxxxx xxxxxxxx povinností xxxx jiných xxxxxxx,

x) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxx,

x) poškození xxxxxxxxx, xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxx a xxxxx xxxxxxxx xxxxxx,

x) xxxxxx xx poskytování xxxxxxxxxx xxxxxx,

x) xxxxxx xxxxxxxx xxxxxxx činností,

g) xxxxxx xx zachování dobrého xxxxx xxxx ochranu xxxxx pověsti,

h) xxxxxx xx xxxxxxxxxx a xxxxxx xxxx,

x) xxxxxx xx xxxxxxxxxxx vztahy x

x) xxxxxx xx xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.

§5

Xxxxxx rizik

(1) Xxxxxxx xxxxx v xxxxx xxxxxx xxxxx x xxxxxxxxxx xx §4

x) xxxxxxx metodiku xxx xxxxxxxxx xxxxx, včetně xxxxxxxxx kritérií xxx xxxxxxxxxxxxxxxx rizik,

b) s xxxxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxxxxxxx; přitom xxxxxxx zejména kategorie xxxxxx a xxxxxxxxxxxxx xxxxxxxxx x příloze č. 3 x xxxx xxxxxxxx,

x) xxxxxxx hodnocení xxxxx x pravidelných xxxxxxxxxxx xxxxx odstavce 2 x při významných xxxxxxx,

x) xxx hodnocení xxxxx zohlední xxxxxxxxxx xxxxxx x xxxxxxxxxxxxx x posoudí možné xxxxxx na xxxxxx; xxxx rizika xxxxxxx xxxxxxx x xxxxxxx přílohy č. 2 x xxxx xxxxxxxx,

x) xxxxxxxx zprávu x xxxxxxxxx xxxxx,

x) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxxxxxxx o aplikovatelnosti, xxxxx obsahuje xxxxxxx xxxxxxxxxxxxxx opatření xxxxxxxxxxxx xxxxx xxxxxxxxx, která

1. xxxxxx xxxxxxxxxx, xxxxxx xxxxxxxxxx,

2. xxxx xxxxxxxxxx, xxxxxx xxxxxxx xxxxxx,

x) xxxxxxxx x zavede xxxx zvládání xxxxx, xxxxx xxxxxxxx xxxx x xxxxxxx bezpečnostních xxxxxxxx pro xxxxxxxx xxxxxxxxxxxx xxxxx, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, technické, xxxxxx x xxxxxxxxxx zdroje, xxxxxx xxxxxx xxxxxxxx, xxxxx vazeb xxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,

x) při xxxxxxxxx xxxxx x x xxxxx xxxxxxxx rizik xxxxxxxx

1. xxxxxxxx změny,

2. xxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,

3. xxxxxxxx xxxxx §11 xxxxxx x

4. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxx řešených, x

x) x xxxxxxx x xxxxxx zvládání xxxxx xxxxxx bezpečnostní xxxxxxxx.

(2) Xxxxxxx osoba xxxxxxx x §3 písm. x), d) x x) xxxxxx provádí xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxx a xxxxxxx xxxxx uvedená x §3 xxxx. x) xxxxxx xxxxxxx xxxxxx za tři xxxx.

(3) Xxxxxx rizik xxxx xxx xxxxxxxxx x jinými xxxxxxx, xxx jak xx xxxxxxxxx x xxxxxxxx 1 xxxx. x), xxxxx xxxxxxx xxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxx xxxxx xxxxxx xxxxxxx xxxxxx rizik.

§6

Organizační xxxxxxxxxx

(1) Xxxxxxx xxxxx x xxxxxxx xx systém řízení xxxxxxxxxxx xxxxxxxxx

x) xxxxxxx xxxxxxxxx xxxxxxxxxxxx politiky x xxxx systému xxxxxx xxxxxxxxxxx informací xxxxx §3 xxxxxxxxxxxx xx strategickým směřováním xxxxxxx osoby,

b) xxxxxxx xxxxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxx xxxxx,

x) xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx pro systém xxxxxx xxxxxxxxxxx informací,

d) xxxxxxxxx zaměstnance x xxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx a xxxxxxx dosažení xxxxx x jeho xxxxxxxxx xx všemi dotčenými xxxxxxxx,

x) zajistí xxxxxxx x xxxxxxxx zamýšlených xxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx,

x) xxxx xxxxxxxxxxx x rozvíjení xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx a xxxxxxxxx xx při xxxxx xxxxxxxxx,

x) xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx bezpečnosti informací,

h) xxxxxxxxx osoby xxxxxxxxxxx xxxxxxxxxxxx role xxx xxxxxxxxxxx kybernetické bezpečnosti x xxxxxxxxx jejich xxxxxxxxxxxx,

x) zajistí xxxxxxxxx xxxxxxxx xxx určení xxxxxxxxxxxxxx x xxxx, xxxxx budou xxxxxxxx xxxxxxxxxxxx role,

j) zajistí, xxx byla zachována xxxxxxxxxxx xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,

x) xxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx role xxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxx včetně xxxxxxxxxxxx prostředků k xxxxxxxxxx jejich xxxx x xxxxxx xxxxxxxxxxxxx xxxxx x

x) xxxxxxx xxxxxxxxx xxxxx kontinuity xxxxxxxx, obnovy x xxxxxxx xxxxxxxxx se xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.

(2) Povinná xxxxx x rámci xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx složení xxxxxx xxx řízení kybernetické xxxxxxxxxxx x xxxxxxxxxxxx xxxx x xxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxxx xx systémem xxxxxx bezpečnosti informací.

(3) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), d) x x) xxxxxx xxxx xxxxx, xxxxx bude xxxxxxxx xxxxxxxxxxxx roli

a) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,

x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,

x) xxxxxxx aktiva x

x) xxxxxxxx kybernetické xxxxxxxxxxx.

(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxx xxxx manažera xxxxxxxxxxxx xxxxxxxxxxx x garanta xxxxxx. Xxxxxxx xxxxxxxxxxxx xxxx xxxxx xxxxxxxx 3 určí xxxxxxxxx xxxxxxxx x rozsahu x potřebám systému xxxxxx bezpečnosti xxxxxxxxx.

(5) Xxxxxxx xxxxx xxxxxxx x §3 písm. x), d) a x) zákona xxxxxxx xxxxxxxxxxxxxx bezpečnostních rolí xxxxxxxxx x odstavci 3 xxxx. a) x b).

(6) Povinná xxxxx uvedená v §3 písm. x) xxxxxx xxxxxxx zastupitelnost xxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxxxx bezpečnosti.

(7) Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxx xxxxxxx x příslušnými xxxxxxxxxxx a xxxxxxxx xxxxxxxxxxxx xxx xxxxxxx xxxxxx x rozvoj xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x osobami xxxxxxxx xx xxxxxxxxxxxx xx xxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx, xxxxx členem xxxx xxx alespoň xxxxx xxxxxxxx xxxxxxxxxxx vedení xxxx xxx xxxxxxxx xxxxx x manažer xxxxxxxxxxxx bezpečnosti. Povinná xxxxx u xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx uvedeným x příloze č. 6 x xxxx xxxxxxxx.

§7

Xxxxxxxxxxxx xxxx

(1) Manažer xxxxxxxxxxxx xxxxxxxxxxx

x) je xxxxxxxxxxxx role xxxxxxxxx xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx, přičemž xxxxxxx této role xxxx xxx xxxxxxxx xxxxx, xxxxx xx xxx xxxx činnost xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx s xxxxxxx xxxxxxxxxxx xxxxxxxxx

1. xx dobu xxxxxxx xxx xxx, xxxx

2. xx xxxx xxxxxxx xxxx, pokud xxxxxxxxxxx xxxxxxx xx vysoké xxxxx,

x) xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxx x

1. xxxxxxxxxx xxxxxxxxxxxxx x xxxxxxx xxxx xxxxxxxxxxxx x

2. xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x

x) xxxxx xxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxx xx xxxxxx informačního x komunikačního xxxxxxx.

(2) Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxx xxxx xxxxxxxxx za xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx xxx, aby xxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx, přičemž xxxxxxx xxxx xxxx xxxx xxx pověřena xxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx způsobilost praxí x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx

x) xx xxxx xxxxxxx xxx xxx, nebo

b) xx xxxx jednoho xxxx, xxxxx xxxxxxxxxxx xxxxxxx xx xxxxxx xxxxx.

(3) Garant aktiva xx xxxxxxxxxxxx role xxxxxxxxx xx zajištění xxxxxxx, xxxxxxx x xxxxxxxxxx xxxxxx.

(4) Auditor xxxxxxxxxxxx xxxxxxxxxxx

x) xx xxxxxxxxxxxx role xxxxxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx této xxxx xxxx být xxxxxxxx xxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxxx praxí x xxxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti nebo xxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx

1. xx xxxx xxxxxxx xxx xxx, xxxx

2. po xxxx jednoho roku, xxxxx xxxxxxxxxxx xxxxxxx xx xxxxxx škole,

b) xxxxxxxx, xx xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx xx xxxxxxxxx, x

x) xxxxx být xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxx.

(5) Xxxxxxx xxxxx xxx xxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx x příloze č. 6 x této xxxxxxxx.

§8

Řízení dodavatelů

(1) Xxxxxxx xxxxx

x) xxxxxxx pravidla xxx xxxxxxxxxx, která xxxxxxxxxx požadavky systému xxxxxx bezpečnosti xxxxxxxxx,

x) xxxx evidenci xxxxx xxxxxxxxxx xxxxxxxxxx,

x) xxxxxxxxxxxx xxxxxxx xxxxxxxxx své xxxxxxxx xxxxxxxxxx x xxxxxx evidenci podle xxxxxxx x),

x) seznamuje xxx dodavatele s xxxxxxxx podle xxxxxxx x) x xxxxxxxx xxxxxx xxxxxx xxxxxxxx,

x) xxxx rizika xxxxxxx x xxxxxxxxxx,

x) x xxxxxxxxxxx s řízením xxxxx xxxxxxxxx s xxxxxxxxxx dodavateli xxxxxxx, xxx xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx v příloze č. 7 x xxxx xxxxxxxx, x

x) xxxxxxxxxx xxxxxxxxxxx xxxxxx smluv s xxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.

(2) Povinná xxxxx x xxxxxxxxxx xxxxxxxxxx xxxx

x) x xxxxx xxxxxxxxxx řízení x xxxx uzavřením xxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx přiměřeně xxxxx přílohy č. 2 x xxxx xxxxxxxx,

x) v xxxxx xxxxxxxxxxx smluvních xxxxxx xxxxxxx xxxxxxx a xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx x xxxx xxxxx xxxxxxxx smluvní xxxxxxxxxxxx xx xxxxxxxx x kontrolu xxxxxxxxxxxxxx xxxxxxxx,

x) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx a xxxxxxxxxxx xxxxxxxx zavedených xxxxxxxxxxxxxx opatření u xxxxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxx zdrojů nebo xxxxxx xxxxx xxxxxx x

x) v xxxxxx xx xxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxx.

(3) Xxxxxxxxxxx xxxxxxxxxxxxxx informování xxxxx xxxxxxxx 1 xxxx. x) xxxx

x) xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx,

x) xxxxxxxxxxxx informačního x xxxxxxxxxxxxx systému,

c) identifikace xxxxxxxxxx xxxxxxxxxx,

x) vyrozumění x skutečnosti, xx xxxxxxxxx xx xxx xxxxxxx významným xxxxxxxxxxx, x xxxxxxxxx xxxx x xxx, xx xxxxxxxx dodavatel xx xxxxxxx provozovatelem, a

e) xxxxx xxxxxxxx podle xxxxxxxx 1 xxxx. x).

(4) Xxxxxxx osoba xxxxxxx v §3 xxxx. c) xx x) zákona, xxxxx xx provozovatelem a xxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx odstavce 1 xxxx. c), hlásí xxxxxxxxx údaje xxxxxx xxxxxxxx x §34.

§9

Xxxxxxxxxx lidských zdrojů

(1) Xxxxxxx osoba v xxxxx řízení xxxxxxxxxxx xxxxxxxx xxxxxx

x) x xxxxxxx xx xxxx x potřeby xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxx xx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx xxxxx, xxxxx x xxxxxx

1. xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, xxxx zastávajících xxxxxxxxxxxx role x xxxxxxxxxx x jejich xxxxxxxxxxxx x o xxxxxxxxxxxx xxxxxxxx x

2. xxxxxxxxxx xxxxxxxxxxxx i xxxxxxxxxxx školení uživatelů, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,

x) xxxx osoby xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx x xxxxx xxxxxxx,

x) x xxxxxxx x xxxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx bezpečnostní role x xxxxxxxxxx x xxxxxx xxxxxxxxxxxx a x bezpečnostní xxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx,

x) xxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxx x plánem rozvoje xxxxxxxxxxxxxx xxxxxxxx zajistí xxxxxxxxxx xxxxxxx školení, xxxxxxx vychází x xxxxxxxxxx xxxxxx povinné xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,

x) v xxxxxxx x plánem xxxxxxx bezpečnostního xxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx zaměstnanců x xxxxxxx x jejich xxxxxxxx náplní,

f) zajistí xxxxxxxx xxxxxxxxxx bezpečnostní xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,

x) x xxxxxxx xxxxxxxx smluvního xxxxxx x xxxxxxxxxxxxxx a xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxx předání xxxxxxxxxxxx,

x) hodnotí xxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, provedených xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx xx zlepšováním xxxxxxxxxxxxxx xxxxxxxx x

x) xxxx xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx ze xxxxxx xxxxxxxxx, administrátorů x xxxx zastávajících xxxxxxxxxxxx xxxx.

