Právní předpis byl sestaven k datu 31.10.2025.
Zobrazené znění právního předpisu je účinné od 28.05.2018 do 31.10.2025.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
82/2018 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení aktiv §4
Řízení rizik §5
Organizační bezpečnost §6
Bezpečnostní role §7
Řízení dodavatelů §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení změn §11
Řízení přístupu §12
Akvizice, vývoj a údržba §13
Zvládání kybernetických bezpečnostních událostí a incidentů §14
Řízení kontinuity činností §15
Audit kybernetické bezpečnosti §16
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §17
Bezpečnost komunikačních sítí §18
Správa a ověřování identit §19
Řízení přístupových oprávnění §20
Ochrana před škodlivým kódem §21
Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů §22
Detekce kybernetických bezpečnostních událostí §23
Sběr a vyhodnocování kybernetických bezpečnostních událostí §24
Aplikační bezpečnost §25
Kryptografické prostředky §26
Zajišťování úrovně dostupnosti informací §27
Průmyslové, řídicí a obdobné specifické systémy §28
Digitální služby §29
HLAVA III - BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní politika a bezpečnostní dokumentace §30
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Kategorizace kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ZÁVĚREČNÁ USTANOVENÍ
Přechodná ustanovení §35
Zrušovací ustanovení §36
Účinnost §37
Příloha č. 1 - Hodnocení aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Zranitelnosti a hrozby
Příloha č. 4 - Likvidace dat
Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace
Příloha č. 6 - Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role
Příloha č. 7 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy
Příloha č. 8 - Vzor Formuláře pro hlášení kontaktních údajů
82
XXXXXXXX
xx xxx 21. xxxxxx 2018
x bezpečnostních xxxxxxxxxx, kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxx podání x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x likvidaci xxx (xxxxxxxx o xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx xxxx xxx xxxxxxxxxxxxx a informační xxxxxxxxxx xxxxxxx xxxxx §28 xxxx. 2 xxxx. x) xx x) x x) xxxxxx x. 181/2014 Xx., o kybernetické xxxxxxxxxxx a x xxxxx xxxxxxxxxxxxx xxxxxx (xxxxx x xxxxxxxxxxxx xxxxxxxxxxx), ve xxxxx xxxxxx č. 104/2017 Xx. x xxxxxx x. 205/2017 Sb., (xxxx jen "xxxxx"):
XXXX XXXXX
XXXXXX USTANOVENÍ
§1
Předmět xxxxxx
Xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx předpis Xxxxxxxx xxxx1) x xxx xxxxxxxxxx systém xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxxxxx xxxxxx xxxxxxxx služby xxxxx xxxxxxxxxx xxxxxx xxxx xxx elektronických komunikací, xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx služeb, (dále xxx "informační x xxxxxxxxxxx xxxxxx") xxxxxxxx
x) xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) obsah x xxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxx, xxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx a xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx,
x) xxxxxxxxxxx oznámení x provedení xxxxxxxxxxx xxxxxxxx x jeho xxxxxxxx,
x) xxxx oznámení xxxxxxxxxxx xxxxx x xxxx formu x
x) xxxxxx xxxxxxxxx dat, xxxxxxxxxx údajů, xxxxxxxxx x xxxxxx xxxxx.
§2
Xxxxxxxx pojmů
Pro xxxxx xxxx vyhlášky se xxxxxx
x) xxxxxxxxxxxxxxx xxxxx xxxxxxxxxxx správu, provoz, xxxxxxx, xxxxxx x xxxxxxxxxx xxxxxxxxxxx aktiva,
b) xxxxxxxxxxxxxxx rizikem xxxxxx, xxxxx xx přijatelné xxx orgán xxxx xxxxx, xxxxx xxxx xxxxxxx xxxxxx bezpečnostní xxxxxxxx xxxxx zákona, (xxxx xxx "xxxxxxx xxxxx") x xxxx xxxxx jej xxxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxx x xxxxxxxx, xxxxx určují xxxxxx zajištění xxxxxxx xxxxx,
x) xxxxxxxxxx rizik xxxxxxx xxxxxx identifikace, xxxxxxx a xxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxx škodu,
f) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, zaměstnanci x xxxxxxxxxx xxxxxxxxxx xx xx provozu, xxxxxxx, xxxxxx nebo xxxxxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
x) primárním xxxxxxx xxxxxxxxx nebo xxxxxx, xxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx a xxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxx, xx určitá xxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxx x způsobí xxxxx,
x) xxxxxxx xxxxx xxxxxxx zahrnující hodnocení xxxxx, xxxxx a xxxxxxxx xxxxxxxx ke xxxxxxxx rizik, xxxxxxx xxxxxxxxx o riziku x sledování x xxxxxxxxxxx xxxxx,
x) systémem xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx systému xxxxxx xxxxxxx xxxxx xxxxxxxx xx xxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému, xxxxx xxxxxxx způsob xxxxxxxx, xxxxxxxx, provozování, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx informací x xxx,
x) xxxxxxxxxx xxxxxxx takové xxxxxxxxx xxxxxxxx, xxxxxxxxxxx prostředky x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx x objekty, xx xxxxxxx xxxx xxxx systémy xxxxxxxx, xxxxxxx xxxxxxx může xxx xxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx fyzická xxxx xxxxxxxxx xxxxx xxxxx xxxxx veřejné xxxx, které xxxxxxxxx xxxxxx,
x) vrcholovým vedením xxxxx xxxx xxxxxxx xxxx, které xxxx xxxxxxxx xxxxx, xxxx xxxxxxxxxx xxxxx povinné xxxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx (dále xxx "xxxxxxxxxxxx") a xxxxx, kdo x xxxxxxxx xxxxxx xxxxxxxx xx xxxxxxxx vztahu, xxxxx je xxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
x) xxxxxxxxx xxxxxx xxxxx, xxxxx má xxxx xxxx xxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxx xxxxxx,
x) xxxxxxxxxxxxx xxxxx xxxxx aktiva xxxx slabé xxxxx xxxxxxxxxxxxxx opatření, xxxxx xxxx xxx xxxxxxxx xxxxxx xxxx více xxxxxxxx.
XXXX DRUHÁ
BEZPEČNOSTNÍ OPATŘENÍ
HLAVA X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx x xxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx
x) xxxxxxx x ohledem xx xxxxxxxxx xxxxxxxxx xxxxx a organizační xxxxxxxxxx rozsah xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xx kterém určí xxxxxxxxxxx části x xxxxxx, xxxxx se xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx,
x) stanoví xxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxx xxxxxxxxx xxxxxx systému xxxxxx xxxxxxxxxxx informací xx základě cílů xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxxxxxxxxxxx potřeb x xxxxxxxxx xxxxx xxxxxx přiměřená xxxxxxxxxxxx xxxxxxxx,
x) xxxx xxxxxx xxxxx §5,
x) xxxxxxx x schválí xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx potřeby, xxxxx x povinnosti ve xxxxxx k řízení xxxxxxxxxxx informací, x xx základě xxxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxx rizik stanoví xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §30 x xxxxxx xxxxxxxxx xxxxxxxxxxxx opatření,
f) xxxxxxx xxxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx (xxxx xxx "xxxxx kybernetické bezpečnosti") xxxxx §16,
g) xxxxxxx xxxxxxxxxx vyhodnocování xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx obsahuje xxxxxxxxx xxxxx systému xxxxxx xxxxxxxxxxx informací xxxxxx xxxxxx xxxxxxxxx xxxxx, posouzení výsledků xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x dopadů xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx xxxxxx xxxxxx xxxxxxxxxxx informací,
h) xxxxxxxx xxxxxxxxxxxx a xxxxxxxx xxxxx §11 xxxx xxxxxxxx změny, xxxxx xxxxx xx rozsahu xxxxxxx řízení bezpečnosti xxxxxxxxx,
x) xxxxxxxxxxx systém xxxxxx xxxxxxxxxxx xxxxxxxxx x příslušnou xxxxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx vyhodnocení xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x v xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxx změnami x
x) xxxx xxxxxx a xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxx xx xxxxxxxx řízení xxxxxxxxxxx informací a xxxxxxx xxxxx.
§4
Xxxxxx xxxxx
(1) Xxxxxxx xxxxx x rámci xxxxxx aktiv
a) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxx xxx xxxxxxxxx aktiv xxxxxxx v xxxxxxx xxxxxxxx x příloze č. 1 x xxxx vyhlášce,
c) xxxxxxxxxxxx a eviduje xxxxxx,
x) xxxx a xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx a eviduje xxxxxxxx xxxxxx z xxxxxxxx důvěrnosti, xxxxxxxxx x xxxxxxxxxxx x xxxxxx je xx xxxxxxxxxxxx xxxxxx xxxxx xxxxxxx x),
x) xxxx x xxxxxxx xxxxx xxxx primárními x xxxxxxxxxx xxxxxx a xxxxxxx xxxxxxxx závislostí xxxx xxxxxxxxxx x xxxxxxxxxx aktivy,
g) hodnotí xxxxxxxx aktiva x xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxx x),
x) na xxxxxxx xxxxxxxxx xxxxx xxxxxxxxx x xxxxxx xxxxxxxx ochrany xxxxx xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxx způsoby xxxxxxxxx xxxxx x pravidla xxx manipulaci x xxxxxx s xxxxxxx xx úroveň aktiv, xxxxxx xxxxxxxx pro xxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxx xxxxx, x
x) xxxx xxxxxx xxxxxxxxx xxx, xxxxxxxxxx xxxxx, informací x xxxxxx kopií xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx dat x xxxxxxx na xxxxxx xxxxx x souladu x přílohou č. 4 x xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx xxxxxxxxxxx primárních xxxxx je xxxxx xxxxxxxx xxxxxxx
x) xxxxxx x xxxxxxxxxx xxxxxxxx xxxxx, xxxxxxxxxx kategorií xxxxxxxx údajů xxxx xxxxxxxxxx tajemství,
b) xxxxxx xxxxxxxxx xxxxxxxx povinností xxxx xxxxxx xxxxxxx,
x) xxxxxx narušení vnitřních xxxxxxxx a xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, xxxxxxxxxx xxxx ekonomických xxxxx a možné xxxxxxxx ztráty,
e) xxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxx narušení xxxxxxx xxxxxxxx,
x) xxxxxx xx zachování xxxxxxx xxxxx xxxx xxxxxxx xxxxx pověsti,
h) xxxxxx xx xxxxxxxxxx x xxxxxx osob,
i) xxxxxx xx xxxxxxxxxxx xxxxxx x
x) dopady xx xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému.