(2) Xxxxxxx xxxxx xxxx o xxxxxxx podle xxxxxxxx 1 xxxxxxxx, které xxxxxxxx předmět xxxxxxx x xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.

§10

Řízení provozu a xxxxxxxxxx

(1) Xxxxxxx xxxxx x rámci xxxxxx xxxxxxx x komunikací xxxxxxxxx xxxxxxxx provoz xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx, xxxxx xxxxxxxx xxxxxxx

x) práva x xxxxxxxxxx administrátorů, xxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,

x) xxxxxxx xxx spuštění x xxxxxxxx chodu systému, xxx xxxxxxx xxxx xxxxxxxx xxxxx xxxxxxx xx xxxxxxx a xxx ošetření chybových xxxxx nebo mimořádných xxxx,

x) xxxxxxx pro xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x opatření xxx xxxxxxx přístupu x xxxxxxxx x xxxxxx xxxxxxxxxx,

x) xxxxxxxx x xxxxxxx xxx xxxxxxx před xxxxxxxxx xxxxx,

x) xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx,

x) xxxxxxx xx xxxxxxxxx osoby, které xxxx pověřeny výkonem xxxxxxxxx a xxxxxxxxx xxxxxxx,

x) xxxxxxx řízení x schvalování provozních xxxx,

x) xxxxxxx xxx xxxxxxxxx, xxxxxxxxx x xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxx,

x) xxxxxxxx a xxxxxxx xxx ochranu xxxxxxxxx x xxx v xxxxxxx celého životního xxxxx,

x) xxxxxxxx x xxxxxxx xxx instalaci xxxxxxxxxxx aktiv,

k) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxx xxxxxxxxxxxxx provedených xxxxx x

x) xxxxxxxx x xxxxxxx xxx xxxxxxxxx bezpečnosti síťových xxxxxx.

(2) Povinná xxxxx x rámci xxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 1 a xxxx pravidla a xxxxxxx xxxxxxxxxxx v xxxxxxxxxxx x xxxxxxxxxxx xxxx plánovanými xxxxxxx.

(3) Xxxxxxx xxxxx xxxxxxx xxxxxxxx vývojového, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxx.

§11

Xxxxxx xxxx

(1) Xxxxxxx xxxxx x xxxxx xxxxxx změn x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx

x) xxxxxxxxxxx xxxxx xxxxxx xxxx x

x) xxxxxx významné xxxxx.

(2) Xxxxxxx xxxxx x xxxxxxxxxx xxxx

x) xxxxxxxxxxx xxxxxx xxxxxx,

x) xxxxxxx xxxxxxx xxxxx,

x) xxxxxxx xxxxxxxx za xxxxxx xxxxxxx všech nepříznivých xxxxxx spojených x xxxxxxxxxx xxxxxxx,

x) xxxxxxxxxxx xxxxxxxxxxxx politiku x xxxxxxxxxxxx dokumentaci,

e) xxxxxxx xxxxxx xxxxxxxxx x

x) xxxxxxx xxxxxxx navrácení xx xxxxxxxxx stavu.

(3) Xxxxxxx osoba uvedená x §3 písm. x), x) a x) xxxxxx xx xxxxxxx xxxxxxxx xxxxxxx xxxxx xxxxx xxxxxxxx 2 xxxx. b) xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx testování nebo xxxxxxxxx xxxxxxxxxxxxx; xxxxx xxxxxxxx o provedení xxxxxxxxxxxx xxxxxxxxx nebo xxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx xxxxx §25 xxxx. 1 x reaguje xx xxxxxxxx nedostatky.

(4) Xxxxxxx osoba uvedená x §3 xxxx. x) xxxxxx se xxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxxxxxxx.

§12

Řízení přístupu

(1) Povinná xxxxx xx základě xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxx xxxx přístup x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxx, xxxxx xxxxxx x zajištění xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxx §19 x 20, x xxxxx xxxxx ve xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.

(2) Povinná xxxxx xxxx x xxxxx xxxxxx přístupu x informačnímu x xxxxxxxxxxxxx xxxxxxx

x) řídí xxxxxxx xx xxxxxxx xxxxxx x xxxx,

x) xxxxxxx každému xxxxxxxxx x administrátorovi přistupujícímu x xxxxxxxxxxxx x xxxxxxxxxxxxx systému xxxxxxxxxx xxxxx x xxxxxxxxx x jedinečný xxxxxxxxxxxxx,

x) xxxx xxxxxxxxxxxxxx, xxxxxxxxxx xxxxx x oprávnění xxxxxxxx a technických xxxx,

x) xxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx informačního a xxxxxxxxxxxxx xxxxxxx,

x) xxxxxx xxxxxxxxxxxx opatření xxxxxxxx xxx bezpečné používání xxxxxxxxx xxxxxxxx x xxxxxx technických xxxxxxxx, xxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx technických zařízení, xxxxx xxxxxxx xxxxx xxxx xx xxx xxxxxx,

x) omezí xxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxx nutnou x xxxxxx náplně xxxxx,

x) xxxxx x xxxxxxxxxx xxxxxxxxx programových xxxxxxxxxx, které xxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx nebo aplikační xxxxxxxx,

x) přiděluje x xxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx s xxxxxxxxx xxxxxx xxxxxxxx,

x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx veškerých přístupových xxxxxxxxx včetně rozdělení xx přístupových skupin x rolí,

j) xxxxxxx xxxxxxx xxx správu x xxxxxxxxx identity xxxxx §19 x xxxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxx podle §20,

x) prosazuje, aby xxxxxxxxx xxx používání xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx,

x) xxxxxxx xxxxxxxx xxxx xxxxx přístupových xxxxxxxxx xxx změně xxxxxx xxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx nebo osob xxxxxxxxxxxxx xxxxxxxxxxxx role,

m) xxxxxxx odebrání xxxx xxxxx xxxxxxxxxxxx oprávnění xxx xxxxxxxx xxxx xxxxx xxxxxxxxx vztahu x

x) xxxxxxxxxxx xxxxxxxxxxx x odebírání xxxxxxxxxxxx xxxxxxxxx.

§13

Akvizice, vývoj a xxxxxx

Xxxxxxx xxxxx x xxxxxxxxxxx s xxxxxxxxxx xxxxxxxx, xxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx

x) xxxx xxxxxx podle §5,

x) xxxx xxxxxxxx změny xxxxx §11,

x) xxxxxxx xxxxxxxxxxxx požadavky,

d) xxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxx akvizice, xxxxxx x xxxxxx,

x) xxxxxxx xxxxxxxxxx vývojového x xxxxxxxxxxx xxxxxxxxx x xxxxxxx ochranu používaných xxxxxxxxxxx dat,

f) xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxx xxxx xxxxxx xxxxxxxxx xx provozu x

x) xxxx xxxxxxxxx xxxxx §19 xxxx. 3, je-li xxxxx xxxxxxxxx akvizice nebo xxxxxx nástroj xxx xxxxxx x xxxxxxxxx xxxxxxxx.

§14

Xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx

(1) Xxxxxxx xxxxx v xxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx

x) xxxxxx proces xxxxxxx x vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x zvládání kybernetických xxxxxxxxxxxxxx xxxxxxxxx,

x) přidělí xxxxxxxxxxxx x xxxxxxx xxxxxxx xxx

1. xxxxxxx x vyhodnocování kybernetických xxxxxxxxxxxxxx událostí x xxxxxxxxx a

2. xxxxxxxxxx x xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx,

x) xxxxxxxx x xxxxxxxx xxxxxxx xxx xxxxxxxxxxxx, xxxx, xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,

x) xxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx,

x) xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí xx dále xxxx §22 x 23,

x) xxxxxxx, xx uživatelé, xxxxxxxxxxxxxx, osoby xxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxx xxxxxxxxxxx a dodavatelé xxxxx oznamovat xxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxx,

x) zajistí xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxx kterém musí xxx xxxxxxxxxx, zda xxxx xxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx podle §31,

x) xxxxxxx zvládání kybernetických xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxx,

x) přijímá xxxxxxxx xxx xxxxxxxxx x zmírnění xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,

x) xxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxx §32,

x) xxxx xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx x o xxxxxx xxxxxxxx,

x) prošetří x xxxx příčiny xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu a

m) xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu x xx xxxxxxx xxxxxxxxxxx stanoví xxxxx xxxxxxxxxxxx xxxxxxxx, popřípadě xxxxxxxxxxx stávající xxxxxxxxxxxx xxxxxxxx k xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.

(2) Povinná xxxxx xxxxxxx v §3 xxxx. x), x) x x) xxxxxx xxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxxx §24.

§15

Xxxxxx xxxxxxxxxx xxxxxxxx

Xxxxxxx xxxxx v xxxxx xxxxxx kontinuity xxxxxxxx

x) xxxxxxx práva x xxxxxxxxxx administrátorů x xxxx zastávajících xxxxxxxxxxxx xxxx,

x) xxxxxx xxxxxxxxx xxxxx x analýzy xxxxxx vyhodnotí x xxxxxxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx činností,

c) xx xxxxxxx výstupů xxxxxxxxx xxxxx x xxxxxxx xxxxxx xxxxx xxxxxxx b) stanoví xxxx řízení kontinuity xxxxxxxx xxxxxx xxxxxx

1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx, xxxxx je xxxxxxxxxx pro xxxxxxx, xxxxxx x správu xxxxxxxxxxxx x komunikačního xxxxxxx,

2. xxxx obnovení xxxxx, během xxxxx xxxx xx kybernetickém xxxxxxxxxxxxx incidentu xxxxxxxx xxxxxxxxx xxxxxx poskytovaných xxxxxx informačního a xxxxxxxxxxxxx xxxxxxx, x

3. xxxx obnovení dat xxxx xxxxxx xxxxxx, xx které xxxx xxx xxxxxx obnovena xxxx po xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx nebo xx xxxxxxx,

x) stanoví xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx c),

e) xxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx a havarijní xxxxx související s xxxxxxxxxxxx informačního a xxxxxxxxxxxxx xxxxxxx x xxxxxxxxxxxxx xxxxxx x

x) xxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxx xxxxxxxxxxxx x komunikačního systému xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx x omezením xxxxxxxxxxx x xxxxxxx xxx xxx x xxxxxxxxx xxxxx §27.

§16

Xxxxx xxxxxxxxxxxx xxxxxxxxxxx

(1) Xxxxxxx xxxxx x xxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx

x) xxxxxxx x xxxxxxxxxxx audit xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxxxxx technické shody, x výsledky xxxxxx xxxxxxxx x xxxxx xxxxxxx bezpečnostního xxxxxxxx x plánu zvládání xxxxx x

x) posuzuje xxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxx, xxxxxxxx předpisy, vnitřními xxxxxxxx, xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxxx se x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxx xxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.

(2) Xxxxx xxxxx odstavce 1 xx prováděn

a) xxx významných xxxxxxx, x xxxxx jejich xxxxxxx,

x) x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xx 3 xxxxxx x xxxxxxx xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx x

x) v xxxxxxxxxxxx xxxxxxxxxxx alespoň xx 2 xxxxxx x xxxxxxx xxxxxxx osoby xxxxxxxxx v xxxxxxx x).

(3) Xxxx-xx x xxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxx v xxxxxxxxxxx xxxxx odstavce 2 písm. x) x x) x xxxxx xxxxxxx, xx xxxxx xxxxx xxxxxxxx xxxxxxxx xx systematických xxxxxxx. X takovém xxxxxxx xx nutno xxxxx x xxxxx xxxxxxx xxxxxxx xxxxxxxxxx xx 5 xxx.

(4) Xxxxx xxxxxxxxxxxx bezpečnosti xxxx být xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx v §7 xxxx. 4, která xxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx zavedených xxxxxxxxxxxxxx opatření.

(5) Povinná xxxxx, xxxxx je xxxxxxxx xxxxxxxxxxxxxx, předkládá xxxxxxxx auditu kybernetické xxxxxxxxxxx správci daného xxxxxxxxxxxx x komunikačního xxxxxxx.

XXXXX XX

XXXXXXXXX XXXXXXXX

§17

Xxxxxxx xxxxxxxxxx

Xxxxxxx xxxxx x xxxxx xxxxxxx bezpečnosti

a) xxxxxxxxx xxxxxxxxx, xxxxxxx xxxx xxxxxxxx xxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,

x) stanoví xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxx, xx xxxxx jsou uchovávány x xxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, x

x) x fyzického bezpečnostního xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx x) xxxxxx xxxxxxxx xxxxxxxx a xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx

1. x xxxxxxxx xxxxxxxxxxxxx xxxxxx,

2. x xxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x

3. xxx xxxxxxxxx xxxxxxx xx xxxxxx xxxxxxx x x rámci xxxxxxx.

§18

Xxxxxxxxxx xxxxxxxxxxxxx xxxx

Xxxxxxx xxxxx pro ochranu xxxxxxxxxxx komunikační xxxx xxxxxxxx x xxxxxxx xxxxx §3 xxxx. x)

x) xxxxxxx segmentaci xxxxxxxxxxx sítě,

b) zajistí xxxxxx xxxxxxxxxx x xxxxx xxxxxxxxxxx xxxx x perimetru xxxxxxxxxxx xxxx,

x) xxxxxx kryptografie xxxxxxx xxxxxxxxx a xxxxxxxxx xxx při xxxxxxxxx přístupu, xxxxxxxx xxxxxx xxxx xxx xxxxxxxx xx xxxxxxxxxxx xxxx pomocí bezdrátových xxxxxxxxxxx,

x) xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxx a

e) xxx xxxxxxxxx segmentace xxxx a xxx xxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxxx využívá xxxxxxx, xxxxx xxxxxxx xxxxxxx xxxxxxxxx komunikační xxxx.

§19

Xxxxxx x xxxxxxxxx xxxxxxx

(1) Xxxxxxx xxxxx xxxxxxx xxxxxxx pro xxxxxx a xxxxxxx xxxxxxxx uživatelů, xxxxxxxxxxxxxx x aplikací xxxxxxxxxxxx x xxxxxxxxxxxxx systému.

(2) Xxxxxxx xxx xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx zajišťuje

a) xxxxxxx xxxxxxxx xxxx zahájením xxxxxxx x xxxxxxxxxxx x komunikačním systému,

b) xxxxxx počtu možných xxxxxxxxxxx pokusů o xxxxxxxxxx,

x) odolnost uložených xxxx přenášených autentizačních xxxxx xxxxx xxxxxxxxxxxxx xxxxxxxx a xxxxxxxx,

x) xxxxxxxx xxxxxxxxxxxxxx xxxxx xx xxxxx odolné xxxxx xxxxxxx xxxxxx,

x) xxxxxxxx xxxxxxx xxxxxxxx xx xxxxxx xxxx xxxxxxxxxx,

x) dodržení důvěrnosti xxxxxxxxxxxxxx xxxxx xxx xxxxxx xxxxxxxx x

x) xxxxxxxxxxxxxxx xxxxxx xxxxxxx.

(3) Xxxxxxx xxxxx xxx xxxxxxx identity uživatelů, xxxxxxxxxxxxxx a xxxxxxxx xxxxxxx autentizační xxxxxxxxxxx, xxxxx xxxx xxxxxxxx xxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxx x xxxxx, xxxxx na xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx dvěma xxxxxxx xxxx faktorů.

(4) Xx xxxx xxxxxxx xxxxxxxxx xxxxx odstavce 3 xxxx xxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxx a xxxxxxx obdobnou úroveň xxxxxxxxxxx.

(5) Do xxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx 4 musí xxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx, administrátorů x xxxxxxxx, xxxxx xxxxxxx x xxxxxxxxxxx identifikátor xxxx a heslo, xxxxxxxxx xxxxxxxx

x) délky xxxxx xxxxxxx

1. 12 xxxxx u xxxxxxxxx x

2. 17 xxxxx x xxxxxxxxxxxxxx x xxxxxxxx,

x) xxxxxxxxxx xxxxx xxxxx x xxxxx xxxxxxx 64 xxxxx,

x) xxxxxxxxxxx xxxxxxx xxxxxx x velkých xxxxxx, xxxxxx a xxxxxxxxxxx xxxxx,

x) xxxxxxxxxx xxxxxxxxxx xxxxx hesla, xxxxxxx xxxxxx xxxx xxxxx xxxxxxx xxxxx xxxxx xxx kratší xxx 30 xxxxx,

x) neumožňující xxxxxxxxxx a xxxxxxxxxxxxxxx

1. xxxxxx si nejčastěji xxxxxxxxx xxxxx,

2. tvořit xxxxx xx xxxxxxx xxxxxxxxxxxx opakujících se xxxxx, přihlašovacího xxxxx, x-xxxxx, názvu systému xxxx xxxxxxxx xxxxxxxx x

3. xxxxxxxx xxxxxxx xxxxx xxxxxxxxxxx hesel x xxxxxx alespoň 12 xxxxxxxxxxx xxxxx x

x) pro xxxxxxxx xxxxx hesla x xxxxxxxxx xxxxxxxxx po 18 xxxxxxxx, xxxxxxx xxxx xxxxxxxx xx xxxxxxxxxx na účty xxxxxxxx k xxxxxx xxxxxxx v xxxxxxx xxxxxxx.

(6) Xxxxxxx osoba x xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxx x xxxxxx xxxx

x) xxxxxx bezodkladnou xxxxx xxxxxxxxx hesla po xxxx xxxxxx použití,

b) xxxxxxxxxxx xxxxxxxxx heslo xxxxxxxx x obnovení xxxxxxxx xx xxxx xxxxxx použití xxxx xxxxxxxxx xxxxxxx 60 xxxxx xx jeho xxxxxxxxx a

c) xxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxxxxxxx hesel do xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx xxxxx §9.

§20

Xxxxxx přístupových oprávnění

Povinná xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxx, kterým xxxxxxx xxxxxx xxxxxxxxx

x) xxx xxxxxxx k xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému x

x) xxx xxxxx xxx, xxxxx xxx x xxxxx xxxxxxxxx.

§21

Ochrana xxxx xxxxxxxxx xxxxx

(1) Povinná osoba xxxxxxx v §3 xxxx. x), x) x f) zákona x rámci ochrany xxxx xxxxxxxxx kódem

a) x xxxxxxx xx xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxx xxxxxxxx pro xxxxxxxxxxxx automatickou xxxxxxx

1. xxxxxxxxx stanic,

2. mobilních xxxxxxxx,

3. xxxxxxx,

4. xxxxxxxx xxxxxxx a xxxxxxxxx xxxxxxxx nosičů,

5. xxxxxxxxxxx xxxx x prvků xxxxxxxxxxx sítě x

6. xxxxxxxxx xxxxxxxx,

x) xxxxxxxxxx x xxxx xxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx,

x) xxxx xxxxxxxxxxx xxxxxxxxx obsahu xxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx,

x) xxxx xxxxxxxxx ke spouštění xxxx x

x) xxxxxxx xxxxxxxxxxx x účinnou xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxx.

(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. e) xxxxxx xxxxxxxxx xxxxx odstavce 1 xxxxxxxxx.

§22

Zaznamenávání xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, xxxx xxxxxxxxx x xxxxxxxxxxxxxx

(1) Xxxxxxx osoba

a) xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxx informačního x xxxxxxxxxxxxx xxxxxxx x

x) xx xxxxxxx xxxxxxxxx důležitosti xxxxx xxxxxxxxxxx rozsah xxxxx, x kterých xx xxxxxxxxxxxxx bezpečnostních a xxxxxxxxxx xxxxxxxx xxxxxxxxx.

(2) Xxxxxxx osoba xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxx podle xxxxxxxx 1 xxxxxxxxx

x) xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx, xx-xx x xxxxxxxxxxx xxxx xxxxxx nástroj, který xxxx xxxx xxxxxxx xxxxxxxxxxxx,

x) sběr xxxxxxxxx x xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx; xxxxxxx xxxxxxxxxxx

1. xxxxx x xxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxx,

2. xxx xxxxxxxx,

3. identifikaci xxxxxxxxxxx xxxxxx, xxxxx činnost xxxxxxxxxxx,

4. xxxxxxxxxxxx identifikaci xxxx, xxx kterým xxxx činnost xxxxxxxxx,

5. xxxxxxxxxxxx síťovou identifikaci xxxxxxxx xxxxxxx a

6. xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx,

x) ochranu xxxxxxxxx xxxxxxxxx podle xxxxxx x) x x) xxxx xxxxxxxxxxxx čtením x xxxxxxxxx xxxxxx,

x) xxxxxxxxxxxxx

1. přihlašování a xxxxxxxxxxx xx všem xxxxx, x xx xxxxxx neúspěšných xxxxxx,

2. xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx,

3. xxxxxxx x neúspěšné xxxxxxxxxx x účty, xxxxxxxxxxx x xxxxx,

4. xxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxx a xxxxxxxxx,

5. xxxxxxxx xxxxxxxxx, xxxxx xxxxx mít vliv xx bezpečnost xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,

6. xxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx,

7. xxxxxxxxxx x chybových xxxxxxx xxxxxxxxxxx aktiv x

8. přístupů x xxxxxxxx o xxxxxxxxxx, xxxxxx x xxxxxxxxxx xx záznamy x xxxxxxxxxx a změny xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx x

x) xxxxxxxxxxxxx jednotného času xxxxxxxxxxx aktiv xxxxxxx xxxxxx xx 24 xxxxx.

(3) Povinná xxxxx xxxxxxx x §3 xxxx. x), x) x x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxx po xxxx 18 xxxxxx.

(4) Xxxxxxx osoba xxxxxxx x §3 xxxx. x) zákona xxxxxxxx xxxxxxx událostí xxxxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxx xx xxxx 12 xxxxxx.

§23

Detekce kybernetických bezpečnostních xxxxxxxx

(1) Xxxxxxx osoba x xxxxx xxxxxxxxxxx xxxx, jejíž součástí xx xxxxxxxxxx x xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxx pro detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx

x) xxxxxxx x xxxxxxxx xxxxxxxxxxx xxx v rámci xxxxxxxxxxx xxxx x xxxx xxxxxxxxxxxxx xxxxxx,

x) xxxxxxx x xxxxxxxx xxxxxxxxxxx dat xx xxxxxxxxx xxxxxxxxxxx sítě x

x) blokování nežádoucí xxxxxxxxxx.

(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x f) xxxxxx xxxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxx xx xxxxxxxxxx aktiv x xxxxx

x) xxxxxxxxx xxxxxx,

x) xxxxxxxxx xxxxxxxx,

x) xxxxxxx,

x) xxxxxxxx úložišť x xxxxxxxxx datových xxxxxx,

x) xxxxxxxx xxxxxxxxx xxxxx x

x) xxxxxxxxx xxxxx.

§24

Xxxx a xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx

Xxxxxxx xxxxx xxxxxxx v §3 xxxx. x), x) x f) xxxxxx používá nástroj xxx xxxx x xxxxxxxxxxx vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxxxx xxxxxx

x) xxxx x xxxxxxxxxxxxx xxxxxxxx zaznamenaných xxxxx §22 x 23,

x) xxxxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxx záznamů,

c) xxxxxxxxxxx xxxxxxxxx xxx xxxxxx bezpečnostní role x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx,

x) xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxx varování xxxxxxxx xxxxxxxxxxxxxx xxxx,

x) xxxxxxx xxxxxxx nesprávného xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx

1. vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x

2. xxxxxx varování x

x) xxxxxxxxx informací získaných xxxxxxxxx xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxxx nastavení bezpečnostních xxxxxxxx informačního x xxxxxxxxxxxxx systému.

§25

Xxxxxxxxx xxxxxxxxxx

(1) Povinná xxxxx xxxxxxx penetrační xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xx xxxxxxxxx xx xxxxxxxx xxxxxx, a to

a) xxxx xxxxxx xxxxxxxx xx xxxxxxx x

x) x xxxxxxxxxxx x xxxxxxxxx změnou xxxxx §11 xxxx. 3.

(2) Xxxxxxx osoba dále x xxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx xxxxxxxx, xxxxxxxxx x transakcí xxxx

x) xxxxxxxxxxxx xxxxxxxx x

x) xxxxxxxx provedených xxxxxxxx.

§26

Xxxxxxxxxxxxxx xxxxxxxxxx

Xxxxxxx osoba xxx xxxxxxx xxxxx xxxxxxxxxxxx a komunikačního xxxxxxx

x) xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x kryptografické xxxxx,

x) xxxxxxx systém správy xxxxx x xxxxxxxxxxx, xxxxx

1. zajistí xxxxxxxxxx, xxxxxxxxxx, ukládání, změny, xxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxxxxx x likvidaci xxxxx x

2. umožní xxxxxxxx x xxxxx,

x) xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxxx xxxxxxxxxx x

x) xxxxxxxxxx xxxxxxxxxx x oblasti xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx Xxxxxx, xxxxxxxxxx xx xxxx xxxxxxxxxxxxx stránkách.

§27

Xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx

Xxxxxxx osoba zavede xxxxxxxx xxx xxxxxxxxxxx xxxxxx dostupnosti, kterými xxxxxxx

x) xxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx xxx xxxxxxx xxxx xxxxx §15,

x) xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxx kybernetickým xxxxxxxxxxxxx incidentům, které xx xxxxx xxxxxx xxxx xxxxxxxxxx,

x) xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx a

d) xxxxxxxxxx xxxxx xxxxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému.

§28

Xxxxxxxxxx, řídicí x xxxxxxx xxxxxxxxxx xxxxxxx

Xxxxxxx xxxxx xxx xxxxxxxxx xxxxxxxxxxxx bezpečnosti průmyslových, xxxxxxxx x obdobných xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxx a xxxxxxxx, xxxxx xxxxxxx

x) xxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxx xxxxxx xx xxxxxxxxxxxx xxxxxxxxx,

x) xxxxxxx xxxxxxxxx xxxxxxxx k zařízením xxxxxx systémů a xx xxxxxxxxxxx síti,

c) xxxxxxxxx xxxxxxxxxxx xxxx xxxxxx xxx tyto xxxxxxx xx xxxxxxx xxxxxxxxxxxxxx,

x) xxxxxxx x xxxxxx vzdáleného xxxxxxxx x xxxxx xxxxxxxx,

x) xxxxxxx xxxxxxxxxxxx technických xxxxx xxxxxx xxxxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxx a

f) xxxxxxxx xxxxx xxxxxx xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.