§5
Xxxxxx rizik
(1) Povinná xxxxx x rámci xxxxxx xxxxx v xxxxxxxxxx xx §4
a) xxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx, xxxxxx xxxxxxxxx xxxxxxxx pro xxxxxxxxxxxxxxxx xxxxx,
x) s xxxxxxx xx aktiva xxxxxxxxxxxx relevantní hrozby x xxxxxxxxxxxxx; přitom xxxxxxx xxxxxxx xxxxxxxxx xxxxxx a xxxxxxxxxxxxx xxxxxxxxx v příloze č. 3 x xxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxxx intervalech xxxxx xxxxxxxx 2 x xxx xxxxxxxxxx xxxxxxx,
x) xxx xxxxxxxxx xxxxx xxxxxxxx relevantní xxxxxx x xxxxxxxxxxxxx x xxxxxxx xxxxx xxxxxx xx aktiva; xxxx rizika xxxxxxx xxxxxxx x xxxxxxx přílohy č. 2 x této xxxxxxxx,
x) xxxxxxxx xxxxxx x hodnocení rizik,
f) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx potřeb a xxxxxxxx hodnocení xxxxx xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxx opatření xxxxxxxxxxxx xxxxx xxxxxxxxx, xxxxx
1. xxxxxx xxxxxxxxxx, včetně xxxxxxxxxx,
2. xxxx aplikována, xxxxxx xxxxxxx plnění,
g) xxxxxxxx x zavede xxxx xxxxxxxx rizik, xxxxx obsahuje xxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx rizik, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x xxxxxxxxxx zdroje, xxxxxx jejich xxxxxxxx, xxxxx xxxxx xxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxx xxxxxxxxx xxxxx x x xxxxx xxxxxxxx xxxxx xxxxxxxx
1. xxxxxxxx xxxxx,
2. xxxxx rozsahu xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
3. xxxxxxxx xxxxx §11 xxxxxx x
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx, včetně xxxxx xxxxxxxx, a
i) x souladu x xxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxxxxxx opatření.
(2) Xxxxxxx xxxxx uvedená x §3 xxxx. x), d) a x) xxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxx x xxxxxxx xxxxx uvedená x §3 písm. x) xxxxxx xxxxxxx xxxxxx xx xxx xxxx.
(3) Xxxxxx rizik xxxx být xxxxxxxxx x jinými xxxxxxx, xxx xxx je xxxxxxxxx v xxxxxxxx 1 xxxx. x), xxxxx xxxxxxx xxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx zajistí xxxxxxx xxxx xxxxx úroveň xxxxxxx řízení xxxxx.
§6
Organizační bezpečnost
(1) Xxxxxxx xxxxx s ohledem xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx systému xxxxxx bezpečnosti xxxxxxxxx xxxxx §3 xxxxxxxxxxxx xx xxxxxxxxxxxx směřováním xxxxxxx osoby,
b) xxxxxxx xxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxxxxx povinné xxxxx,
x) xxxxxxx xxxxxxxxxx zdrojů xxxxxxxxxx xxx xxxxxx xxxxxx xxxxxxxxxxx informací,
d) xxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxx x jeho požadavky xx všemi xxxxxxxxx xxxxxxxx,
x) xxxxxxx podporu x xxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) vede xxxxxxxxxxx k xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxx je při xxxxx rozvíjení,
g) xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx osoby zastávající xxxxxxxxxxxx role při xxxxxxxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxx jejich xxxxxxxxxxxx,
x) zajistí xxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx a xxxx, xxxxx budou xxxxxxxx xxxxxxxxxxxx role,
j) xxxxxxx, xxx byla zachována xxxxxxxxxxx administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxx xxxxx xxxxxxxxxxx bezpečnostní xxxx xxxxxxx příslušné xxxxxxxxx x xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx xxxx x xxxxxx xxxxxxxxxxxxx xxxxx a
l) zajistí xxxxxxxxx xxxxx kontinuity xxxxxxxx, obnovy a xxxxxxx spojených se xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
(2) Xxxxxxx xxxxx x xxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx složení xxxxxx xxx řízení kybernetické xxxxxxxxxxx a bezpečnostní xxxx x jejich xxxxx x povinnosti xxxxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(3) Xxxxxxx xxxxx xxxxxxx x §3 písm. x), d) a x) xxxxxx určí xxxxx, xxxxx xxxx xxxxxxxx bezpečnostní xxxx
x) xxxxxxxx xxxxxxxxxxxx bezpečnosti,
b) xxxxxxxxxx xxxxxxxxxxxx bezpečnosti,
c) xxxxxxx xxxxxx x
x) xxxxxxxx xxxxxxxxxxxx bezpečnosti.
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x garanta xxxxxx. Ostatní bezpečnostní xxxx xxxxx odstavce 3 určí xxxxxxxxx xxxxxxxx k xxxxxxx x potřebám xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(5) Xxxxxxx osoba uvedená x §3 xxxx. x), x) x x) xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx v odstavci 3 xxxx. a) x b).
(6) Povinná xxxxx uvedená x §3 xxxx. x) xxxxxx zajistí xxxxxxxxxxxxxx xxxxxxxxxxxx role xxxxxxxx xxxxxxxxxxxx bezpečnosti.
(7) Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx tvořen xxxxxxx x příslušnými xxxxxxxxxxx a xxxxxxxx xxxxxxxxxxxx pro celkové xxxxxx x xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xx podílejícími xx xxxxxx a xxxxxxxxxx činností spojených x kybernetickou xxxxxxxxxxx, xxxxx xxxxxx xxxx xxx xxxxxxx xxxxx xxxxxxxx xxxxxxxxxxx vedení xxxx jím xxxxxxxx xxxxx a xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx. Povinná xxxxx x výboru xxx řízení kybernetické xxxxxxxxxxx přihlédne x xxxxxxxxxxx xxxxxxxx x příloze č. 6 k této xxxxxxxx.
§7
Xxxxxxxxxxxx xxxx
(1) Xxxxxxx xxxxxxxxxxxx bezpečnosti
a) xx xxxxxxxxxxxx xxxx xxxxxxxxx xx xxxxxx řízení xxxxxxxxxxx informací, xxxxxxx xxxxxxx xxxx xxxx xxxx xxx xxxxxxxx xxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx x prokáže xxxxxxxx xxxxxxxxxxx xxxxx x řízením kybernetické xxxxxxxxxxx xxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx
1. xx xxxx xxxxxxx xxx let, nebo
2. xx dobu xxxxxxx xxxx, pokud xxxxxxxxxxx xxxxxxx xx vysoké xxxxx,
x) xxxxxxxx za xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxx x
1. xxxxxxxxxx xxxxxxxxxxxxx z rozsahu xxxx odpovědnosti x
2. xxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx a
c) xxxxx xxx pověřen xxxxxxx xxxx xxxxxxxxxxx xx provoz informačního x xxxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxxxx xxxxxxxxxxxx bezpečnosti xx bezpečnostní xxxx xxxxxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx tak, xxx xxxx xxxxxxxxx bezpečná xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému, xxxxxxx xxxxxxx xxxx xxxx xxxx xxx xxxxxxxx xxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx praxí x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxx xxxxxxx xxx xxx, nebo
b) xx dobu jednoho xxxx, pokud xxxxxxxxxxx xxxxxxx na xxxxxx xxxxx.
(3) Garant xxxxxx xx xxxxxxxxxxxx xxxx xxxxxxxxx za xxxxxxxxx xxxxxxx, xxxxxxx a xxxxxxxxxx aktiva.
(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxxxxxxxxxx xxxx odpovědná xx xxxxxxxxx auditu xxxxxxxxxxxx bezpečnosti, přičemž xxxxxxx této xxxx xxxx xxx xxxxxxxx xxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx způsobilost xxxxx x xxxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxx xxxxxxx řízení xxxxxxxxxxx informací
1. xx xxxx nejméně xxx xxx, xxxx
2. po xxxx xxxxxxx xxxx, xxxxx xxxxxxxxxxx studium xx vysoké škole,
b) xxxxxxxx, xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxx, x
x) xxxxx xxx xxxxxxx xxxxxxx jiných xxxxxxxxxxxxxx xxxx.
(5) Xxxxxxx osoba xxx xxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role xxxxxxxxx x doporučením xxxxxxxx x příloze č. 6 x xxxx vyhlášce.
§8
Xxxxxx xxxxxxxxxx
(1) Povinná xxxxx
x) stanoví xxxxxxxx xxx dodavatele, xxxxx xxxxxxxxxx xxxxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx,
x) xxxx xxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxx xxx xxxxxxxx dodavatele o xxxxxx xxxxxxxx xxxxx xxxxxxx b),
d) seznamuje xxx xxxxxxxxxx s xxxxxxxx podle xxxxxxx x) x xxxxxxxx xxxxxx těchto pravidel,
e) xxxx xxxxxx xxxxxxx x xxxxxxxxxx,
x) v xxxxxxxxxxx s řízením xxxxx spojených s xxxxxxxxxx xxxxxxxxxx xxxxxxx, xxx smlouvy uzavírané x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx oblasti xxxxxxx v příloze č. 7 x xxxx vyhlášce, x
x) pravidelně přezkoumává xxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxx x xxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx u xxxxxxxxxx xxxxxxxxxx xxxx
x) x xxxxx xxxxxxxxxx xxxxxx x před xxxxxxxxx xxxxxxx provádí xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxxx výběrového xxxxxx přiměřeně xxxxx přílohy č. 2 x xxxx xxxxxxxx,
x) v xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx xxxxxxx x xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx x xxxx xxxxx xxxxxxxx smluvní xxxxxxxxxxxx xx xxxxxxxx x kontrolu xxxxxxxxxxxxxx xxxxxxxx,
x) provádí xxxxxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxx kontrolu xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxx xxxxxx pomocí xxxxxxxxx zdrojů xxxx xxxxxx xxxxx xxxxxx x
x) x xxxxxx xx xxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxx.
(3) Xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 1 xxxx. x) xxxx
x) xxxxxxxxxxxx xxxxxxx nebo provozovatele,
b) xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx systému,
c) identifikace xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx x skutečnosti, xx xxxxxxxxx je pro xxxxxxx xxxxxxxxx dodavatelem, x xxxxxxxxx xxxx x xxx, xx xxxxxxxx xxxxxxxxx xx xxxxxxx provozovatelem, a
e) xxxxx xxxxxxxx xxxxx xxxxxxxx 1 xxxx. x).
(4) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. c) xx x) zákona, xxxxx xx provozovatelem x xxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 1 xxxx. x), xxxxx xxxxxxxxx xxxxx formou xxxxxxxx x §34.
§9
Bezpečnost lidských zdrojů
(1) Xxxxxxx osoba v xxxxx řízení xxxxxxxxxxx xxxxxxxx zdrojů
a) x xxxxxxx xx xxxx x xxxxxxx systému xxxxxx xxxxxxxxxxx informací xxxxxxx xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, jehož xxxxx xx xxxxxxxx xxxxxxxxxxxx vzdělávání x xxxxxxxxxx xxxxxxxxxxxxxx povědomí x xxxxx obsahuje xxxxx, xxxxx a xxxxxx
1. poučení xxxxxxxxx, xxxxxxxxxxxxxx, xxxx zastávajících xxxxxxxxxxxx xxxx x xxxxxxxxxx x xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx xxxxxxxx x
2. xxxxxxxxxx xxxxxxxxxxxx i xxxxxxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx bezpečnostní role,
b) xxxx xxxxx xxxxxxxxx xx realizaci jednotlivých xxxxxxxx, xxxxx xxxx x xxxxx xxxxxxx,
x) x souladu x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, osob xxxxxxxxxxxxx xxxxxxxxxxxx role x dodavatelů o xxxxxx xxxxxxxxxxxx a x bezpečnostní politice xxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) xxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx, xxxxxxx vychází x xxxxxxxxxx xxxxxx xxxxxxx xxxxx v xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) v xxxxxxx x plánem xxxxxxx bezpečnostního xxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxxx bezpečnostního xxxxxxxx xxxxxxxxxxx x xxxxxxx s jejich xxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxxx dodržování xxxxxxxxxxxx xxxxxxxx ze strany xxxxxxxxx, administrátorů x xxxx zastávajících xxxxxxxxxxxx xxxx,
x) x případě xxxxxxxx smluvního xxxxxx x administrátory x xxxxxxx xxxxxxxxxxxxx bezpečnostní xxxx zajistí xxxxxxx xxxxxxxxxxxx,
x) hodnotí xxxxxxxx xxxxx xxxxxxx bezpečnostního xxxxxxxx, provedených školení x xxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
x) xxxx pravidla x xxxxxxx xxx xxxxxx xxxxxxx porušení xxxxxxxxxxx xxxxxxxxxxxxxx pravidel ze xxxxxx xxxxxxxxx, administrátorů x osob zastávajících xxxxxxxxxxxx xxxx.