§29

Xxxxxxxxx xxxxxx

(1) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. h) xxxxxx zavede xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxx Xxxxxx (EU) 2018/151 ze xxx 30. xxxxx 2018, xxxxxx xx stanoví xxxxxxxx pro xxxxxxxxxxx xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Rady (XX) 2016/1148, xxxxx xxx x bližší xxxxxxxxx xxxxx, které xxxx xxxxxxxxxxxxx digitálních xxxxxx xxxxxxxxxxx xxx řízení xxxxxxxxxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx sítě x xxxxxxxxxx xxxxxxx, x xxxxxxxxx pro xxxxxxxxxx xxxx, xxx xx dopad incidentu xxxxxxxx; xxxxxxxxxx §3 xx 28 xx xx xxxx xxxxxxxx xxxxx xxxxxxxxx.

(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxx xxxxxxxxx xxxxx xxxxx §34 xxxx. 2.

(3) Povinná xxxxx xxxxxxx v §3 písm. h) xxxxxx hlásí xxxxxxxxxxxx xxxxxxxxxxxx incidenty podle §32 xxxx. 2 x 3.

XXXXX XXX

XXXXXXXXXXXX XXXXXXXX X XXXXXXXXXXXX XXXXXXXXXXX

§30

Xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx

(1) Xxxxxxx xxxxx

x) xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx bezpečnostní xxxxxxxxxxx xxxxxxxxxx oblasti xxxxxxx x příloze č. 5,

x) xxxxxxxxxx přezkoumává bezpečnostní xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx x

x) xxxxxxx, xxx xxxx xxxxxxxxxxxx xxxxxxxx x bezpečnostní xxxxxxxxxxx xxxxxxxx.

(2) Xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx

x) xxxxxxxx v xxxxxxxx xxxx xxxxxxxxxxxx xxxxxx,

x) xxxxxxxxxxxx x xxxxx xxxxxxx osoby,

c) xxxxxxxxx xxxxxxxx dotčeným xxxxxxx,

x) xxxxxx,

x) xxxxxxxx x xxxxxxx důvěrnosti, xxxxxxxxx x dostupnosti a

f) xxxxxx xxx, xxx xxxxxxxxx x xxxx xxxxxxxx byly xxxxx, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx x xxxxxx xxxxxxxxxxxx.

XXXX XXXXX

XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX

§31

Xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx

(1) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx incidenty xx xxxxxxxxxxxx xxxxx významnosti xxx xxxxxxxxxx

x) xxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx byly xxxxxxx xxxxx xxxxxx,

x) xxxxx xxxxxxxxx uživatelů,

c) xxxxxxxxx xxxx předpokládané xxxxx,

x) xxxxxxxxxxx xxxxxxxxx aktiv xxxxxxxxxxxx x komunikačního xxxxxxx,

x) xxxxxx xx xxxxxxxxxxx služby xxxxxxxxxxxx x komunikačního xxxxxxx,

x) xxxxxx xx služby xxxxxxxxxxx xxxxxx informačními x komunikačními systémy,

g) xxxxx xxxxxx xxxxxxxxx,

x) xxxxxxxxxxx rozsahu xxxxxxx xxxxxxx x

x) dalších xxxxxx.

(2) Pro potřeby xxxxxxx a zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx na xxxxxxx xxxxxxxxxx podle xxxxxxxx 1 xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxxx xxxxxxxxx

x) Xxxxxxxxx XXX - velmi xxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx xxxxxx xx xxxxx x xxxxxxxx narušena xxxxxxxxxx xxxxxxxxxxxxx služeb nebo xxxxx. Xxxx řešení xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x xxx, xx xxxx být xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx dalšímu xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx vzniklých x xxxxxxxxxxxxx xxxx,

x) Xxxxxxxxx XX - xxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, při xxxxxx xx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx řešení xxxxxxxx xxxxxxxxxx zásahy xxxxxxx s xxx, xx musí být xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxxxxx vzniklých škod, xxxx

x) Xxxxxxxxx I - xxxx xxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx kterém xxxxxxx x xxxx významnému xxxxxxxx bezpečnosti xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx řešení vyžaduje xxxxxx obsluhy x xxx, že xxxx xxx vhodnými prostředky xxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx vzniklých xxxx.

(3) Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxx xxxx

x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxx,

x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx narušení integrity xxxxx,

x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx aktiv, nebo

d) xxxxxxxxxxxx bezpečnostní incident xxxxxxxxxxx kombinaci xxxxxx xxxxxxxxx x xxxxxxxxx x) xx x).

(4) Xxxx xxxxxxxxxx se xxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxx osoby xxxxxxx x §3 xxxx. x) xxxxxx.

§32

Forma x náležitosti xxxxxxx kybernetických bezpečnostních xxxxxxxxx

(1) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx Xxxxx xxxxx na xxxxxxxxxxxxx xxxxxxxxx zveřejněném na xxxxxxxxxxxxx xxxxxxxxx Úřadu xxxxxxxx

x) na xxxxxx xxxxxxxxxxxx xxxxx Xxxxx xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xx xxxxxxxxxxxxx stránkách Úřadu,

b) xx xxxxxx xxxxxxxx Xxxxx, nebo

c) xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx, pokud xx používáno, xxxxx xxxxx xx zveřejněn xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.

(2) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx provozovateli xxxxxxxxx XXXX xxxxx xx elektronickém formuláři xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx provozovatele xxxxxxxxx XXXX zaslaném

a) xx xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx národního CERT xxxxxxx pro xxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xx xxxx internetových xxxxxxxxx,

x) xx xxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX, xxxx

x) xxxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.

(3) Xxxxxxx kybernetického xxxxxxxxxxxxxx incidentu je xxxxx xxxxxx x x xxxxxxxx xxxxxx, xxxxx xxxxx v xxxxxxxxx, kdy xxxxx xxxxxx xxxxx ze xxxxxxx uvedených x xxxxxxxxxx 1 x 2.

(4) Xxxxxxxxxxx hlášení xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxx

x) xxxxxxxxxxxx xxxxxxxxxxx,

x) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,

x) datum x xxx xxxxxxxx xxxxxxxxx a

d) popis xxxxxxxxx.

ČÁST XXXXXX

XXXXXXXXX OPATŘENÍ X XXXXXXXXX ÚDAJE

§33

Reaktivní xxxxxxxx

(1) Povinná xxxxx, xxxxx Xxxx xxxxxx xxxxxxx xxxxxxxxx xxxxxxxx,

x) xxxxxxx očekávané dopady xxxxxxxxxxx xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxx x xx xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxx xxxxxxxxx xxxxxx a

b) xxxxxxx způsob rychlého xxxxxxxxx tohoto xxxxxxxx, xxxxx xxxxxxxxxxxx xxxx xxxxx xxxxxxxxx xxxxxx, x xxxx časový xxxx xxxx xxxxxxxxx.

(2) Xxxxxxx xxxxx, xxxxx Xxxx xxxxxx provést xxxxxxxxx xxxxxxxx, oznámí xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx ve formě xxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx.

§34

Xxxxxxxxx údaje

(1) Kontaktní xxxxx se Úřadu xxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Úřadu xxxxxxxx

x) na xxxxxx xxxxxxxxxxxx xxxxx Xxxxx xxxxxxx xxx příjem xxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxxxxxx xx internetových xxxxxxxxx Úřadu,

b) do xxxxxx xxxxxxxx Xxxxx, xxxx

x) xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xx xxxxxxxxx, xxxxx xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.

(2) Xxxxxxxxx údaje se xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx xx elektronickém xxxxxxxxx xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx CERT xxxxxxxx

x) xx adresu xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxx pro xxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxxxxxx na xxxx xxxxxxxxxxxxx xxxxxxxxx,

x) xx xxxxxx schránky xxxxxxxxxxxxx národního XXXX, xxxx

x) prostřednictvím xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.

(3) Hlášení xxxxxxxxxxx xxxxx je xxxxx xxxxxx x v xxxxxxxx xxxxxx, xxxxx xxxxx v xxxxxxxxx, xxx xxxxx xxxxxx xxxxx xx způsobů xxxxxxxxx x odstavcích 1 a 2.

(4) Xxxx xxxxxxxx kontaktních xxxxx xx xxxxxx x příloze č. 8 x xxxx xxxxxxxx.

(5) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. c) xx x) xxxxxx, xxxxx xx xxxxxxxxxxxxxx, xxxx k xxxxxxx xxxxxxxxxxx xxxxx xxxxx xxxxxxxx 1 xxxxxxxx xxxxxxxx, kterým xx xxxxxxx xxxxxxxxxxxx informuje xxxxx §8 odst. 1 písm. x).

ČÁST XXXX

XXXXXXXXX XXXXXXXXXX

§35

Xxxxxxxxx xxxxxxxxxx

(1) V xxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx xxxx určeny xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, x x xxxxxxx xxxxxxxxxx xxxxxxxxxxxx systémů, x xxxxxxx xxxxx x xxxxxxxx určujících kritérií xxxxx dnem xxxxxx xxxxxxxxx xxxx vyhlášky, xx xx xxxxxxx xxxx xxx xxx xxxxxx xxxxxxxxx xxxx xxxxxxxx xxx xxxxx x strukturu xxxxxxxxxxxx xxxxxxxxxxx x xxxxx x xxxxxx zavedených xxxxxxxxxxxxxx opatření xxxxxxx xxxxxxxxxx vyhlášky č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x x stanovení xxxxxxxxxxx xxxxxx x oblasti xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x kybernetické xxxxxxxxxxx).

(2) X případě xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x komunikačních xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxx byly xxxxxx xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, x x xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x xxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx xxxx nabytí xxxxxxxxx xxxx xxxxxxxx, xx xx jednoho xxxx xxx xxx xxxxxx xxxxxxxxx xxxx vyhlášky xxx xxxxxx xxxxxxxxx xxx, provozních údajů, xxxxxxxxx x xxxxxx xxxxx xxxx xxxxxxxx xxxxxxxxx.

§36

Xxxxxxxxx xxxxxxxxxx

Xxxxxxx xx xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx opatřeních, xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentech, xxxxxxxxxxx xxxxxxxxxx x x xxxxxxxxx náležitostí podání x oblasti xxxxxxxxxxxx xxxxxxxxxxx (vyhláška x xxxxxxxxxxxx bezpečnosti).

§37

Účinnost

Tato vyhláška xxxxxx xxxxxxxxx dnem xxxxxxxxx.

Xxxxxxx:

Xxx. Xxxxxxxx x. x.

Xxxxxxx x. 1 x vyhlášce č. 82/2018 Xx.

Xxxxxxxxx xxxxx

(1) Xxx xxxxxxxxx důležitosti xxxxx xxxx v xxxxx xxxxxxx použity xxxxxxxx x xxxxxxx xxxxxxxx a xxxxxxxx xx, xxxx xxxxx xx xxxx xxxxxxxx xxxxxxxxxxx informací x xxxxxxxxxxxx xxxxx. Povinná xxxxx xxxx používat xxxxxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, než jaký xx uveden v xxxx příloze, dodrží-li xxxxxxxxxxx xxxxx mezi xxxx používaným xxxxxxxx xxxxxxxxx důležitosti xxxxx x xxxxxxxxxx x xxxxxxxx xxx hodnocení xxxxxxxxxxx xxxxx, které xxxx uvedeny x xxxx xxxxxxx.

(2) Xx xxxxxxxxxx, xxx si xxxxx xxxxxxx xxxxx xxxx dopadové xxxxxx xxxxxxxxxxxx svým xxxxxxxx.

Xxx. 1: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx

Xxxxxx

Xxxxx

Xxxxxxxx xxxxxxxxx xx xxxxxxx aktiva

Nízká

Aktiva xxxx xxxxxxx xxxxxxxxx xxxx xxxx určena xx xxxxxxxxxx. Xxxxxxxx xxxxxxxxxx aktiv neohrožuje xxxxxxxxx zájmy xxxxxxx xxxxx.

X xxxxxxx xxxxxxx xxxxxxxx aktiva s xxxxxxx xxxxxxxx a xxxxxxx xxxxxxxxxxx xxxxx xxx. xxxxxxx xxxxx xxxxxxxxx (xxxx xxx "XXX") je xxxxxxxxx xxxxxxxx TLP:WHITE.

Není vyžadována xxxxx ochrana.

Likvidace/mazání xxxxxx xx úrovni Xxxxx - xxx příloha č. 4.

Střední

Aktiva xxxxxx veřejně xxxxxxxxx x xxxxx xxxx-xxx xxxxxxx xxxxx, xxxxxxx xxxxx xxxx vyžadována xxxxxx xxxxxxx předpisem xxxx xxxxxxxx ujednáním.

V xxxxxxx sdílení takového xxxxxx x xxxxxxx xxxxxxxx a xxxxxxx xxxxxxxxxxx xxxxx XXX xx xxxxxxxxx xxxxxxx xxxxxxxx TLP:GREEN xxxx XXX:XXXXX.

Xxx ochranu důvěrnosti xxxx xxxxxxxxx xxxxxxxxxx xxx xxxxxx xxxxxxxx.

Xxxxxxxxx/xxxxxx xxxxxx xx xxxxxx Xxxxxxx - xxx příloha č. 4.