(2) Povinná xxxxx xxxx x xxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx, xxxxx xxxxxxxx předmět xxxxxxx x xxxxxx osob, xxxxx xxxxxxx xxxxxxxxxxx.
§10
Řízení provozu x xxxxxxxxxx
(1) Xxxxxxx osoba x xxxxx řízení xxxxxxx x xxxxxxxxxx xxxxxxxxx xxxxxxxx provoz xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x stanoví xxxxxxxx xxxxxxxx x xxxxxxx, které xxxxxxxx xxxxxxx
x) xxxxx a xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx role,
b) xxxxxxx xxx xxxxxxxx a xxxxxxxx xxxxx xxxxxxx, xxx xxxxxxx nebo xxxxxxxx xxxxx xxxxxxx xx xxxxxxx a xxx xxxxxxxx chybových xxxxx xxxx xxxxxxxxxxx xxxx,
x) postupy pro xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxxx xxx xxxxxxx přístupu x xxxxxxxx x xxxxxx xxxxxxxxxx,
x) xxxxxxxx x postupy pro xxxxxxx xxxx škodlivým xxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxxxx xx xxxxxxxxx osoby, xxxxx xxxx pověřeny xxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxx,
x) postupy xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxxx, plánování a xxxxxx xxxxxxxx lidských x technických zdrojů,
i) xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxx x xxx x xxxxxxx celého xxxxxxxxx xxxxx,
x) xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxx použitelnosti xxxxxxxxxxx xxxxx x
x) xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx síťových xxxxxx.
(2) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxxxx x komunikací xxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx podle xxxxxxxx 1 x xxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx x xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx.
(3) Xxxxxxx xxxxx xxxxxxx xxxxxxxx vývojového, xxxxxxxxxxx x provozního xxxxxxxxx.
§11
Xxxxxx změn
(1) Povinná xxxxx x xxxxx xxxxxx xxxx u xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) xxxxxxxxxxx xxxxx xxxxxx xxxx x
x) xxxxxx xxxxxxxx xxxxx.
(2) Xxxxxxx xxxxx x xxxxxxxxxx xxxx
x) dokumentuje xxxxxx řízení,
b) provádí xxxxxxx xxxxx,
x) přijímá xxxxxxxx xx xxxxxx xxxxxxx xxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx s xxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx dokumentaci,
e) xxxxxxx xxxxxx xxxxxxxxx x
x) xxxxxxx xxxxxxx xxxxxxxxx xx původního xxxxx.
(3) Xxxxxxx osoba xxxxxxx x §3 xxxx. x), x) x x) xxxxxx na xxxxxxx xxxxxxxx analýzy xxxxx xxxxx xxxxxxxx 2 písm. x) xxxxxxxxx o xxxxxxxxx xxxxxxxxxxxx testování nebo xxxxxxxxx xxxxxxxxxxxxx; pokud xxxxxxxx x provedení xxxxxxxxxxxx testování xxxx xxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx xxxxx §25 xxxx. 1 x xxxxxxx xx xxxxxxxx xxxxxxxxxx.
(4) Xxxxxxx xxxxx xxxxxxx x §3 písm. x) xxxxxx xx xxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxxxxxxx.
§12
Xxxxxx xxxxxxxx
(1) Xxxxxxx xxxxx xx základě xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxx x informačnímu x xxxxxxxxxxxxx systému x xxxxxxx opatření, která xxxxxx x xxxxxxxxx xxxxxxx údajů, xxxxx xxxx používány xxx xxxxxxxxxx xxxxx §19 x 20, x xxxxx xxxxx ve xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(2) Xxxxxxx xxxxx xxxx x xxxxx xxxxxx přístupu x xxxxxxxxxxxx x xxxxxxxxxxxxx systému
a) řídí xxxxxxx xx základě xxxxxx x rolí,
b) xxxxxxx xxxxxxx xxxxxxxxx x administrátorovi přistupujícímu x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxx x xxxxxxxxx x jedinečný xxxxxxxxxxxxx,
x) xxxx xxxxxxxxxxxxxx, xxxxxxxxxx xxxxx a xxxxxxxxx xxxxxxxx a xxxxxxxxxxx xxxx,
x) zavádí xxxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxx xxxxxxxx k xxxxxxxxxxx informačního x xxxxxxxxxxxxx systému,
e) xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxx bezpečné xxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxx technických xxxxxxxx, xxxxxxxxx x bezpečnostní xxxxxxxx xxxxxxx s xxxxxxxx technických zařízení, xxxxx xxxxxxx xxxxx xxxx ve své xxxxxx,
x) xxxxx přidělování xxxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxx xxxxxx x výkonu xxxxxx xxxxx,
x) xxxxx x xxxxxxxxxx xxxxxxxxx programových xxxxxxxxxx, které xxxxx xxx schopné xxxxxxxx xxxxxxxxx nebo xxxxxxxxx xxxxxxxx,
x) xxxxxxxxx x xxxxxxx xxxxxxxxxx oprávnění x xxxxxxx x xxxxxxxxx xxxxxx přístupu,
i) xxxxxxx pravidelné xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx rozdělení xx xxxxxxxxxxxx xxxxxx x xxxx,
x) xxxxxxx xxxxxxx xxx xxxxxx x xxxxxxxxx identity xxxxx §19 x xxxxxxx xxx řízení xxxxxxxxxxxx oprávnění xxxxx §20,
x) xxxxxxxxx, xxx xxxxxxxxx xxx xxxxxxxxx xxxxxxxxxx autentizačních xxxxxxxxx xxxxxxxxxx stanovené xxxxxxx,
x) xxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx změně pozice xxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx nebo osob xxxxxxxxxxxxx bezpečnostní role,
m) xxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx xxxx xxxxx xxxxxxxxx xxxxxx x
x) xxxxxxxxxxx přidělování x odebírání xxxxxxxxxxxx xxxxxxxxx.
§13
Akvizice, xxxxx x xxxxxx
Xxxxxxx xxxxx x xxxxxxxxxxx x xxxxxxxxxx xxxxxxxx, xxxxxxx x xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx
x) xxxx xxxxxx podle §5,
b) xxxx významné změny xxxxx §11,
x) xxxxxxx xxxxxxxxxxxx požadavky,
d) zahrne xxxxxxxxxxxx požadavky do xxxxxxxx xxxxxxxx, xxxxxx x xxxxxx,
x) zajistí xxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx a xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxx,
x) provádí xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxx xxxx xxxxxx xxxxxxxxx xx xxxxxxx x
x) xxxx xxxxxxxxx xxxxx §19 xxxx. 3, je-li cílem xxxxxxxxx xxxxxxxx xxxx xxxxxx xxxxxxx pro xxxxxx a xxxxxxxxx xxxxxxxx.
§14
Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
(1) Xxxxxxx osoba x xxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx proces xxxxxxx x vyhodnocování xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx x xxxxxxx xxxxxxx pro
1. detekci x xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx a
2. koordinaci x zvládání kybernetických xxxxxxxxxxxxxx xxxxxxxxx,
x) definuje x xxxxxxxx xxxxxxx xxx xxxxxxxxxxxx, sběr, xxxxxxx x uchování xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx analýzu xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) zajistí xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx,
x) xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx xx xxxx xxxx §22 x 23,
f) xxxxxxx, že xxxxxxxxx, xxxxxxxxxxxxxx, xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxx xxxxxxxxxxx x xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx xx jakékoliv xxxxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxx kterém xxxx xxx xxxxxxxxxx, zda xxxx být xxxxxxxxxxxxx xxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxx §31,
x) xxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx incidentů podle xxxxxxxxxxx xxxxxxx,
x) přijímá xxxxxxxx xxx xxxxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního incidentu,
j) xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §32,
k) xxxx záznamy o xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentech x x jejich xxxxxxxx,
x) xxxxxxxx a xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x
x) xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx x na základě xxxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxx xxxxxxxxx bezpečnostní xxxxxxxx k zamezení xxxxxxxxx řešeného xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu.
(2) Povinná xxxxx uvedená v §3 písm. x), x) x x) xxxxxx xxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx používá nástroj xxxxx §24.
§15
Xxxxxx xxxxxxxxxx xxxxxxxx
Xxxxxxx xxxxx x xxxxx xxxxxx xxxxxxxxxx činností
a) xxxxxxx práva x xxxxxxxxxx administrátorů x xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) xxxxxx xxxxxxxxx xxxxx x xxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxx dopady xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxxx,
x) xx základě xxxxxxx xxxxxxxxx xxxxx x xxxxxxx xxxxxx podle xxxxxxx x) xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx určení
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx, která xx xxxxxxxxxx xxx xxxxxxx, xxxxxx x xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
2. xxxx obnovení xxxxx, během xxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému, x
3. xxxx xxxxxxxx xxx xxxx časové období, xx které xxxx xxx zpětně xxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx nebo xx xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxx kontinuity xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx c),
e) vypracuje, xxxxxxxxxxx x xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx a xxxxxxxxx xxxxx související x xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx systému a xxxxxxxxxxxxx služeb x
x) xxxxxxxxx xxxxxxxx xxx xxxxxxx odolnosti informačního x xxxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxxxxxx x xxxxxxx xxx xxx x xxxxxxxxx podle §27.
§16
Audit kybernetické xxxxxxxxxxx
(1) Xxxxxxx xxxxx v xxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xxxxxxx a xxxxxxxxxxx audit xxxxxxxxxx xxxxxxxxxxxx politiky, včetně xxxxxxxxxxx xxxxxxxxx xxxxx, x xxxxxxxx auditu xxxxxxxx x plánu xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx xxxxx a
b) xxxxxxxx xxxxxx bezpečnostních opatření x xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, vnitřními xxxxxxxx, jinými xxxxxxxx x smluvními závazky xxxxxxxxxxxx xx k xxxxxxxxxxxx x komunikačnímu xxxxxxx x xxxx xxxxxxxx nápravná xxxxxxxx xxx xxxxxxxxx xxxxxxx.
(2) Xxxxx podle xxxxxxxx 1 xx xxxxxxxx
x) xxx významných xxxxxxx, x rámci xxxxxx xxxxxxx,
x) x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xx 3 xxxxxx v xxxxxxx povinné xxxxx xxxxxxx v §3 xxxx. x) xxxxxx x
x) x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx po 2 xxxxxx v xxxxxxx povinné xxxxx xxxxxxxxx x xxxxxxx x).
(3) Xxxx-xx x xxxxxxxxxxxx případech možné xxxxxxx xxxxx x xxxxxxxxxxx xxxxx xxxxxxxx 2 xxxx. x) x x) x xxxxx xxxxxxx, xx xxxxx xxxxx xxxxxxxx xxxxxxxx xx xxxxxxxxxxxxxx xxxxxxx. X xxxxxxx xxxxxxx xx xxxxx xxxxx x xxxxx xxxxxxx xxxxxxx nejpozději xx 5 xxx.
(4) Xxxxx kybernetické bezpečnosti xxxx xxx prováděn xxxxxx vyhovující podmínkám xxxxxxxxxx x §7 xxxx. 4, xxxxx xxxxxxxxx hodnotí správnost x účinnost xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(5) Xxxxxxx xxxxx, xxxxx xx xxxxxxxx provozovatelem, xxxxxxxxx xxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
XXXXX XX
XXXXXXXXX OPATŘENÍ
§17
Fyzická xxxxxxxxxx
Xxxxxxx xxxxx x xxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxxxxx xxxxxxxxx, xxxxxxx xxxx xxxxxxxx aktiv xxxx xxxxxxxxx poskytování xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxx bezpečnostní perimetr xxxxxxxxxxxx oblast, xx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx informačního a xxxxxxxxxxxxx systému, x
x) x xxxxxxxxx bezpečnostního xxxxxxxxx stanoveného xxxxx xxxxxxx b) přijme xxxxxxxx xxxxxxxx x xxxxxxxxx prostředky xxxxxxx xxxxxxxxxxx
1. x xxxxxxxx xxxxxxxxxxxxx xxxxxx,
2. k xxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x
3. xxx zajištění ochrany xx úrovni objektů x v rámci xxxxxxx.
§18
Bezpečnost xxxxxxxxxxxxx sítí
Povinná xxxxx pro xxxxxxx xxxxxxxxxxx xxxxxxxxxxx sítě xxxxxxxx x xxxxxxx xxxxx §3 xxxx. x)
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxx xxxxxxxxxx x xxxxx xxxxxxxxxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxx,
x) pomocí kryptografie xxxxxxx důvěrnost x xxxxxxxxx xxx xxx xxxxxxxxx přístupu, xxxxxxxx xxxxxx xxxx xxx xxxxxxxx xx xxxxxxxxxxx xxxx xxxxxx bezdrátových xxxxxxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxx a
e) xxx zajištění segmentace xxxx x pro xxxxxx komunikace xxxx xxxxxx segmenty využívá xxxxxxx, xxxxx zajistí xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx.
§19
Xxxxxx x xxxxxxxxx xxxxxxx
(1) Xxxxxxx osoba xxxxxxx nástroj xxx xxxxxx x ověření xxxxxxxx xxxxxxxxx, administrátorů x aplikací xxxxxxxxxxxx x komunikačního xxxxxxx.
(2) Xxxxxxx xxx správu x ověření xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxx zajišťuje
a) xxxxxxx xxxxxxxx před xxxxxxxxx xxxxxxx v xxxxxxxxxxx x xxxxxxxxxxxx systému,
b) xxxxxx počtu možných xxxxxxxxxxx pokusů x xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxx autentizačních xxxxx xxxxx neoprávněnému xxxxxxxx x xxxxxxxx,
x) xxxxxxxx autentizačních údajů xx xxxxx xxxxxx xxxxx xxxxxxx xxxxxx,
x) xxxxxxxx xxxxxxx identity xx xxxxxx době xxxxxxxxxx,
x) dodržení důvěrnosti xxxxxxxxxxxxxx údajů xxx xxxxxx xxxxxxxx x
x) xxxxxxxxxxxxxxx xxxxxx identit.
(3) Xxxxxxx osoba xxx xxxxxxx xxxxxxxx uživatelů, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxx autentizační mechanizmus, xxxxx xxxx xxxxxxxx xxxxx na xxxxxxx xxxxxxxxxxxxxx xxxx x xxxxx, xxxxx xx xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx dvěma různými xxxx xxxxxxx.
(4) Xx xxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx xxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx, xxxxxxxx autentizaci xxxxxx xxxxxxxxxxxxxxxx klíčů x xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx.
(5) Xx xxxx xxxxxxx požadavků xxxxx xxxxxxxx 3 nebo 4 xxxx nástroj xxx xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxx, který používá x xxxxxxxxxxx xxxxxxxxxxxxx xxxx x xxxxx, xxxxxxxxx xxxxxxxx
x) délky xxxxx alespoň
1. 12 xxxxx u xxxxxxxxx x
2. 17 xxxxx x xxxxxxxxxxxxxx x xxxxxxxx,
x) xxxxxxxxxx zadat xxxxx x xxxxx xxxxxxx 64 znaků,
c) xxxxxxxxxxx použití xxxxxx x velkých písmen, xxxxxx x xxxxxxxxxxx xxxxx,
x) umožňující uživatelům xxxxx hesla, přičemž xxxxxx xxxx xxxxx xxxxxxx xxxxx nesmí xxx xxxxxx xxx 30 xxxxx,
x) neumožňující xxxxxxxxxx x xxxxxxxxxxxxxxx
1. xxxxxx xx nejčastěji xxxxxxxxx xxxxx,
2. tvořit xxxxx xx základě xxxxxxxxxxxx opakujících se xxxxx, xxxxxxxxxxxxxx xxxxx, x-xxxxx, xxxxx xxxxxxx xxxx xxxxxxxx způsobem x
3. xxxxxxxx xxxxxxx xxxxx používaných xxxxx x xxxxxx alespoň 12 xxxxxxxxxxx xxxxx x
x) xxx xxxxxxxx xxxxx xxxxx x xxxxxxxxx xxxxxxxxx xx 18 měsících, xxxxxxx xxxx pravidlo se xxxxxxxxxx na xxxx xxxxxxxx x xxxxxx xxxxxxx x xxxxxxx xxxxxxx.
(6) Povinná osoba x xxxxxxx používání xxxxxxxxxxx pouze xxxxx x heslem xxxx
x) xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxx xx xxxx prvním použití,
b) xxxxxxxxxxx xxxxxxxxx heslo xxxxxxxx x xxxxxxxx xxxxxxxx xx jeho xxxxxx xxxxxxx nebo xxxxxxxxx xxxxxxx 60 xxxxx xx jeho xxxxxxxxx x
x) povinně xxxxxx xxxxxxxx tvorby xxxxxxxxxx xxxxx xx xxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxx §9.
§20
Xxxxxx přístupových oprávnění
Povinná xxxxx používá xxxxxxxxxxxxxx xxxxxxx pro řízení xxxxxxxxxxxx xxxxxxxxx, kterým xxxxxxx řízení xxxxxxxxx
x) xxx přístup x xxxxxxxxxxx aktivům informačního x xxxxxxxxxxxxx xxxxxxx x
x) pro xxxxx xxx, xxxxx xxx x xxxxx xxxxxxxxx.
§21
Xxxxxxx před škodlivým xxxxx
(1) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), d) x x) zákona x xxxxx xxxxxxx xxxx xxxxxxxxx kódem
a) x ohledem xx xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx
1. xxxxxxxxx xxxxxx,
2. xxxxxxxxx xxxxxxxx,
3. xxxxxxx,
4. datových xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
5. komunikační xxxx x prvků xxxxxxxxxxx sítě x
6. xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x řídí xxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxx nosičů,
c) řídí xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx zařízení x xxxxxxxx xxxxxx,
x) xxxx xxxxxxxxx xx xxxxxxxxx xxxx x
x) xxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxx před škodlivým xxxxx.
(2) Xxxxxxx osoba xxxxxxx x §3 xxxx. e) xxxxxx xxxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxxx.
§22
Xxxxxxxxxxxxx xxxxxxxx informačního x komunikačního xxxxxxx, xxxx xxxxxxxxx x xxxxxxxxxxxxxx
(1) Povinná osoba
a) xxxxxxxxxxx bezpečnostní x xxxxxxxx provozní xxxxxxxx xxxxxxxxxx aktiv informačního x xxxxxxxxxxxxx xxxxxxx x
x) xx základě xxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxx rozsah xxxxx, x kterých xx xxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx událostí xxxxxxxxx.
(2) Xxxxxxx osoba xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxxx
x) xxxxxxxxxxxx síťovou identifikaci xxxxxxxx xxxxxxx, xx-xx x xxxxxxxxxxx síti xxxxxx nástroj, xxxxx xxxx xxxx síťovou xxxxxxxxxxxx,
x) xxxx xxxxxxxxx x xxxxxxxxxxxxxx x xxxxxxxxxx událostech; xxxxxxx xxxxxxxxxxx
1. xxxxx x xxx xxxxxx xxxxxxxxxxx xxxxxxxx pásma,
2. xxx xxxxxxxx,
3. xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, které xxxxxxx xxxxxxxxxxx,
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxx xxxxxx xxxx xxxxxxx xxxxxxxxx,
5. xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx a
6. xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxxx x) a x) xxxx xxxxxxxxxxxx xxxxxx x jakoukoli změnou,
d) xxxxxxxxxxxxx
1. přihlašování x xxxxxxxxxxx xx všem xxxxx, a xx xxxxxx xxxxxxxxxxx xxxxxx,
2. xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx,
3. xxxxxxx i xxxxxxxxx xxxxxxxxxx x účty, xxxxxxxxxxx x xxxxx,
4. xxxxxxxxxxx činností v xxxxxxxx nedostatku přístupových xxxx a xxxxxxxxx,
5. xxxxxxxx xxxxxxxxx, xxxxx xxxxx xxx vliv xx bezpečnost xxxxxxxxxxxx x komunikačního xxxxxxx,
6. xxxxxxxx x xxxxxxxx xxxxxxxx technických xxxxx,
7. xxxxxxxxxx i xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx x
8. xxxxxxxx x xxxxxxxx x xxxxxxxxxx, xxxxxx o xxxxxxxxxx xx xxxxxxx x xxxxxxxxxx x xxxxx xxxxxxxxx nástrojů xxx xxxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxxx aktiv xxxxxxx xxxxxx xx 24 xxxxx.
(3) Povinná xxxxx xxxxxxx v §3 xxxx. x), x) x f) zákona xxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxx podle xxxxxxxx 2 nejméně xx xxxx 18 xxxxxx.
(4) Xxxxxxx xxxxx xxxxxxx x §3 písm. x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxx xx dobu 12 měsíců.
§23
Xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
(1) Povinná xxxxx x xxxxx xxxxxxxxxxx xxxx, jejíž součástí xx xxxxxxxxxx x xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx
x) ověření x xxxxxxxx xxxxxxxxxxx xxx x xxxxx xxxxxxxxxxx xxxx x xxxx xxxxxxxxxxxxx sítěmi,
b) xxxxxxx x kontrolu xxxxxxxxxxx xxx xx xxxxxxxxx xxxxxxxxxxx sítě x
x) xxxxxxxxx nežádoucí xxxxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), d) x f) xxxxxx xxxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxx xx xxxxxxxxxx xxxxx x xxxxx
x) xxxxxxxxx stanic,
b) xxxxxxxxx zařízení,
c) xxxxxxx,
x) xxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx nosičů,
e) xxxxxxxx xxxxxxxxx xxxxx x
x) xxxxxxxxx xxxxx.