Xxxxxx

Xxxxxx xxxxxx xxxxxxx xxxxxxxxx a xxxxxx xxxxxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx xxxx smluvními xxxxxxxxxx (například obchodní xxxxxxxxx, osobní xxxxx).

X xxxxxxx xxxxxxx xxxxxxxx xxxxxx x třetími xxxxxxxx a xxxxxxx xxxxxxxxxxx xxxxx TLP xx xxxxxxxxx zejména xxxxxxxx XXX:XXXXX.

Xxx ochranu xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Přenosy xxxxxxxxx xxxxxxxxxxx xxxx xxxx xxxxxxxx pomocí kryptografických xxxxxxxxxx.

Xxxxxxxxx/xxxxxx xxxxxx na xxxxxx Xxxxxx - xxx příloha č. 4.

Xxxxxxxx

Xxxxxx xxxxxx xxxxxxx přístupná x xxxxxxxx nadstandardní xxxx xxxxxxx xxx xxxxx xxxxxxxxx xxxxxxxxx (xxxxxxxxx xxxxxxxxxxx xxxxxxxx tajemství, xxxxxxxx xxxxxxxxx xxxxxxxx xxxxx).

X případě xxxxxxx xxxxxxxx xxxxxx s xxxxxxx stranami x xxxxxxx xxxxxxxxxxx xxxxx XXX xx xxxxxxxxx xxxxxxx označení XXX:XXX xxxx TLP:AMBER.

Pro xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, které xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Xxxx xxxxxx xxxxxxx zabraňující zneužití xxxxx ze xxxxxx xxxxxxxxxxxxxx. Přenosy xxxxxxxxx xxxx chráněny xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx.
Xxxxxxxxx/xxxxxx xxxxxx xx úrovni Kritická - xxx příloha č. 4.

Xxx. 2: Xxxxxxxx pro xxxxxxxxx integrity

Úroveň

Popis

Příklady xxxxxxxxx xx xxxxxxx xxxxxx

Xxxxx

Xxxxxxx xxxxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx aktiva neohrožuje xxxxxxxxx zájmy xxxxxxx xxxxx.

Xxxx xxxxxxxxxx žádná xxxxxxx.

Xxxxxxx

Xxxxxxx může vyžadovat xxxxxxx x hlediska xxxxxxxxx. Narušení xxxxxxxxx xxxxxx xxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx x xxxx xx xxxxxxxx xxxx xxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx.

Xxx ochranu xxxxxxxxx xxxx využívány xxxxxxxxxx xxxxxxxx (xxxxxxxxx omezení xxxxxxxxxxxx xxxx xxx xxxxx).

Xxxxxx

Xxxxxxx xxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx x xxxxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx.

Xxx xxxxxxx integrity xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx historii provedených xxxx x xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxx. Ochrana xxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xx zajištěna xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx.

Xxxxxxxx

Xxxxxxx xxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx vede x xxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx zájmů xxxxxxx xxxxx x přímými x xxxxx vážnými xxxxxx xx xxxxxxxx xxxxxx.

Xxx xxxxxxx integrity xxxx využívány xxxxxxxxx xxxxxxxxxx jednoznačné xxxxxxxxxxxx xxxxx xxxxxxxxxxx změnu (xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx).

Xxx. 3: Xxxxxxxx pro hodnocení xxxxxxxxxxx

Xxxxxx

Xxxxx

Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxx

Xxxxx

Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx důležité x v případě xxxxxxx xx běžně xxxxxxxxxx xxxxx časové xxxxxx xxx xxxxxxx (xxx xx 1 xxxxx).

Xxx ochranu xxxxxxxxxxx xx postačující xxxxxxxxxx xxxxxxxxxx.

Xxxxxxx

Xxxxxxxx xxxxxxxxxxx aktiva xx nemělo xxxxxxxxx xxxx xxxxxxxxxx xxx, xxxxxxxxxxxxx xxxxxxx xxxx x xxxxxxx ohrožení xxxxxxxxxxx zájmů povinné xxxxx.

Xxx xxxxxxx dostupnosti xxxx xxxxxxxxx xxxxx xxxxxx zálohování a xxxxxx.

Xxxxxx

Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx překročit xxxx xxxxxxxx xxxxx. Xxxxxxxx xxxxxxx xx xxxxx řešit xxxxxxxxxx, xxxxxxx xxxx x xxxxxxx xxxxxxxx oprávněných xxxxx xxxxxxx xxxxx. Xxxxxx jsou xxxxxxxxxx xx xxxxx xxxxxxxx.

Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx xxxx xxx xxxxxxxxx xxxxxx xxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx.

Xxxxxxxx

Xxxxxxxx xxxxxxxxxxx aktiva xxxx přípustné x x xxxxxxxxxx xxxxxxxxxxxx (x xxxx xxxxxxxx xxxxx) vede x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx. Xxxxxx xxxx xxxxxxxxxx xx xxxxxxxx.

Xxx ochranu xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx xxxxxxx a xxxxxx poskytování služeb xx xxxxxxxxxx a xxxxxxxxxxxxxx.

Xxxxxxx x. 2 x xxxxxxxx x. 82/2018 Xx.

Xxxxxxxxx rizik

(1) Xxxxxxxxxxx xxxxxxxxx xxxxxx xxx určení rizika xx xxxxxxxxx xxxxxxxx xxxxxxxx xxx hodnocení xxxxx podle §5.

(2) Xxxxxxx xxxxxx xx xxxxxxxxxx vyjádřena xxxx xxxxxx, xxxxxx xxxxxxxxx xxxxx, xxxxxx a xxxxxxxxxxxx.

(3) Xxx xxxxxxxxx xxxxx xxx použít xxxxxxxxx xxxx funkci:

Riziko = xxxxx x xxxxxx x xxxxxxxxxxxx.

(4) Xxxxx xx x xxxxx případě xxxxxxx x hodnocení xxxxx xxxxx přílohy č. 1.

(5) X xxxxxxx, xx povinná xxxxx využívá xxxxxx xxx xxxxxxxxx xxxxx, xxxxx xxxxxxxxxxx hodnocení xxxxxx a xxxxxxxxxxxxx, xx xxxxx xxxxxxxx xxx hodnocení xxxxxx x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxx by xxxxxx xxxx ke xxxxxx schopnosti rozlišení xxxxxx xxxxxx x xxxxxxxxxxxxx. Za tímto xxxxxx xxx použít xxxxxxxxx xxxxxxxx, který xxxxxxxx xxxxxxx jak xxxxxx xxxxxx, tak x úroveň xxxxxxxxxxxxx. Xxxxxxx xx xxxxxxxxx x x xxxxxxxxx, xxx povinná xxxxx xxxxxxx jiný xxxxx xxxxxx xxx xxxxxxxxx xxxxxx, xxxxxx, xxxxxxxxxxxxx x xxxxx.

Xxx. 1: Xxxxxxxx xxx xxxxxxxxx xxxxxx

Xxxxxx

Xxxxx

Xxxxx

Xxxxxx neexistuje xxxx xx xxxx xxxxxxxxxxxxx.
Xxxxxxxxxxxxx xxxxxxxxx xxxxxx není xxxxxxxx xxx xxxxxx xx 5 let.

Střední

Hrozba xx málo pravděpodobná xx xxxxxxxxxxxxx.
Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx v xxxxxxx xx 1 xxxx do 5 xxx.

Xxxxxx

Xxxxxx xx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx.
Xxxxxxxxxxxxx xxxxxxxxx xxxxxx je x xxxxxxx xx 1 měsíce xx 1 xxxx.

Xxxxxxxx

Xxxxxx je xxxxx pravděpodobná až xxxxxxxx jistá.
Předpokládaná xxxxxxxxx xxxxxx xx xxxxxxxx xxx jednou za xxxxx.

Xxx. 2: Stupnice xxx xxxxxxxxx xxxxxxxxxxxxx

Xxxxxx

Xxxxx

Xxxxx

Xxxxxxxxxxxx xxxxxxxxxx xxxx je xxxxxxxx zranitelnosti xxxx xxxxxxxxxxxxx. Xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, která xxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx případné pokusy x xxxxxx zneužití.

Střední

Zneužití xxxxxxxxxxxxx xx xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxx zavedena xxxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxxxxx xx xxxxxxxxxx kontrolována. Xxxxxxxxx xxxxxxxxxxxxxx opatření xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx nebo případné xxxxxx x xxxxxxxxx xxxxxxxx xx omezena. Xxxxxx známé xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

Xxxxxx

Xxxxxxxx xxxxxxxxxxxxx je xxxxxxxxxxxxx xx xxxxx pravděpodobné. Xxxxxxxxxxxx xxxxxxxx jsou xxxxxxxx, ale xxxxxx xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx x xxxx pravidelně kontrolována. Xxxx xxxxx dílčí xxxxxxx xxxxxx o xxxxxxxxx bezpečnostních xxxxxxxx.

Xxxxxxxx

Xxxxxxxx xxxxxxxxxxxxx je xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx nebo xx jejich xxxxxxxx xxxxxx omezena. Neprobíhá xxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx. Jsou xxxxx xxxxxxx xxxxxx překonání xxxxxxxxxxxxxx xxxxxxxx.

Xxx. 3: Xxxxxxxx xxx xxxxxxxxx xxxxx

Xxxxxx

Xxxxx

Xxxxx

Xxxxxx je xxxxxxxxxx xx xxxxxxxxxxxxxx.

Xxxxxxx

Xxxxxx může xxx xxxxxxx xxxx xxxxxxxxx opatřeními nebo x případě vyšší xxxxxxxxxx xxxxxxxx xx xxxxxx akceptovatelné.

Vysoké

Riziko xx xxxxxxxxxx nepřípustné x xxxx xxx xxxxxxxx xxxxxxxxxxxx kroky x xxxx odstranění.

Kritické

Riziko xx xxxxxxxxxxx x xxxx xxx neprodleně xxxxxxxx xxxxx x xxxx xxxxxxxxxx.

Příloha x. 3 x xxxxxxxx č. 82/2018 Xx.

Xxxxxxxxxxxxx a xxxxxx

Xxxxxxxxxx: Xxxx xxxxxxx xxxxxxxx xxx vybrané xxxxxxxxx xxxxxxxxxxxxx x xxxxxx. Xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx x xxxxxx xx xxxxxxxxxxxx povinné xxxxx.

Xxxxxxxxxxxxx

1. xxxxxxxxxxxx údržba xxxxxxxxxxxx x komunikačního xxxxxxx,

2. zastaralost xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,

3. xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx,

4. nedostatečné xxxxxxxxxxxx xxxxxxxx uživatelů a xxxxxxxxxxxxxx,

5. xxxxxxxxxxxx údržba xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,

6. nevhodné xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,

7. xxxxxxxxxxxx xxxxxxx xxx xxxxxxxxxxxxxx x odhalení xxxxxxxxxxx xxxxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí a xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,

8. xxxxxxxxxxxx monitorování xxxxxxxx xxxxxxxxx x administrátorů x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxx nebo xxxxxxx způsoby chování,

9. xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxx nebo xxxxxxxxxxxxx vymezení xxxx x xxxxxxxxxx uživatelů, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx,

10. xxxxxxxxxxxx xxxxxxx xxxxx,

11. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,

12. xxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,

13. neschopnost xxxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxxx.

Xxxxxx

1. xxxxxxxx xxxxxxxxxxxx politiky, xxxxxxxxx neoprávněných činností, xxxxxxxx oprávnění xx xxxxxx uživatelů a xxxxxxxxxxxxxx,

2. xxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx vybavení,

3. zneužití xxxxxxxx,

4. užívání xxxxxxxxxxxx xxxxxxxx x rozporu x xxxxxxxxxx podmínkami,

5. xxxxxxxx xxx (xxxxxxxxx xxxx, xxxxxxx, xxxxxxx xxxx),

6. xxxxxxxx xxxxxxx xxxxxxxxxxx,

7. přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxx xxxxxxx,

8. zneužití xxxx xxxxxxxxxxx xxxxxxxxxx xxxxx,

9. xxxxxx, xxxxxxxx xxxx xxxxxxxxx xxxxxx,

10. xxxxxxxxxx xxxxxxxxx závazku xx xxxxxx dodavatele,

11. pochybení xx xxxxxx xxxxxxxxxxx,

12. xxxxxxxx vnitřních xxxxxxxxxx, xxxxxxx,

13. dlouhodobé xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxx,

14. xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,

15. cílený xxxxxxxxxxxx xxxx pomocí xxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxx,

16. xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx nosičů xxx,

17. napadení xxxxxxxxxxxx xxxxxxxxxx (odposlech, xxxxxxxxxx).

Příloha č. 4 x vyhlášce č. 82/2018 Xx.

Xxxxxxxxx xxx

(1) Xxxx xxxxxxx xxxxx xxxxxxxxxx správce xxxxxxxxxxxx x xxxxxxxxxxxxx systému x xxxxxxxxxx xxxxxxx xxxxxx xxx x xxxxxxx likvidace xxxxxxxxxxx xxxxxx xxxxxxxxx, xxxxxxxxxx xxxxx, xxxxxxxxx a xxxxxx xxxxx.

(2) Jednotliví xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx si xxxxxxx xxxxxxxx xxx xxxxxx dat x xxxxxxxxx technických xxxxxx xxx x xxxxxxx x xxxxx xxxxxxxx. Xxx xxxxxx xxxxxxx xxxxxxxxxx xxxxx jiných xxxxxxxx xxxxxxxx. Xx xxxxx xxxxxx xxxxxxxxx xxxxxx služby nabízející xxxxxxxxx xxxxxxxxxxxx opatření, xxxxxx xxxxxxxxxxx pravidel xxx xxxxxx dat x likvidaci xxxxxxxxxxx xxxxxx xxx, xxxxxxxx x xxxxxxx a xxxxxxxxxxx xxxxx.