§24
Xxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
Povinná xxxxx uvedená v §3 xxxx. x), x) x x) xxxxxx xxxxxxx nástroj xxx xxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx
x) xxxx x xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx §22 x 23,
x) xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx záznamů,
c) xxxxxxxxxxx xxxxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx,
x) vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x cílem xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx včasného xxxxxxxx xxxxxxxx bezpečnostních xxxx,
x) xxxxxxx případů nesprávného xxxxxxxxxxx událostí xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx pravidel xxx
1. xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x
2. xxxxxx xxxxxxxx a
f) xxxxxxxxx xxxxxxxxx získaných xxxxxxxxx xxx xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí pro xxxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx systému.
§25
Aplikační xxxxxxxxxx
(1) Xxxxxxx xxxxx xxxxxxx xxxxxxxxxx xxxxx informačního a xxxxxxxxxxxxx xxxxxxx xx xxxxxxxxx xx xxxxxxxx xxxxxx, a xx
x) xxxx jejich xxxxxxxx xx provozu a
b) x xxxxxxxxxxx s xxxxxxxxx xxxxxx xxxxx §11 xxxx. 3.
(2) Xxxxxxx xxxxx xxxx x xxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx trvalou xxxxxxx xxxxxxxx, xxxxxxxxx x xxxxxxxxx před
a) xxxxxxxxxxxx xxxxxxxx a
b) xxxxxxxx provedených xxxxxxxx.
§26
Xxxxxxxxxxxxxx xxxxxxxxxx
Xxxxxxx osoba xxx xxxxxxx aktiv xxxxxxxxxxxx x komunikačního xxxxxxx
x) xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x kryptografické xxxxx,
x) xxxxxxx xxxxxx správy xxxxx a certifikátů, xxxxx
1. xxxxxxx xxxxxxxxxx, xxxxxxxxxx, ukládání, xxxxx, xxxxxxx xxxxxxxxx, zneplatnění xxxxxxxxxxx x xxxxxxxxx xxxxx x
2. umožní xxxxxxxx x xxxxx,
x) xxxxxxxxx xxxxxxxx nakládání x xxxxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxxxx xxxxxxxxxx x oblasti xxxxxxxxxxxxxxxx xxxxxxxxxx vydaná Úřadem, xxxxxxxxxx na xxxx xxxxxxxxxxxxx xxxxxxxxx.
§27
Xxxxxxxxxxx xxxxxx dostupnosti xxxxxxxxx
Xxxxxxx xxxxx zavede xxxxxxxx xxx zajišťování xxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx xxx xxxxxxx xxxx xxxxx §15,
b) xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxx kybernetickým xxxxxxxxxxxxx xxxxxxxxxx, které xx mohly xxxxxx xxxx xxxxxxxxxx,
x) dostupnost xxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx a
d) redundanci xxxxx nezbytných xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému.
§28
Xxxxxxxxxx, xxxxxx a xxxxxxx specifické xxxxxxx
Xxxxxxx xxxxx xxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx, xxxxxxxx x obdobných xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxx x opatření, xxxxx xxxxxxx
x) xxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx, xxxxx jsou xxxxxx xx specifického xxxxxxxxx,
x) xxxxxxx fyzického xxxxxxxx x xxxxxxxxx xxxxxx systémů x xx komunikační xxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxx xxxxxx pro tyto xxxxxxx xx ostatní xxxxxxxxxxxxxx,
x) xxxxxxx a xxxxxx xxxxxxxxxx přístupu x těmto xxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx systémů xxxx využitím známých xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx xxxxxx systémů xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
§29
Digitální služby
(1) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. h) xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx prováděcího xxxxxxxx Xxxxxx (XX) 2018/151 ze xxx 30. xxxxx 2018, xxxxxx xx stanoví xxxxxxxx pro xxxxxxxxxxx xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Xxxx (XX) 2016/1148, xxxxx xxx x bližší xxxxxxxxx xxxxx, xxxxx xxxx xxxxxxxxxxxxx digitálních xxxxxx xxxxxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx rizik, xxxxx xxxx xxxxxxxxx xxxx x xxxxxxxxxx xxxxxxx, x xxxxxxxxx pro xxxxxxxxxx xxxx, zda xx xxxxx xxxxxxxxx xxxxxxxx; xxxxxxxxxx §3 xx 28 xx xx xxxx xxxxxxxx xxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. h) xxxxxx hlásí xxxxxxxxx xxxxx xxxxx §34 xxxx. 2.
(3) Xxxxxxx xxxxx xxxxxxx x §3 písm. h) xxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx podle §32 xxxx. 2 x 3.
XXXXX XXX
XXXXXXXXXXXX XXXXXXXX X XXXXXXXXXXXX XXXXXXXXXXX
§30
Xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxx xxxxxxxxxxxx xxxxxxxx x vede xxxxxxxxxxxx xxxxxxxxxxx zahrnující xxxxxxx xxxxxxx x příloze č. 5,
x) xxxxxxxxxx přezkoumává bezpečnostní xxxxxxxx a bezpečnostní xxxxxxxxxxx x
x) xxxxxxx, xxx xxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx.
(2) Bezpečnostní xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx
x) xxxxxxxx v xxxxxxxx xxxx xxxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxx x xxxxx xxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxx,
x) xxxxxx,
x) xxxxxxxx x xxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x
x) xxxxxx xxx, xxx xxxxxxxxx x xxxx xxxxxxxx xxxx xxxxx, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx x xxxxxx xxxxxxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX
§31
Xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxx významnosti xxx xxxxxxxxxx
x) xxxxxx xxxxxxxxxx v dopadových xxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxx povinné xxxxx xxxxxx,
x) xxxxx xxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxx xxxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxx xxxxxxxxx aktiv xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx na xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
f) xxxxxx xx xxxxxx xxxxxxxxxxx jinými xxxxxxxxxxxx x xxxxxxxxxxxxx systémy,
g) xxxxx xxxxxx xxxxxxxxx,
x) xxxxxxxxxxx rozsahu dotčené xxxxxxx x
x) dalších xxxxxx.
(2) Xxx potřeby xxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xx xxxxxxx xxxxxxxxxx xxxxx odstavce 1 xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx do xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - xxxxx xxxxxxxx kybernetický bezpečnostní xxxxxxxx, xxx xxxxxx xx xxxxx x xxxxxxxx xxxxxxxx bezpečnost xxxxxxxxxxxxx služeb xxxx xxxxx. Jeho řešení xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx s tím, xx musí xxx xxxxx dostupnými xxxxxxxxxx xxxxxxxxx dalšímu šíření xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx vzniklých x xxxxxxxxxxxxx xxxx,
x) Xxxxxxxxx XX - xxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx xxxxxx xx narušena xxxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx. Xxxx řešení xxxxxxxx xxxxxxxxxx zásahy xxxxxxx x xxx, xx xxxx xxx xxxxxxxx xxxxxxxxxx zabráněno xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx, xxxx
x) Xxxxxxxxx X - xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx kterém dochází x méně významnému xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo aktiv. Xxxx xxxxxx vyžaduje xxxxxx obsluhy x xxx, xx xxxx xxx vhodnými prostředky xxxxxxx další xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
(3) Typy xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů podle xxxxxx xxxx
x) kybernetický xxxxxxxxxxxx xxxxxxxx způsobující xxxxxxxx důvěrnosti aktiv,
b) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx narušení xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx narušení xxxxxxxxxxx aktiv, xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxx x) xx c).
(4) Xxxx xxxxxxxxxx se xxxxxxxxxx na xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx u xxxxxxx osoby xxxxxxx x §3 xxxx. x) xxxxxx.
§32
Forma a xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxxxx bezpečnostní xxxxxxxx se Xxxxx xxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx xxxxxxxx
x) xx adresu xxxxxxxxxxxx xxxxx Xxxxx xxxxxxx pro xxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, zveřejněnou xx xxxxxxxxxxxxx stránkách Úřadu,
b) xx xxxxxx xxxxxxxx Xxxxx, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxx rozhraní, xxxxx xx xxxxxxxxx, xxxxx xxxxx xx zveřejněn xx internetových xxxxxxxxx Xxxxx.
(2) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx provozovateli xxxxxxxxx XXXX hlásí xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx provozovatele národního XXXX xxxxxxxx
x) na xxxxxx xxxxxxxxxxxx pošty xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxx xxx příjem xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, zveřejněnou xx xxxx internetových xxxxxxxxx,
x) xx xxxxxx schránky xxxxxxxxxxxxx xxxxxxxxx XXXX, xxxx
x) prostřednictvím internetových xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.
(3) Hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxx xxxxxx x x listinné podobě, xxxxx xxxxx v xxxxxxxxx, xxx xxxxx xxxxxx xxxxx xx xxxxxxx xxxxxxxxx v xxxxxxxxxx 1 x 2.
(4) Náležitosti xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxx
x) xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxx x xxx zjištění xxxxxxxxx a
d) popis xxxxxxxxx.
ČÁST XXXXXX
XXXXXXXXX XXXXXXXX X XXXXXXXXX ÚDAJE
§33
Reaktivní xxxxxxxx
(1) Xxxxxxx xxxxx, xxxxx Xxxx xxxxxx xxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx opatření na xxxxxxxxxx x komunikační xxxxxx x na xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx možné xxxxxxxxx xxxxxx x
x) xxxxxxx způsob rychlého xxxxxxxxx xxxxxx xxxxxxxx, xxxxx minimalizuje xxxx xxxxx negativní xxxxxx, x určí xxxxxx xxxx xxxx provedení.
(2) Xxxxxxx xxxxx, xxxxx Xxxx xxxxxx provést xxxxxxxxx opatření, xxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx a xxxx xxxxxxxx ve xxxxx xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Úřadu.
§34
Xxxxxxxxx údaje
(1) Kontaktní xxxxx se Xxxxx xxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx zveřejněném xx xxxxxxxxxxxxx stránkách Xxxxx xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx pošty Xxxxx xxxxxxx pro xxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxxxxxx xx internetových xxxxxxxxx Xxxxx,
x) do xxxxxx xxxxxxxx Úřadu, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xx xxxxxxxxx, xxxxx xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Úřadu.
(2) Xxxxxxxxx údaje se xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx xx elektronickém xxxxxxxxx zveřejněném xx xxxxxxxxxxxxx xxxxxxxxx provozovatele xxxxxxxxx CERT xxxxxxxx
x) xx xxxxxx elektronické xxxxx provozovatele národního XXXX xxxxxxx xxx xxxxxx oznámení xxxxxxxxxxx xxxxx, xxxxxxxxxxx xx xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx xxxxxx schránky xxxxxxxxxxxxx národního CERT, xxxx
x) xxxxxxxxxxxxxxx internetových xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.
(3) Xxxxxxx xxxxxxxxxxx xxxxx xx možné xxxxxx i x xxxxxxxx podobě, xxxxx xxxxx x xxxxxxxxx, xxx xxxxx xxxxxx xxxxx xx způsobů xxxxxxxxx v xxxxxxxxxx 1 x 2.
(4) Xxxx xxxxxxxx xxxxxxxxxxx xxxxx xx xxxxxx x příloze č. 8 x xxxx xxxxxxxx.
(5) Povinná xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx, xxxxx xx xxxxxxxxxxxxxx, xxxx x hlášení xxxxxxxxxxx xxxxx xxxxx xxxxxxxx 1 xxxxxxxx xxxxxxxx, xxxxxx xx xxxxxxx xxxxxxxxxxxx informuje xxxxx §8 odst. 1 xxxx. x).
XXXX PÁTÁ
ZÁVĚREČNÁ XXXXXXXXXX
§35
Xxxxxxxxx xxxxxxxxxx
(1) X xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury, xxxxx xxxx určeny xxxxx xxxx xxxxxx účinnosti xxxx vyhlášky, x x xxxxxxx významných xxxxxxxxxxxx xxxxxxx, x xxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx kritérií xxxxx dnem xxxxxx xxxxxxxxx xxxx xxxxxxxx, xx xx xxxxxxx xxxx ode xxx xxxxxx účinnosti xxxx xxxxxxxx xxx xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxx x xxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentech, xxxxxxxxxxx xxxxxxxxxx a x xxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx bezpečnosti (xxxxxxxx x kybernetické bezpečnosti).
(2) X xxxxxxx informačních xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxx xxxx xxxxxx přede dnem xxxxxx účinnosti xxxx xxxxxxxx, x v xxxxxxx xxxxxxxxxx informačních xxxxxxx, u kterých xxxxx k xxxxxxxx xxxxxxxxxx kritérií xxxxx xxxx xxxxxx xxxxxxxxx xxxx vyhlášky, xx xx xxxxxxx xxxx xxx dne xxxxxx xxxxxxxxx xxxx xxxxxxxx xxx způsob likvidace xxx, provozních xxxxx, xxxxxxxxx x xxxxxx xxxxx tato xxxxxxxx xxxxxxxxx.
§36
Zrušovací xxxxxxxxxx
Xxxxxxx xx xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x o xxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxx kybernetické xxxxxxxxxxx (vyhláška x xxxxxxxxxxxx xxxxxxxxxxx).
§37
Xxxxxxxx
Xxxx xxxxxxxx xxxxxx xxxxxxxxx xxxx xxxxxxxxx.
Xxxxxxx:
Xxx. Xxxxxxxx x. x.
Xxxxxxx x. 1 x xxxxxxxx č. 82/2018 Xx.
Xxxxxxxxx aktiv
(1) Xxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxx x xxxxx xxxxxxx xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxx x posuzuje xx, xxxx xxxxx xx xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx aktiv. Povinná xxxxx může xxxxxxxx xxxxxxx počet xxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxx xxxx xx xxxxxx x xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx aktiv x xxxxxxxxxx a xxxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx xxxx xxxxxxx x xxxx xxxxxxx.
(2) Xx xxxxxxxxxx, aby xx xxxxx povinná osoba xxxx dopadové xxxxxx xxxxxxxxxxxx svým xxxxxxxx.
Xxx. 1: Xxxxxxxx pro xxxxxxxxx důvěrnosti
|
Úroveň |
Popis |
Příklady požadavků xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxx xxxx veřejně přístupná xxxx xxxx xxxxxx xx xxxxxxxxxx. Xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxx. X xxxxxxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxx xxxxxxxx x xxxxxxx klasifikace xxxxx xxx. traffic xxxxx xxxxxxxxx (xxxx xxx "XXX") je využíváno xxxxxxxx TLP:WHITE. |
Není xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxxxx veřejně přístupná x xxxxx xxxx-xxx xxxxxxx xxxxx, ochrana xxxxx není vyžadována xxxxxx xxxxxxx xxxxxxxxx xxxx smluvním xxxxxxxxx. X xxxxxxx xxxxxxx takového xxxxxx x xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx TLP xx xxxxxxxxx xxxxxxx xxxxxxxx TLP:GREEN nebo XXX:XXXXX. |
Xxx xxxxxxx důvěrnosti xxxx xxxxxxxxx prostředky xxx xxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxx xxxxxx veřejně xxxxxxxxx x xxxxxx xxxxxxx je xxxxxxxxxx xxxxxxxx xxxxxxxx, jinými xxxxxxxx xxxx smluvními xxxxxxxxxx (xxxxxxxxx obchodní xxxxxxxxx, xxxxxx xxxxx). X xxxxxxx sdílení xxxxxxxx xxxxxx s xxxxxxx xxxxxxxx x použití xxxxxxxxxxx xxxxx XXX xx xxxxxxxxx zejména xxxxxxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx jsou xxxxxxxxx xxxxxxxxxx, které xxxxxxx xxxxxx a xxxxxxxxxxxxx xxxxxxxx. Přenosy xxxxxxxxx xxxxxxxxxxx xxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Kritická |
Aktiva nejsou xxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxxxxxxx míru xxxxxxx xxx xxxxx xxxxxxxxx kategorie (xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxx xxxxxxxxx xxxxxxxx xxxxx). X xxxxxxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx XXX xx xxxxxxxxx xxxxxxx označení TLP:RED xxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, které xxxxxxx xxxxxx x zaznamenávání xxxxxxxx. Xxxx xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xx xxxxxx xxxxxxxxxxxxxx. Přenosy xxxxxxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx prostředků. |
Xxx. 2: Xxxxxxxx pro xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx aktiva |
|
Nízká |
Aktivum xxxxxxxxxx ochranu x xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxx povinné xxxxx. |
Xxxx vyžadována žádná xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx vyžadovat xxxxxxx z hlediska xxxxxxxxx. Narušení xxxxxxxxx xxxxxx xxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx x xxxx xx xxxxxxxx xxxx xxxxxxxxx xxxxxx na xxxxxxxx xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx (xxxxxxxxx xxxxxxx xxxxxxxxxxxx práv xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxxxx xxxx x xxxxxxxxx xxxxxxxxxxx zájmů povinné xxxxx x podstatnými xxxxxx na primární xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx historii provedených xxxx x zaznamenat xxxxxxxx osoby xxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx je xxxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx z xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx vede x xxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx x xxxxxxx x xxxxx xxxxxxx xxxxxx na primární xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx). |
Xxx. 3: Xxxxxxxx pro hodnocení xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx aktiva |
|
Nízká |
Narušení xxxxxxxxxxx xxxxxx xxxx xxxxxxxx x x xxxxxxx xxxxxxx xx xxxxx xxxxxxxxxx xxxxx časové xxxxxx pro xxxxxxx (xxx xx 1 xxxxx). |
Xxx xxxxxxx xxxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx dostupnosti aktiva xx nemělo xxxxxxxxx xxxx pracovního xxx, xxxxxxxxxxxxx xxxxxxx xxxx x možnému ohrožení xxxxxxxxxxx zájmů xxxxxxx xxxxx. |
Xxx xxxxxxx dostupnosti xxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx nemělo xxxxxxxxx xxxx xxxxxxxx hodin. Xxxxxxxx xxxxxxx je xxxxx řešit neprodleně, xxxxxxx vede x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx osoby. Xxxxxx xxxx xxxxxxxxxx xx velmi xxxxxxxx. |
Xxx xxxxxxx dostupnosti xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx poskytování xxxxxx xxxx xxx xxxxxxxxx xxxxxx xxxxxxx xxxx výměnou xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxxx x x krátkodobá xxxxxxxxxxxx (x xxxx xxxxxxxx xxxxx) xxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx. Xxxxxx jsou xxxxxxxxxx xx kritická. |
Pro ochranu xxxxxxxxxxx xxxx využívány xxxxxxx systémy a xxxxxx xxxxxxxxxxx xxxxxx xx xxxxxxxxxx x xxxxxxxxxxxxxx. |
Příloha x. 2 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxx rizik
(1) Xxxxxxxxxxx stanovení xxxxxx xxx určení xxxxxx xx nezbytnou xxxxxxxx xxxxxxxx xxx hodnocení xxxxx podle §5.
(2) Xxxxxxx xxxxxx xx xxxxxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx ovlivňuje xxxxx, hrozba x xxxxxxxxxxxx.
(3) Pro xxxxxxxxx xxxxx xxx xxxxxx xxxxxxxxx xxxx funkci:
Riziko = dopad x xxxxxx x zranitelnost.
(4) Xxxxx xx v xxxxx xxxxxxx xxxxxxx x xxxxxxxxx aktiv xxxxx přílohy č. 1.
(5) X xxxxxxx, xx xxxxxxx xxxxx využívá xxxxxx xxx xxxxxxxxx rizik, xxxxx xxxxxxxxxxx hodnocení xxxxxx a xxxxxxxxxxxxx, xx možné xxxxxxxx xxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx stupnic by xxxxxx vést xx xxxxxx xxxxxxxxxx rozlišení xxxxxx hrozby x xxxxxxxxxxxxx. Xx xxxxx xxxxxx xxx xxxxxx xxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx vyjádří xxx xxxxxx hrozby, xxx x xxxxxx zranitelnosti. Xxxxxxx se xxxxxxxxx x x xxxxxxxxx, xxx xxxxxxx osoba xxxxxxx xxxx počet xxxxxx xxx hodnocení xxxxxx, xxxxxx, xxxxxxxxxxxxx x xxxxx.
Xxx. 1: Xxxxxxxx xxx xxxxxxxxx xxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx neexistuje xxxx xx málo xxxxxxxxxxxxx. |
|
Střední |
Hrozba xx málo xxxxxxxxxxxxx xx xxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxxxxx xx velmi pravděpodobná. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx pravděpodobná xx xxxxxxxx xxxxx. |
Xxx. 2: Stupnice xxx hodnocení zranitelností
|
Úroveň |
Popis |
|
Nízká |
Zranitelnost xxxxxxxxxx xxxx xx xxxxxxxx zranitelnosti xxxx xxxxxxxxxxxxx. Xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx schopna xxxx xxxxxxxxx xxxxx zranitelnosti xxxx případné xxxxxx x xxxxxx zneužití. |
|
Střední |
Zneužití xxxxxxxxxxxxx xx málo xxxxxxxxxxxxx xx pravděpodobné. Xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, jejichž xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx. Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx případné xxxxxx x xxxxxxxxx xxxxxxxx xx omezena. Xxxxxx xxxxx xxxxx xxxxxxx xxxxxx o xxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx pravděpodobné xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx jsou xxxxxxxx, xxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx a xxxx pravidelně xxxxxxxxxxxx. Xxxx známé xxxxx xxxxxxx pokusy x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx až víceméně xxxxx. Bezpečnostní xxxxxxxx xxxxxx xxxxxxxxxxx nebo xx jejich xxxxxxxx xxxxxx xxxxxxx. Neprobíhá xxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx. Xxxx xxxxx xxxxxxx pokusy xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
Xxx. 3: Xxxxxxxx xxx xxxxxxxxx xxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx považováno xx xxxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx může xxx xxxxxxx méně xxxxxxxxx opatřeními nebo x xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx je xxxxxx akceptovatelné. |
|
Vysoké |
Riziko xx xxxxxxxxxx xxxxxxxxxxx x xxxx být xxxxxxxx xxxxxxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxxxxxxxx x xxxx xxx neprodleně xxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
Xxxxxxx č. 3 x xxxxxxxx x. 82/2018 Sb.