(3) Xxxxxxxx xxx xxxxxxxxx dat xx xxxx xxx xxxxxxxxx přiměřeně hodnotě x xxxxxxxxxxx xxxxx x xxxx by xxxxxxx xxxxxxxxxxx

x) xxxxxxx xxxxxx (xxxxxxx x xxxxxxx xxxxxxxxxx),

x) technologii (xxxx x xxxxxxxx xxxxxx xxxxxxxxx),

x) xxx xx xxxxx xxxxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxxxx xx nikoliv,

d) xxx jsou xxxx xxxxxxxx dedikovaného xxxx xxxxxxxxxxxxxxx prostředí,

e) xxx xxxx xxxxxxxxx xxx xxxxxxxx (xxxxxxx zaměstnanec, xxxx xxxxxxxxx),

x) xxxxxxxxxx xxxxxxxx a nástrojů xxx xxxxxxxxx,

x) kapacitu xxxxxxxxxxxxx xxxxxx,

x) zda xx x xxxxxxxxx xxxxxxxxx xxxxxxxx,

x) xxxxxxx xxxxxxxxx xxxxxxxxx,

x) xxxx xxxxxxxxx s ohledem xx xxxxxxxx, xxxxxxx, xxxxxxxx, xxxxxxxx využití xxxxxx informace

k) xxxxx xxxxxxx xxxxxxxxx xxx (xxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxx, xxxxxxxxxxxxx xxx xxxxxx xxxxxxxxxx x xxxxxxx),

x) použitelné xxxxxxx xxxxxxxxx xxx xxxxxxxx xx stavu xxxxxx xxxxxxxxx (xxxxxxxxx xxx xxxxxxxxx zařízení nebude xxxxx použít xxxxxxxx xxxxxxx informace, xxx xxxxxxx xx xxxxxxx xxxxxxx xxxxxxxxx).

(4) Způsoby xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxx, xxxxxxxxxx xxxxx, xxxxxxxxx x jejich xxxxx:

x) Odstranění

1. Xxxxxx xxxxxxxxx xxxxxxx v xxxxxxxxxx xxx tak, xxx xxxx pro xxxxxx xxxxxxxxxx (xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxx, xxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxx).

2. Xxx x nejméně bezpečný xxxxxx likvidace dat. X xxxxxxx získání xxxxxx xxxxxxxxx xx xxxxx x vynaložením xxxxxxxx úsilí xxxxxxxxx xxxxxxx.

3. Xxxx xxxxxx xxxx xxxxxxxxxx pro xxxxxx xxxxxxxxxxx xxx xxxxxxxxxxxx xxxxxxxx xxxxx.

4. Xxxxxxxxxx xxxxxx xxx xxxxxx důvěrnosti xxxxxx (xxxxxxx x přílohy č. 1): xxxxx.

x) Přepsání

1. Způsob xxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxx.

2. Xxx x středně xxxxxxxx xxxxxx xxxxxxxxx dat. Xxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxx přepsaných xxxxxxxxx.

3. Xxxxxxxx může xxx xxxxxxxxx nebo xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx k xxxxxxxxxxx xxxxxxxxx.

4. Xxxx xxxxxx xxxx vhodná xxx xxxxxxxxx média, xxxxx neumožňující opětovný xxxxx, xxxxxxxx xxx xxxxx x xxxxxx xxxxxxxxx.

5. Xxxxxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1): nízká až xxxxxxxx.

x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx

1. Xxxxxx xxxxxxxxx spočívající ve xxxxxxx nosiče xxxxxxxxx, xxxxxxxxx v rozebrání xxxxxxxx a následném xxxxxxx nosiče xxxxxxxxx (xxxxxxxxxxx, xxxxxxxxx xx xxxxxxxx působením).

2. Jde x nejbezpečnější xxxxxx xxxxxxxxx dat. Xxxxx xxxxxxxxx po xxxxxxx xxxxxxxxx xxxxx xxxxx xxxxxx xxx původní xxxx. Původní informace xxxx xxxxx xxxxxxx xxx při xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx x xxxxx.

3. Xxxxxxxxxx xxxxxx xxxxxxxxx xxx xxxxxx důvěrnosti aktiva (xxxxxxx x přílohy č. 1): xxxxxxx xx kritická.

Příklad xxxxxxx xxxxxxx likvidace xxxxx xxxxxx důvěrnosti xxxxxx (xxxxxxx x přílohy č. 1)

Xxxxxxxxx xxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxxx xxxxxx

Xxxxx xxxxxxxxx

1. Nízká

2. Xxxxxxx

3. Xxxxxx

4. Xxxxxxxx

Xxxxxxxxx xx xxxxxx xxxxxxxx xxxxxx (xxxxxxx dokumenty, xxxxxxxx x xxxxxxx)

Xxxxxxxxxx: Xxxxxxxx xx xxxxxx.

Xxxxxxxx: Xxxxxxxxx.

Xxxxxxx xxxxxxxxx:
Xxxxxxxxxxxx nosiče xxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxx x xxxxxxxx x příčným xxxxx, xxxxxxxx xxxx rozložením.

Fyzická xxxxxxxxx:
Xxxxxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxx skartovacího stroje.

Mobilní xxxxxxxx (xxxxxxx telefony, xxxxxxx)

Xxxxxxxxxx:
Xxxxxxxx informací, reset xxxxxxxx xx xxxxxxxxx xxxxxxxxx.

Xxxxxxxx:
Xxx zařízení x xxxxxxxxxx úložištěm - xxxxxxxxxx xxxxxxxxx a xxxxx xx továrního xxxxxxxxx.

Xxxxxxx xxxxxxxxx:
Xxxxxxxxx zařízení x zničení xxxxxx xxxxxxxxx.

Xxxxxx zařízení (xxxxxx, xxxxxx, modem x xxxxxxx)

Xxxxxxxxxx:
Xxxxxxxx informací, xxxxx xx xxxxxxxxx nastavení.

Přepsání:
Odstranění x zahlcení xxxxxxx xxxxxxxxx (xxxxx xxxxxx xxxxxx, xxxxxxxxx xxxxxxx xxxxx x podobně.).

Kancelářské xxxxxxxx (xxxxxxx, xxxxxxxx, xxx)

Xxxxxxxxxx xxxxx (magnetické xxxxx, xxxxx, XXX [Xxxx Xxxx Xxxxx])

Xxxxxxxxxx:
Xxxxxxx xxx xx xxxxxx xxxxxxxxxxx xxxxxxx.

Xxxxxxxx:
Xxxxxxxx xxx. X xxxxxxx xxxxxxxxxxx xxxxx xx alternativou xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx

Xxxxxxx xxxxx (XX, XXX, HD-DVD, BLU-RAY)

Fyzická xxxxxxxxx:
Xxxxxxx xxxxxx xxxxxxxxx.

Xxxxxxx xxxxxxxxx.

Xxxxxxxxxxxx xxxxx (xxxxx xxxxxx)

Xxxxxxxxxxx x cloud

Přípustný xxxxxx xxxxxxxxx xxx xx xxx xxx xxxxxxxx smluvním xxxxxxxxx.

Xxxxxxxxxx:
Xxxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxx.

Xxxxxxxx:
Xxxxxxx šifrování xxxxxxxx xxxxxxx na xxxxxx xxxxxxxxxx média x bezpečná likvidace xxxxxxxxxxxxxxxx xxxxx.

Xxxxxxxx:
Xxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx na xxxxxx xxxxxxxxxx média x bezpečná likvidace xxxxxxxxxxxxxxxx klíčů uložených x certifikovaném xxxxxxxx xxxxxxxx modulu (XXX) xxxxxx zákazníkem (například xxxxx xxxxxxxxx XXXX 140-2 Xxxxx 2). Xxx xxxxxxxx xxxxxx xxxx xxxxxxxxxxx xxxxxx xxxxxxxxxx xxxx x xxxx xxxx xxxxxxxx.

Xxxxxxxx/xxxxxxx xxxxxxxxx:
Xxxxxx xxxxxx xxx xxxxxx "3. Xxxxxx" xxxx xxxxxxx xxxxxxxxxx xxxxxxxx kapacita xxxxxxxx. Xxx xxxxxxxx xxxxxx xxxxxxxxx xxxxxxx sanitizace xxxxx xxxxxxxxx xxxxxxxxxx xxxxx xxxxx xxxx xxxxxxxxx řádků pro xxxxxx kritická.

Alternativně v xxxxxxx dedikovaného xxxxxxxxxx xxxxx je možné xxxx po xxxxxxxx xxxxxx xxxxxxx.

Xxxxxxx č. 5 x xxxxxxxx x. 82/2018 Xx.

Xxxxx bezpečnostní xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx

1. Xxxxxxxxxxxx xxxxxxxx

1.1. Xxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx

x) Cíle, xxxxxxxx x xxxxxxx xxxxxx xxxxxxxxxxx informací.

b) Xxxxxx x xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.

x) Xxxxxxxx x xxxxxxx xxx řízení xxxxxxxxxxx.

x) Xxxxxxxx x xxxxxxx xxx řízení xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.

x) Pravidla x xxxxxxx pro provádění xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.

x) Xxxxxxxx x xxxxxxx xxx přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.

x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx opatření x xxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.

1.2. Xxxxxxxx xxxxxx xxxxx

x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx

1. xxxxxx a evidence xxxxxxxxxxxx xxxxxxxxxx aktiv xxxxxx xxxxxx xxxxxx xxxxxxx,

2. hodnocení důležitosti xxxxxxxxxx aktiv z xxxxxxxx důvěrnosti, integrity x xxxxxxxxxxx.

x) Identifikace, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx

1. určení x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,

2. xxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.

x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx úrovní xxxxx

1. xxxxxxx rozlišování xxxxxxxxxxxx xxxxxx xxxxx,

2. pravidla xxx xxxxxxxxxx x xxxxxxxx aktiv xxxxx xxxxxx xxxxx,

3. xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx.

x) Xxxxxxx xxxxxxxxxxxx xxxxxx xxxx ničení xxxxxxxxxxx xxxxxx xxx, xxxxxxxxx, xxxxxxxxxx xxxxx x xxxxxx kopií.

1.3. Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx

x) Xxxxxx xxxxxxxxxxxxxx xxxx x xxxxxx xxxx x xxxxxxxxxx.

x) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx bezpečnostních rolí.

c) Xxxxxxxxx xx oddělení xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxx.

1.4. Xxxxxxxx xxxxxx xxxxxxxxxx

x) Xxxxxxxx x xxxxxxxx xxx xxxxx xxxxxxxxxx.

x) Xxxxxxxx xxx hodnocení xxxxx xxxxxxxxxxxxx x xxxxxxxxxx.

x) Xxxxxxxxxxx smlouvy o xxxxxx služeb a xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření x x xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx.

x) Xxxxxxxx xxx provádění xxxxxxxx zavedení xxxxxxxxxxxxxx xxxxxxxx.

x) Pravidla pro xxxxxxxxx dodavatelů.

1.5. Politika xxxxxxxxxxx xxxxxxxx zdrojů

a) Xxxxxxxx xxxxxxx bezpečnostního xxxxxxxx a způsoby xxxx hodnocení

1. xxxxxxx x formy xxxxxxx xxxxxxxxx,

2. způsoby a xxxxx poučení garantů xxxxx,

3. xxxxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx,

4. xxxxxxx a xxxxx xxxxxxx xxxx zastávajících xxxxxxxxxxxx xxxx.

x) Xxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.

x) Xxxxxxxx pro řešení xxxxxxx porušení xxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.

x) Xxxxxxxx xxx xxxxxxxx pracovního xxxxxx xxxx xxxxx xxxxxxxx xxxxxx

1. vrácení xxxxxxxxx xxxxx x xxxxxxxx xxxx při xxxxxxxx xxxxxxxxxx xxxxxx,

2. xxxxx přístupových xxxxxxxxx xxx změně xxxxxxxx xxxxxx.

1.6. Xxxxxxxx xxxxxx xxxxxxx a xxxxxxxxxx

x) Xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx.

x) Xxxxxxx xxxxxxxxxx xxxxxxx.

x) Xxxxxxxxx a xxxxxxxxx xxxxxxxxxx xxxxxxx.

x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxxxxxxxxxxxx xxxxx.

1.7. Xxxxxxxx xxxxxx xxxxxxxx

x) Xxxxxxx xxxxxxxxxxx oprávnění/potřeba xxxx (xxxx xx know).

b) Xxxxxxxxx na xxxxxx xxxxxxxx.

x) Životní xxxxxx xxxxxx xxxxxxxx.

x) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.

x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.

x) Xxxxxxxxxx přezkoumání xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx uživatelů x xxxxxxxxxxxx xxxxxxxxx.

1.8. Xxxxxxxx xxxxxxxxxx chování xxxxxxxxx

x) Pravidla pro xxxxxxxx xxxxxxxxx s xxxxxx.

x) Xxxxxxxx použití xxxxxxxxxxxx xxxxx.

x) Xxxxxxxx xxxxxxx elektronické pošty x xxxxxxxx xx xxxxxxxx.

x) Xxxxxxxx xxxxxxxx xxxxxxx.

x) Xxxxxxxx xxxxxxx xx xxxxxxxxxx xxxxxx.

x) Xxxxxxxxxx xx vztahu x xxxxxxxx xxxxxxxxx.