Zranitelnosti a xxxxxx
Xxxxxxxxxx: Tato příloha xxxxxxxx xxx xxxxxxx xxxxxxxxx zranitelností a xxxxxx. Xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx x xxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxx.
Xxxxxxxxxxxxx
1. xxxxxxxxxxxx údržba xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
2. xxxxxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
3. xxxxxxxxxxxx ochrana xxxxxxxx xxxxxxxxx,
4. xxxxxxxxxxxx bezpečnostní xxxxxxxx uživatelů a xxxxxxxxxxxxxx,
5. xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
6. xxxxxxxx nastavení xxxxxxxxxxxx xxxxxxxxx,
7. xxxxxxxxxxxx xxxxxxx xxx identifikování x odhalení negativních xxxxxxxxxxxxxx xxxx, kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
8. xxxxxxxxxxxx monitorování xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxx nebo xxxxxxx způsoby xxxxxxx,
9. xxxxxxxxxxxx stanovení bezpečnostních xxxxxxxx, xxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxx práv x povinností xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx,
10. nedostatečná xxxxxxx xxxxx,
11. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,
12. nedostatečná xxxx xxxxxxxxx kontroly,
13. xxxxxxxxxxx xxxxxxxx odhalení pochybení xx strany xxxxxxxxxxx.
Xxxxxx
1. xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx neoprávněných činností, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
2. xxxxxxxxx nebo xxxxxxx technického anebo xxxxxxxxxxxx xxxxxxxx,
3. zneužití xxxxxxxx,
4. užívání xxxxxxxxxxxx xxxxxxxx x xxxxxxx x xxxxxxxxxx podmínkami,
5. xxxxxxxx xxx (xxxxxxxxx xxxx, xxxxxxx, xxxxxxx xxxx),
6. xxxxxxxx xxxxxxx xxxxxxxxxxx,
7. přerušení xxxxxxxxxxx xxxxxx elektronických komunikací xxxx dodávek xxxxxxxxxx xxxxxxx,
8. xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxx xxxxx,
9. xxxxxx, xxxxxxxx xxxx xxxxxxxxx aktiva,
10. xxxxxxxxxx xxxxxxxxx xxxxxxx xx xxxxxx dodavatele,
11. xxxxxxxxx xx xxxxxx xxxxxxxxxxx,
12. xxxxxxxx vnitřních xxxxxxxxxx, xxxxxxx,
13. dlouhodobé xxxxxxxxx xxxxxxxxxxx služeb xxxxxxxxxxxxxx xxxxxxxxxx, dodávky xxxxxxxxxx xxxxxxx xxxx jiných xxxxxxxxxx xxxxxx,
14. nedostatek xxxxxxxxxxx s potřebnou xxxxxxxx úrovní,
15. cílený xxxxxxxxxxxx xxxx xxxxxx xxxxxxxxxx inženýrství, xxxxxxx xxxxxxxxxxx xxxxxxx,
16. zneužití xxxxxxxxxxxxx technických xxxxxx xxx,
17. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx (xxxxxxxxx, xxxxxxxxxx).
Příloha x. 4 x vyhlášce č. 82/2018 Sb.
Likvidace xxx
(1) Xxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx x definování způsobů xxxxxx dat a xxxxxxx likvidace xxxxxxxxxxx xxxxxx xxxxxxxxx, provozních xxxxx, xxxxxxxxx a xxxxxx kopií.
(2) Jednotliví xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx systému xx xxxxxxx xxxxxxxx xxx xxxxxx dat a xxxxxxxxx technických xxxxxx xxx x xxxxxxx x touto xxxxxxxx. Xxx nejsou xxxxxxx xxxxxxxxxx podle xxxxxx xxxxxxxx xxxxxxxx. Xx xxxxx xxxxxx adekvátní xxxxxx xxxxxx nabízející xxxxxxxxx xxxxxxxxxxxx opatření, xxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxx xxx x xxxxxxxxx technických xxxxxx xxx, vzhledem x hodnotě x xxxxxxxxxxx aktiv.
(3) Xxxxxxxx xxx xxxxxxxxx xxx xx měla xxx xxxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxx x xxxx xx xxxxxxx xxxxxxxxxxx
x) xxxxxxx xxxxxx (zejména x xxxxxxx xxxxxxxxxx),
x) technologii (xxxx x xxxxxxxx xxxxxx informace),
c) xxx xx nosič informace xxxxxxx pod kontrolou xxxxxxxxxx xx nikoliv,
d) xxx jsou xxxx xxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxxxx xxxxxxxxx,
x) xxx xxxx likvidaci xxx xxxxxxxx (interní zaměstnanec, xxxx dodavatel),
f) xxxxxxxxxx xxxxxxxx a nástrojů xxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxxx nosičů,
h) xxx xx x dispozici xxxxxxxxx personál,
i) xxxxxxx xxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxxx x ohledem xx xxxxxxxx, xxxxxxx, xxxxxxxx, opětovné xxxxxxx xxxxxx xxxxxxxxx
x) xxxxx xxxxxxx xxxxxxxxx xxx (xxxxxxxxx zničením nosiče, xxxxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxx, xxxxxxxxxxxxx xxx xxxxxx šifrováním a xxxxxxx),
x) xxxxxxxxxx xxxxxxx xxxxxxxxx xxx vzhledem xx xxxxx xxxxxx xxxxxxxxx (xxxxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxx xxxxx xxxxxx variantu xxxxxxx informace, xxx xxxxxxx xx způsobů xxxxxxx likvidace).
(4) Způsoby xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxx, xxxxxxxxxx údajů, xxxxxxxxx x xxxxxx xxxxx:
x) Xxxxxxxxxx
1. Způsob xxxxxxxxx xxxxxxx x xxxxxxxxxx xxx tak, xxx xxxx pro xxxxxx xxxxxxxxxx (například xxxxxxxxxx datového souboru, xxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxx).
2. Jde x nejméně xxxxxxxx xxxxxx xxxxxxxxx xxx. X případě získání xxxxxx xxxxxxxxx xx xxxxx s xxxxxxxxxxx xxxxxxxx úsilí xxxxxxxxx xxxxxxx.
3. Xxxx xxxxxx xxxx xxxxxxxxxx xxx xxxxxx xxxxxxxxxxx dat xxxxxxxxxxxx xxxxxxxx xxxxx.
4. Xxxxxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx z přílohy č. 1): xxxxx.
x) Xxxxxxxx
1. Xxxxxx xxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxx.
2. Jde x xxxxxxx bezpečný xxxxxx likvidace dat. Xxxxx dostupné xxxxxxxx xxxxxxxxxx xxxxxxxx přepsaných xxxxxxxxx.
3. Xxxxxxxx může xxx nahrazeno xxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxx.
4. Xxxx xxxxxx xxxx vhodná xxx xxxxxxxxx média, xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx, xxxxxxxx xxx xxxxx x xxxxxx xxxxxxxxx.
5. Použitelný xxxxxx xxx úroveň xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1): xxxxx xx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx informace
1. Xxxxxx xxxxxxxxx spočívající ve xxxxxxx xxxxxx informace, xxxxxxxxx x xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx (xxxxxxxxxxx, chemickým xx xxxxxxxx xxxxxxxxx).
2. Jde x nejbezpečnější xxxxxx xxxxxxxxx dat. Xxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxx xxxxx xxxxx xxxxxx xxx xxxxxxx xxxx. Xxxxxxx xxxxxxxxx xxxx xxxxx xxxxxxx xxx xxx xxxxxxxxxx xxxxxxx množství prostředků x xxxxx.
3. Použitelný xxxxxx xxxxxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx z přílohy č. 1): xxxxxxx xx kritická.
Příklad xxxxxxx xxxxxxx xxxxxxxxx xxxxx úrovně xxxxxxxxxx xxxxxx (xxxxxxx z přílohy č. 1)
|
Xxxxxxxxx způsob xxxxxxxxx xxxxx úrovně důležitosti xxxxxx |
|||||
|
Xxxxx xxxxxxxxx |
1. Xxxxx |
2. Xxxxxxx |
3. Xxxxxx |
4. Xxxxxxxx |
|
|
Xxxxxxxxx xx xxxxxx čitelném xxxxxx (xxxxxxx dokumenty, xxxxxxxx a xxxxxxx) |
Xxxxxxxxxx: Xxxxxxxx xx odpadu. |
Přepsání: Xxxxxxxxx. |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxxx xxxxxxxxx: |
|||||
|
Xxxxxxx xxxxxxxx (mobilní xxxxxxxx, xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxx likvidace: |
||
|
Xxxxxx zařízení (xxxxxx, xxxxxx, xxxxx a xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
|||
|
Kancelářské xxxxxxxx (xxxxxxx, tiskárny, xxx) |
|||||
|
Xxxxxxxxxx xxxxx (magnetické xxxxx, xxxxx, XXX [Xxxx Xxxx Drive]) |
Odstranění: |
Přepsání: |
|||
|
Xxxxxxx média (XX, XXX, HD-DVD, BLU-RAY) |
Fyzická xxxxxxxxx: |
||||
|
Xxxxxxx xxxxxxxxx. |
|||||
|
Xxxxxxxxxxxx xxxxx (flash xxxxxx) |
|||||
|
Xxxxxxxxxxx a xxxxx |
Xxxxxxxxx xxxxxx likvidace xxx xx xxx xxx xxxxxxxx xxxxxxxx ujednáním. |
||||
|
Odstranění: |
Xxxxxxxx: |
Přepsání: |
Přepsání/fyzická xxxxxxxxx: |
||
|
Alternativně x xxxxxxx xxxxxxxxxxxx paměťového xxxxx xx možné xxxx xx xxxxxxxx xxxxxx xxxxxxx. |
|||||
Xxxxxxx x. 5 x xxxxxxxx x. 82/2018 Sb.
Obsah xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx
1. Xxxxxxxxxxxx xxxxxxxx
1.1. Xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací
a) Xxxx, xxxxxxxx a xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx a xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxx xxxxxxxxxxx.
x) Pravidla x xxxxxxx pro xxxxxx xxxxxx x xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx pro xxxxxxxxx xxxxxx kybernetické bezpečnosti.
f) Xxxxxxxx x xxxxxxx xxx přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a postupy xxx xxxxxxxx opatření x zlepšování xxxxxxx xxxxxx xxxxxxxxxxx informací.
1.2. Xxxxxxxx řízení xxxxx
x) Xxxxxxxxxxxx, xxxxxxxxx a xxxxxxxx primárních xxxxx
1. xxxxxx a xxxxxxxx xxxxxxxxxxxx primárních xxxxx xxxxxx xxxxxx jejich xxxxxxx,
2. hodnocení xxxxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti.
b) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. určení x xxxxxxxx jednotlivých xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxx xxxxx mezi xxxxxxxxxx a podpůrnými xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx aktiv
1. xxxxxxx xxxxxxxxxxx jednotlivých xxxxxx aktiv,
2. pravidla xxx xxxxxxxxxx x xxxxxxxx xxxxx xxxxx xxxxxx xxxxx,
3. přípustné xxxxxxx používání xxxxx.
x) Xxxxxxx xxxxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx xxx, xxxxxxxxx, xxxxxxxxxx údajů x xxxxxx xxxxx.