1.9. Xxxxxxxx xxxxxxxxxx x xxxxxx x xxxxxxxxxxxx xxxxxxxx

x) Požadavky na xxxxxxxxxx a xxxxxx.

x) Xxxxxxxx a xxxxxxx xxxxxxxxxx.

x) Pravidla x xxxxxxx xxxxxxxxxxxx xxxxxxxx.

x) Xxxxxxxx xxxxxxxxxx zálohování x dlouhodobého xxxxxxxx xxxxxxxxx.

x) Xxxxxxxx x xxxxxxx xxxxxx.

x) Pravidla x xxxxxxx testování xxxxxxxxxx x xxxxxx.

x) Xxxxxxxx xxxxxxxx x xxxxxxx, xxxxxxxxx xxxxxxxxxx.

1.10. Xxxxxxxx xxxxxxxxxx xxxxxxxxx x výměny xxxxxxxxx

x) Xxxxxxxx x postupy xxx xxxxxxx předávaných xxxxxxxxx.

x) Xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx informací.

c) Xxxxxxxx pro xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.

1.11. Xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx

x) Xxxxxxxx pro xxxxxxx xxxxxxxxx xxxxxxxxxxxx vybavení.

b) Xxxxxxxx x xxxxxxx xxxxxxxxxxx opravných xxxxxxxxxxxx xxxxxxx.

x) Xxxxxxxx a xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.

x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxx programového xxxxxxxx.

1.12. Xxxxxxxx xxxxxxxxxx používání xxxxxxxxx zařízení

a) Xxxxxxxx x postupy xxx xxxxxxxx používání xxxxxxxxx xxxxxxxx.

x) Xxxxxxxx x xxxxxxx xxx zajištění xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx xxxxx nemá xx xxx xxxxxx.

1.13. Xxxxxxxx xxxxxxxx, xxxxxx x xxxxxx

x) Xxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx, xxxxx x xxxxxx.

x) Xxxxxx xxxxxxxxxxxxx.

x) Xxxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx vybavení x informací

1. xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxxx vybavení x xxxx evidence,

2. xxxxxxxx x xxxxxxx xxx xxxxxxxx dodržování xxxxxxxxxx xxxxxxxx.

1.14. Politika xxxxxxx xxxxxxxx údajů

a) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx údajů.

b) Xxxxx xxxxxxxxx a xxxxxxxxxxx organizačních opatření xxx xxxxxxx osobních xxxxx.

x) Xxxxx přijatých x provedených xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx údajů.

1.15. Politika xxxxxxx xxxxxxxxxxx

x) Pravidla xxx xxxxxxx xxxxxxx.

x) Xxxxxxxx xxx kontrolu xxxxxx xxxx.

x) Xxxxxxxx xxx xxxxxxx xxxxxxxx.

x) Xxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxx.

1.16. Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxx

x) Xxxxxxxx x postupy xxx xxxxxxxxx bezpečnosti xxxx.

x) Xxxxxx xxxx x xxxxxxxxxx xx bezpečný xxxxxx xxxx.

x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxxx x xxxxx xxxx.

x) Xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxxxxxx přístupu x xxxx.

x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx sítě x xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.

1.17. Xxxxxxxx xxxxxxx před xxxxxxxxx kódem

a) Pravidla x xxxxxxx xxx xxxxxxx xxxxxx xxxxxxxxxx.

x) Xxxxxxxx x postupy xxx xxxxxxx xxxxxxx x xxxxxxxxx datových xxxxxxx.

x) Xxxxxxxx a xxxxxxx xxx ochranu xxxxxxxxxx xxxxxx.

1.18. Politika xxxxxxxx x používání xxxxxxxx xxx detekci xxxxxxxxxxxxxx bezpečnostních událostí

a) Xxxxxxxx a xxxxxxx xxxxxxxx nástroje xxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.

x) Xxxxxxxx xxxxxxx xxx xxxxxxxxxxxxx a xxxxxxxxx na detekované xxxxxxxxxxxx bezpečnostní xxxxxxxx.

x) Xxxxxxxx x postupy xxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

1.19. Xxxxxxxx xxxxxxx x xxxxxx xxxxxxxx pro xxxx a vyhodnocení xxxxxxxxxxxxxx bezpečnostních xxxxxxxx

x) Xxxxxxxx x postupy xxx xxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

x) Xxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx vlastností nástroje xxx sběr x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.

1.20. Xxxxxxxx bezpečného xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx

x) Xxxxxx xxxxxxx x xxxxxxx na xxx x sílu xxxxxxxxxxxxxxxx xxxxxxxxx.

x) Pravidla kryptografické xxxxxxx xxxxxxxxx

1. xxx xxxxxxx po komunikačních xxxxxx,

2. při uložení xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx technický xxxxx dat.

c) Xxxxxx xxxxxx klíčů.

1.21. Xxxxxxxx xxxxxx změn

a) Xxxxxx x principy xxxxxx xxxxxxxxxx xxxx x xxxxx povinné xxxxx, xxxxxx procesech, xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx.

x) Xxxxxxxxxxxxx dopadů xxxxxxxxxx xxxx.

x) Způsob vedení xxxxxxxx a testování xxxxxxxxxx změn.

1.22. Xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx

x) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx.

x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxxxxx, evidenci x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.

x) Xxxxxxxx a xxxxxxx testování systému xxxxxxxx kybernetických bezpečnostních xxxxxxxxx.

x) Xxxxxxxx x xxxxxxx xxx vyhodnocení xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx x xxx xxxxxxxxxx xxxxxxxxxxxx bezpečnosti.

e) Xxxxxxxx xxxxxxxxx.

1.23. Xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx

x) Xxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxx.

x) Xxxx xxxxxx xxxxxxxxxx xxxxxxxx

1. minimální xxxxxx poskytovaných služeb,

2. xxxx xxxxxxxx xxxxx,

3. xxx xxxxxxxx dat.

c) Xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxx xxxxxxxxxx.

x) Xxxxxxx xxxxxxxxx xxxxxx kybernetických xxxxxxxxxxxxxx incidentů xx xxxxxxxxxx a posuzování xxxxxxxxxxxxx rizik.

e) Xxxxxx x xxxxx xxxxxxxxxx xxxxx xxxxxxxxxx a xxxxxxxxxxx plánů.

f) Xxxxxxx xxx realizaci xxxxxxxx xxxxxxxx Xxxxxx.

2. Xxxxx xxxxxxxxxxxx xxxxxxxxxxx

2.1. Zpráva x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx

x) Cíle xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.

x) Xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.

x) Xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.

x) Xxxxxxxxxxxxxx xxxx xxxxxxxx x xxxx, xxxxx xx auditu xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx.

x) Xxxxx x xxxxx, xxx xxxx xxxxxxxxx xxxxxxxx xxx auditu xxxxxxxxxxxx bezpečnosti.

f) Zjištění x auditu xxxxxxxxxxxx xxxxxxxxxxx.

x) Závěry xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.

2.2. Zpráva x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx

x) Xxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.

x) Xxxxxxxxxxxx xxxx a xxxxxxxxx, xxxxx xxxxx xxx xxxx xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx.

x) Zpětná vazba x xxxxxxxxxx xxxxxx xxxxxxxxxxx informací

1. xxxxxxx x xxxxxxxx opatření,

2. xxxxxxxx xxxxxxxxxxxx x xxxxxx,

3. výsledky xxxxxx,

4. xxxxxxxx xxxx xxxxxxx xxxxxx bezpečnosti informací.

d) Xxxxxxxx hodnocení rizik x xxxx xxxxx xxxxxxxx xxxxx.

x) Xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxx.

x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx xxxxxxxx x osob xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.

2.3. Xxxxxxxx pro identifikaci x hodnocení xxxxx x xxx xxxxxxxxx xxxxx

x) Určení stupnice xxx xxxxxxxxx primárních xxxxx

1. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxxxxxxx aktiv,

2. určení xxxxxxxx xxx xxxxxxxxx xxxxxx integrity aktiv,

3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.

x) Určení stupnice xxx xxxxxxxxx xxxxx

1. xxxxxx stupnice xxx xxxxxxxxx xxxxxx xxxxxx,

2. xxxxxx stupnice pro xxxxxxxxx úrovní hrozby,

3. xxxxxx stupnice xxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx,

4. xxxxxx stupnice xxx xxxxxxxxx úrovní xxxxx.

x) Xxxxxx x xxxxxxxx xxx xxxxxxxx xxxxx.

x) Xxxxxxx xxxxxxxxxxx akceptovatelných xxxxx.

2.4. Zpráva x xxxxxxxxx aktiv x xxxxx

x) Xxxxxxx xxxxxxxxxx xxxxx

1. identifikace a xxxxx xxxxxxxxxx xxxxx,

2. xxxxxx garantů xxxxxxxxxx xxxxx,

3. hodnocení primárních xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx.

x) Xxxxxxx xxxxxxxxxx xxxxx

1. xxxxxxxxxxxx a xxxxx xxxxxxxxxx aktiv,

2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,

3. xxxxxx xxxxx xxxx xxxxxxxxxx a xxxxxxxxxx aktivy.

c) Hodnocení xxxxx

1. xxxxxxxxx možných xxxxxx na xxxxxx,

2. xxxxxxxxx xxxxxxxxxxxx hrozeb,

3. xxxxxxxxx xxxxxxxxxxxx zranitelností, xxxxxxxxx existujících xxxxxxxx,

4. xxxxxxxxx úrovně xxxxxx, xxxxxxxxx xxxx úrovně x xxxxxxxx xxx xxxxxxxxxxxxxxxx xxxxx,

5. určení x xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx.

x) Xxxxxxxx xxxxx

1. xxxxx xxxxxxx zvládání xxxxx,

2. xxxxx xxxxxxxx x xxxxxx xxxxxxxxx.

2.5. Xxxxxxxxxx x aplikovatelnosti

a) Xxxxxxx vyloučených bezpečnostních xxxxxxxx požadovaných xxxxx xxxxxxxxx xxxxxx zdůvodnění, xxxx nebyla aplikována.

b) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx včetně xxxxxxx xxxxxx xxxxxxxxxxxx.

2.6. Xxxx xxxxxxxx xxxxx

x) Obsah x xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx xxxxxx xxxxx xx xxxxxxxxx xxxxxx.

x) Xxxxxxxx xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx zvládání xxxxx.

x) Osoby xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx opatření xxx zvládání xxxxx.

x) Xxxxxxx xxxxxxxx jednotlivých xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.

e) Xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

x) Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.

2.7. Xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx

x) Obsah x termíny poučení xxxxxxxxx, administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.

x) Xxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.

x) Xxxxxxxx, xxxxx xxxxxxxx xxxxxxx jednotlivých xxxxxxx x xxxxxx xxxx, které školení xxxxxxxxxxx.

x) Formy x xxxxxxx hodnocení plánu.

2.8. Xxxxxxxx změn

a) Evidence xxxxxxxxx cyklu významných xxxx.

x) Záznamy x xxxxxxx konfigurace xxxxxxxxxx xxxxx.

2.9. Xxxxxxx xxxxxxxxx xxxxx

Xxxxxxx xxxxxxxxx kontaktních xxxxx.

2.10. Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx předpisů, xxxxxxxxx xxxxxxxx a xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx

x) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.

x) Xxxxxxx vnitřních xxxxxxxx x jiných xxxxxxxx.

x) Přehled xxxxxxxxx xxxxxxx.

2.11. Xxxxx xxxxxxxxxx xxxxxxxxxxx

x) Xxxxxxxxx infrastruktury.

b) Xxxxxxx xxxxxxxx xxxxxxxx.

Příloha č. 6 x xxxxxxxx x. 82/2018 Xx.

Xxxxx xxx xxxxxx kybernetické bezpečnosti x xxxxxxxxxxxx xxxx

Xxxx xxxxxxx obsahuje xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxx uvedené x §6 x 7.

Xxx. 1: Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx

Xxxx:

Xxxxx pro xxxxxx xxxxxxxxxxxx bezpečnosti

Klíčové činnosti:

a) Xxxxxxxxxxx za xxxxxxx xxxxxx x xxxxxx xxxxxxxxxxxx bezpečnosti v xxxxx povinné xxxxx.
x) Xxxxxx rámce kybernetické xxxxxxxxxxx, směrování x xxxxx kybernetické xxxxxxxxxxx xxxxxxx xxxxx (definování xxxxxxxxxxxxx xxxx a xxxxxxxxx rozvoje v xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx).
x) Xxxxxxxx xxxx a xxxxxxxxxxxx x xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Definice xxxxxxxxx xx podávání xxxxx x xxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxx povinné xxxxx x xxxxxxxxxx, xxx xxxxxxx x naplňování xxxxxxxxxxx xxxx.

Xxxxx podmínky:

a) Xxxx výboru pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx být xxxxxxx
&xxxx;&xxxx; 1. xxxxxxxx vrcholového xxxxxx xxxx jím xxxxxxxx osoby,
   2. xxxxxxx kybernetické bezpečnosti.
b) Xxxxxxx xxxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxx scházejí, xxxxxxx průběh a xxxxxxx x xxxxxxx xxxx xxxxxxxxxx x xxxxxxxx nebo xxxxxxxxxxxx xxxxxx.

Xxx. 2: Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx

Xxxx:

Xxxxxxx kybernetické xxxxxxxxxxx

Xxxxxxx činnosti:

a) Odpovědnost xx xxxxxx xxxxxxx xxxxxx bezpečnosti informací.
b) Xxxxxxxxxx xxxxxxxxx xxx xxxxxxxxx xxxxxx povinné xxxxx.
x) Pravidelná xxxxxxxxxx x vrcholovým xxxxxxx xxxxxxx xxxxx.
x) Xxxxxxxxxxx Xxxxx x xxxxxxxxx xxxxx x xxxxx, Xxxxx zvládání rizik x Xxxxxxxxxx x xxxxxxxxxxxxxxxx xxxxxx xxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxxxxx xxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxx vytváření, xxxxxxxxx, xxxxxx, xxxxxx x xxxxxxxx xxxxxxxxxxxxxx vztahů x oblasti ICT.
f) Xxxxxxxxxx s GovCERT/CSIRT.
g) Xxxxxxxx se na xxxxxxx řízení xxxxx.
x) Xxxxxxxxxx xxxxxx xxxxxxxxx.
x) Xxxxxxxxxxxxx vhodnosti x xxxxxxxxx bezpečnostních xxxxxxxx.

Xxxxxxxx:

x) Xxxxx xxxx XXX/XXX 27000 a xxxxxxx xxxxx x xxxxxxx xxxxxxxxxxx a ICT.
b) Xxxxxxx x oblasti XXX (xxxxxxxx xxxxxxx, xxxxxxxx, xxxxxxxx, xxxxxx xxxx) x důrazem xx bezpečnost.
c) Xxxxxx xxxxx.
x) Xxxxxx xxxxxxxxxx xxxxxxxx.
x) Xxxxxxxxxx xxxxxx x xxxxxxxxxxx xxxxxxxxx, xxxxxxx zákon.
f) Xxxxxxx xxxxxxx osoby.

Zkušenosti:

a) Xxxxxxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx.
x) Porozumění definicím xxxxx x xxxxxxxxx xxxxxxxx.
x) Xxxxxx xxxxx x rámci xxxxxxx xxxxx.
x) Schopnost xxxxxxxxxxxxx xxxxxxxx řízení xxxxx x koordinovat xxxxxxxx xxxxx.

Xxxxxxxx x xxxxx:

x) Xxxxxxx 3 xxxx xxxxx x xxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxx
x) xxxxxxxxxxx xxxxxx na vysoké xxxxx x alespoň 1 rok xxxxx x xxxxx xxxxxxxxxx xxxx kybernetické bezpečnosti.

Relevantní xxxxxxxxxxx*:

Xxxxxxxxx Information Xxxxxxxx Xxxxxxx (XXXX), Xxxxxxxxx xx Risk and Xxxxxxxxxxx Systems Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Security Xxxxxxxxxxxx (XXXXX), Xxxxxxx XX (xxxxxxxxxxx schéma XXX).

Xxxxx xxxxxxxx:

x) Xxxx xxxx xxxxxxxxxx x rolemi xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx x x xxxxxxx provozními xx xxxxxxxx xxxxxx.
x) Xxx xxxxxxx výkon xxxx xxxx xx xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxx x xxxxxxxx.

Xxx. 3: Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx

Xxxx:

Xxxxxxxxx kybernetické bezpečnosti

Klíčové xxxxxxxx:

x) Xxxxxxxxxxx za xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Zajišťování xxxxxxxxxxxx xxxxxxxxxxx.

Xxxxxxxx:

x) Xxxxxxxxxxxx informačních x xxxxxxxxxxxxx xxxxxxx x její xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx, xxxxxxxx x architektury.
c) Operační xxxxxxx x xxxxxxxx.
x) Xxxxxxxxx xxxxxxx x xxxxxx xxxxxxxxx a xxxxxxxxx na ICT.
e) Xxxxxx bezpečnosti a xxxxx.
x) Xxxxxxxxxx xxxxxxxxxx x xxxx.
x) Xxxxxx xxxxxxx x xxxxxxxx.
x) Xxxxxxxxx x xxxxxxxxx xxxxxxxxxxx.
x) Bezpečnost xxxxxxx.
x) Xxxxxxxx xxxxxxxx bezpečného xxxxxx xxxxxxxx.
x) Integrace x závislosti ICT x xxxxxxxxxx procesů.

Zkušenosti:

a) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxxxx architektury xxxxxxxxxxx se xxxxxxxxx xx xxxx x xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxx xxxxxxxx.

Xxxxxxxx x praxe:

a) Xxxxxxx 3 xxxx xxxxx v xxxxx xxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxxxxx, nebo
b) xxxxxxxxxxx xxxxxx na xxxxxx xxxxx x xxxxxxx 1 rok xxxxx x oboru informační xxxx xxxxxxxxxxxx xxxxxxxxxxx.

Xxxxxxxxxx xxxxxxxxxxx*:

Xxxxxxxxx Ethical Hacker (XXX), CompTIA Xxxxxxxx +, Certified Xxxxxxxxxxx Xxxxxxxx Xxxxxxx (XXXX), Xxxxxxxxx in Xxxx xxx Xxxxxxxxxxx Systems Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Systems Security Xxxxxxxxxxxx (CISSP), Manažer XX (xxxxxxxxxxx schéma XXX).

Xxxxx podmínky:

Role není xxxxxxxxxx x xxxxxx xxxxxxxxxxx za xxxxxx xxxxxxxxxxxx x komunikačních xxxxxxx.

Xxx. 4: Auditor xxxxxxxxxxxx xxxxxxxxxxx

Xxxx:

Xxxxxxx kybernetické xxxxxxxxxxx

Xxxxxxx xxxxxxxx:

Xxxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.

Xxxxxxxx:

x) Metodologie x xxxxx xxxxxx xxxxxxxxxx bezpečnosti.
b) Procesy x postupy interního xxxxxx.
x) Xxxx a xxxxxx xxxxxxxxx auditu.
d) Xxxxxx xxxxxxxxx xxxxxx XXX bezpečnosti.
e) Xxxxxxxxxxx x xxxxxxxx xxxxxx XXX.
x) Akvizice, xxxxx x xxxxxxxx XXX.
x) Xxxxxx xxxxxxx, údržby x xxxxxx XXX.
x) Xxxxxxx xxxxx.
x) Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxx xxxxxxxxx x vzorkování.
j) Xxxxxxxxxx xxxxxx xxxxxxxx.
x) XXX bezpečnost.

Zkušenosti:

a) Xxxxxxxxx xxxxxx informační xxxx xxxxxxxxxxxx bezpečnosti.
b) Xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx xxxx auditů systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxxxxx výsledků xxxxxx.
x) Xxxxx auditních závěrů, xxxxxx prezentace x xxxxxxxxxx doporučení xxxxxxxxx x nápravě xxxxxx.
x) Xxxxxxxxx stavu xxxxxx xxxxxxxxx xxxxxxxxx.
x) Provádění xxxxxx xx zaměřením xx XXX a xxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxx.

Xxxxxxxx x praxe:

a) Xxxxxxx 3 xxxx xxxxx x xxxxxxx xxxxxx informační xxxx xxxxxxxxxxxx xxxxxxxxxxx, nebo
b) xxxxxxxxxxx xxxxxx na xxxxxx škole x xxxxxxx 1 xxx xxxxx x oblasti xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx bezpečnosti.

Relevantní xxxxxxxxxxx*:

Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXX), Certified Xxxxxxxx Xxxxxxx (XXX), Certified xx Xxxx and Xxxxxxxxxxx Systems Xxxxxxx (XXXXX), Xxxx Xxxxxxx Xxxxxxxxxxx Xxxxxxxx Management Xxxxxx (Lead Xxxxxxx XXXX), Auditor XX (xxxxxxxxxxx schéma ČIA).

Další xxxxxxxx:

x) Xxxx xxxx xxxxxxxxxx x xxxxxx
&xxxx;&xxxx; 1. výboru pro xxxxxx kybernetické xxxxxxxxxxx,
&xxxx;&xxxx; 2. manažera xxxxxxxxxxxx xxxxxxxxxxx,
&xxxx;&xxxx; 3. xxxxxxxxxx xxxxxxxxxxxx bezpečnosti,
   4. xxxxxxx xxxxxx.
x) Xxxx xxxx xxxxxxxxxx s xxxxxx odpovědnými za xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.

Xxx. 5: Xxxxxx aktiva

Role:

Garant xxxxxx

Xxxxxxx xxxxxxxx:

x) Xxxxxxxxxxx xx xxxxxxxxx rozvoje, xxxxxxx x xxxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx x xxxxxxxxx xxxxxxx zastávajícími xxxxxxxxxxxx xxxx.

Xxxxxxxx:

x) Dobrá znalost xxxxxx, xxxxx je xxxxxxxx.
x) Xxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx x metodik (xxxxxxxxx Xxxxxxxx xxx hodnocení xxxxx x rizik).

* Xxxxxxxxxxx xxxx být x xxxx xxx xxxxxxx, jestliže xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx XXX 17 024.

Xxxxxxx č. 7 x vyhlášce č. 82/2018 Xx.

Xxxxxx dodavatelů - xxxxxxxxxxxx xxxxxxxx xxx smluvní xxxxxx

Xxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx:

x) ustanovení x xxxxxxxxxxx xxxxxxxxx (x xxxxxxx xxxxxxxxxx, xxxxxxxxxxx a integrity),

b) xxxxxxxxxx x oprávnění xxxxxx data,

c) xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxx x xxxxxxxxxxxx licencích,

d) ustanovení x kontrole x xxxxxx dodavatele (xxxxxxxx xxxxxxxxxxxx xxxxxx),

x) xxxxxxxxxx xxxxxxxxxx xxxxxxxx dodavatelů, xxxxxxx xxxx být xxxxxxxxx, xx xxxxxxxxxxxxx xx xxxxxx dodržovat x xxxxx xxxxxxx xxxxxxxx xxxx povinnou xxxxxx x xxxxxxxxxxx x nebudou x xxxxxxx s xxxxxxxxx xxxxxxx xxxxx na xxxxxxxxxx,

x) xxxxxxxxxx o xxxxxxxxxx dodavatele xxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxx xxxx ustanovení x odsouhlasení xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx xxxxxx,

x) xxxxxxxxxx x xxxxxx xxxx,

x) xxxxxxxxxx x xxxxxxx smluv x xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx,

x) ustanovení x xxxxxxxxxx dodavatele xxxxxxxxxx xxxxxxxx xxxxx x

1. xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxx,

2. způsobu xxxxxx xxxxx xx xxxxxx xxxxxxxxxx a x xxxxxxxxxx rizicích xxxxxxxxxxxxx x xxxxxxx xxxxxxx,

3. xxxxxxxx xxxxx xxxxxxxx xxxxxx dodavatele xxxxx zákona o xxxxxxxxxx xxxxxxxxxxx xxxx xxxxx xxxxxxxxxxx zásadních xxxxx, xxxxxxxxx změně xxxxxxxxx xxxxxxxx x xxxxxx xxxxxx, xxxxxxxxxxx xxxxx dodavatelem x xxxxxx xxxxx xxxxxxx xx xxxxxxxx,

x) xxxxxxxxxxx xxxxxxxx z pohledu xxxxxxxxxxx xxx ukončení xxxxxxx (xxxxxxxxx přechodné xxxxxx při ukončení xxxxxxxxxx, xxx xx xxxxx ještě udržovat xxxxxx před nasazením xxxxxx xxxxxx, migrace xxx a xxxxxxx),

x) xxxxxxxxxxx xxxxxxxx xxx xxxxxx kontinuity činností x souvislosti x xxxxxxxxxx (xxxxxxxxx zahrnutí xxxxxxxxxx xx havarijních xxxxx, úkoly dodavatelů xxx aktivaci řízení xxxxxxxxxx xxxxxxxx),

x) xxxxxxxxxxx xxxxxxxx pro xxxxxx xxxxxxx dat, xxxxxxxxxx xxxxx a xxxxxxxxx xx xxxxxxxx xxxxxxxx,

x) xxxxxxxx xxx xxxxxxxxx xxx,

x) xxxxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxxxx xx smlouvy x xxxxxxx významné změny xxxxxxxx xxx dodavatelem xxxx xxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxx smlouvy x

x) xxxxxxxxxx x xxxxxxxx xx xxxxxxxx xxxxxxxxxx.

Xxxxxxx x. 8 x xxxxxxxx x. 82/2018 Sb.

Vzor Formuláře xxx xxxxxxx xxxxxxxxxxx xxxxx

Vyplnitelný formulář ve formátu PDF

Xxxxxxxxx

Xxxxxx xxxxxxx x. 82/2018 Sb. xxxxx xxxxxxxxx xxxx 28.5.2018.

Ke xxx xxxxxxxx xxxxxx xxxxxxx nebyl xxxxx xx doplňován.

Znění xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx v xxxxxxxx xxxx aktualizováno, xxxxx se xxxx xxxxxx xxxxxxxxx změna xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.

1) Směrnice Xxxxxxxxxx xxxxxxxxxx x Xxxx (XX) 2016/1148 ze xxx 6. xxxxxxxx 2016 o xxxxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxx x xxxxxxxxxxxx xxxxxxx x Xxxx.