1.3. Xxxxxxxx xxxxxxxxxxx bezpečnosti
a) Xxxxxx xxxxxxxxxxxxxx xxxx x xxxxxx xxxx x xxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx rolí.
c) Xxxxxxxxx na xxxxxxxx xxxxxx bezpečnostních x xxxxxxxxxx xxxx.
1.4. Xxxxxxxx xxxxxx xxxxxxxxxx
x) Xxxxxxxx x principy xxx xxxxx dodavatelů.
b) Xxxxxxxx xxx hodnocení rizik xxxxxxxxxxxxx x xxxxxxxxxx.
x) Xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxx x xxxxxxx a xxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření x o určení xxxxxxxx xxxxxxx odpovědnosti.
d) Xxxxxxxx xxx provádění xxxxxxxx xxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx.
1.5. Politika xxxxxxxxxxx xxxxxxxx xxxxxx
x) Xxxxxxxx rozvoje bezpečnostního xxxxxxxx x xxxxxxx xxxx xxxxxxxxx
1. způsoby x xxxxx poučení xxxxxxxxx,
2. xxxxxxx x xxxxx xxxxxxx xxxxxxx xxxxx,
3. způsoby a xxxxx poučení xxxxxxxxxxxxxx,
4. xxxxxxx x xxxxx xxxxxxx xxxx zastávajících xxxxxxxxxxxx xxxx.
x) Bezpečnostní xxxxxxx nových xxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx bezpečnostní xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx ukončení xxxxxxxxxx xxxxxx nebo xxxxx xxxxxxxx xxxxxx
1. xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx xxxx při xxxxxxxx pracovního vztahu,
2. xxxxx přístupových xxxxxxxxx xxx xxxxx xxxxxxxx xxxxxx.
1.6. Xxxxxxxx řízení xxxxxxx a xxxxxxxxxx
x) Xxxxxxxxx a xxxxxxxxxxxx xxxxxxx s bezpečným xxxxxxxx.
x) Postupy xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx x xxxxxxxxx bezpečného provozu.
d) Xxxxxxxx a xxxxxxx xxx provádění xxxxxx xxxxxxxxxxxx bezpečnosti a xxxxxxxxxxxxxx xxxxx.
1.7. Politika xxxxxx xxxxxxxx
x) Princip xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (xxxx xx xxxx).
x) Xxxxxxxxx xx xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxx xxxxxxxx.
x) Xxxxxx xxxxxxxxxxxxxxx oprávnění.
e) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx přezkoumání xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx jednotlivých xxxxxxxxx x přístupových xxxxxxxxx.
1.8. Xxxxxxxx bezpečného xxxxxxx xxxxxxxxx
x) Pravidla xxx xxxxxxxx xxxxxxxxx x xxxxxx.
x) Bezpečné xxxxxxx xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxxxx elektronické xxxxx x xxxxxxxx na xxxxxxxx.
x) Bezpečný vzdálený xxxxxxx.
x) Xxxxxxxx chování xx xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx ve xxxxxx x xxxxxxxx xxxxxxxxx.
1.9. Xxxxxxxx xxxxxxxxxx x xxxxxx a xxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxxx xx xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx zálohování x xxxxxxxxxxxx ukládání xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxx.
x) Pravidla x xxxxxxx testování xxxxxxxxxx a xxxxxx.
x) Xxxxxxxx xxxxxxxx x xxxxxxx, xxxxxxxxx xxxxxxxxxx.
1.10. Xxxxxxxx xxxxxxxxxx xxxxxxxxx x výměny xxxxxxxxx
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx.
x) Xxxxxxxx pro využívání xxxxxxxxxxxxxx ochrany.
1.11. Xxxxxxxx xxxxxx technických xxxxxxxxxxxxx
x) Xxxxxxxx pro omezení xxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x postupy xxxxxxxxxxx opravných xxxxxxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxx programového xxxxxxxx.
1.12. Xxxxxxxx xxxxxxxxxx používání xxxxxxxxx zařízení
a) Xxxxxxxx x postupy pro xxxxxxxx xxxxxxxxx mobilních xxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxxxxxxx zařízení, xxxxx xxxxxxx osoba nemá xx xxx xxxxxx.
1.13. Xxxxxxxx xxxxxxxx, vývoje x xxxxxx
x) Xxxxxxxxxxxx xxxxxxxxx pro xxxxxxxx, xxxxx x xxxxxx.
x) Xxxxxx xxxxxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxx programového vybavení x xxxxxxxxx
1. xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx evidence,
2. pravidla x xxxxxxx pro xxxxxxxx xxxxxxxxxx licenčních xxxxxxxx.
1.14. Xxxxxxxx xxxxxxx xxxxxxxx xxxxx
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx opatření xxx ochranu xxxxxxxx xxxxx.
x) Xxxxx přijatých x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxx údajů.
1.15. Politika xxxxxxx xxxxxxxxxxx
x) Xxxxxxxx xxx ochranu xxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx xxx xxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxx.
1.16. Xxxxxxxx bezpečnosti xxxxxxxxxxx xxxx
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxx.
x) Xxxxxx xxxx x xxxxxxxxxx xx bezpečný xxxxxx sítě.
c) Xxxxxxxx x postupy xxx xxxxxx xxxxxxxx x xxxxx sítě.
d) Xxxxxxxx x xxxxxxx xxx xxxxxxx vzdáleného xxxxxxxx x xxxx.
x) Pravidla x postupy xxx xxxxxxxxxxxx xxxx a xxxxxxxxxxxxx xxxxxxxxxx záznamů.
1.17. Xxxxxxxx xxxxxxx před xxxxxxxxx xxxxx
x) Xxxxxxxx x postupy pro xxxxxxx síťové xxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx ochranu xxxxxxx x sdílených xxxxxxxx xxxxxxx.
x) Xxxxxxxx a xxxxxxx pro xxxxxxx xxxxxxxxxx xxxxxx.
1.18. Xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx pro detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
a) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx postupy xxx vyhodnocování x xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx události.
c) Xxxxxxxx a xxxxxxx xxx optimalizaci nastavení xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
1.19. Xxxxxxxx xxxxxxx x xxxxxx xxxxxxxx xxx xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
a) Xxxxxxxx a xxxxxxx xxx evidenci a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx pravidelné xxxxxxxxxxx xxxxxxxx xxx vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
c) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx vlastností xxxxxxxx xxx sběr x xxxxxxxxxxx kybernetických bezpečnostních xxxxxxxx.
1.20. Politika xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx
x) Xxxxxx xxxxxxx x xxxxxxx xx xxx x xxxx kryptografického xxxxxxxxx.
x) Pravidla xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx
1. xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx,
2. při xxxxxxx xx xxxxxxx xxxxxxxx xxxx vyměnitelný technický xxxxx dat.
c) Xxxxxx xxxxxx xxxxx.
1.21. Xxxxxxxx xxxxxx změn
a) Xxxxxx x xxxxxxxx xxxxxx xxxxxxxxxx xxxx v xxxxx povinné xxxxx, xxxxxx xxxxxxxxx, informačních x komunikačních xxxxxxxxx.
x) Xxxxxxxxxxxxx dopadů významných xxxx.
x) Xxxxxx xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxx změn.
1.22. Xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxxx kategorií xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu.
b) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx, xxxxxxxx x zvládání jednotlivých xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů x xxx xxxxxxxxxx xxxxxxxxxxxx bezpečnosti.
e) Evidence xxxxxxxxx.
1.23. Politika řízení xxxxxxxxxx činností
a) Xxxxx x xxxxxxxxxx zúčastněných xxxx.
x) Xxxx xxxxxx xxxxxxxxxx xxxxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx,
2. xxxx xxxxxxxx chodu,
3. xxx xxxxxxxx dat.
c) Xxxxxxxx řízení xxxxxxxxxx xxxxxxxx xxx naplnění xxxx kontinuity.
d) Způsoby xxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů na xxxxxxxxxx a posuzování xxxxxxxxxxxxx xxxxx.
x) Určení x xxxxx xxxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxx.
x) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx.
2. Xxxxx xxxxxxxxxxxx xxxxxxxxxxx
2.1. Xxxxxx x xxxxxx kybernetické xxxxxxxxxxx
x) Xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx xxxx xxxxxxxx x osob, xxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx.
x) Xxxxx x místo, xxx xxxx prováděny xxxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Závěry xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
2.2. Xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací
a) Xxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.
b) Xxxxxxxxxxxx xxxx a xxxxxxxxx, xxxxx xxxxx xxx xxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x nápravná xxxxxxxx,
2. xxxxxxxx monitorování a xxxxxx,
3. xxxxxxxx xxxxxx,
4. xxxxxxxx cílů xxxxxxx xxxxxx bezpečnosti informací.
d) Xxxxxxxx hodnocení xxxxx x xxxx xxxxx xxxxxxxx xxxxx.
x) Xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx xxxxxxxx x xxxx zajišťujících xxxxx xxxxxxxxxxxx xxxxxxxx.
2.3. Xxxxxxxx xxx xxxxxxxxxxxx x hodnocení aktiv x pro hodnocení xxxxx
x) Xxxxxx stupnice xxx hodnocení xxxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxx aktiv,
2. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxxxxxx xxxxx,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.
x) Určení xxxxxxxx xxx hodnocení xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx dopadu,
2. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx hrozby,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx zranitelnosti,
4. xxxxxx stupnice xxx xxxxxxxxx xxxxxx xxxxx.
x) Xxxxxx a přístupy xxx xxxxxxxx rizik.
d) Xxxxxxx xxxxxxxxxxx akceptovatelných xxxxx.
2.4. Xxxxxx x xxxxxxxxx xxxxx x xxxxx
x) Xxxxxxx primárních xxxxx
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx a xxxxx podpůrných aktiv,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. určení vazeb xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.
x) Hodnocení xxxxx
1. xxxxxxxxx možných xxxxxx na aktiva,
2. xxxxxxxxx existujících xxxxxx,
3. xxxxxxxxx existujících zranitelností, xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
4. xxxxxxxxx xxxxxx rizika, xxxxxxxxx této úrovně x xxxxxxxx xxx xxxxxxxxxxxxxxxx xxxxx,
5. xxxxxx x xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx.
x) Zvládání xxxxx
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. xxxxx xxxxxxxx x jejich realizace.
2.5. Xxxxxxxxxx o xxxxxxxxxxxxxxxx
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxx xxxxxxxxxx, xxxx xxxxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx bezpečnostních xxxxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxxx.
2.6. Plán xxxxxxxx xxxxx
x) Xxxxx x xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx xxxxxx xxxxx xx xxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxx xxx jednotlivá bezpečnostní xxxxxxxx pro xxxxxxxx xxxxx.
x) Osoby zajišťující xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
x) Xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxx hodnocení úspěšnosti xxxxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx xxx xxxxxxxx xxxxx.
2.7. Plán xxxxxxx xxxxxxxxxxxxxx povědomí
a) Xxxxx x xxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx bezpečnostní xxxx.
x) Xxxxx x xxxxxxx xxxxxxx nových xxxxxxxxxxx.
x) Přehledy, xxxxx xxxxxxxx předmět jednotlivých xxxxxxx a xxxxxx xxxx, které xxxxxxx xxxxxxxxxxx.
x) Xxxxx x xxxxxxx hodnocení xxxxx.
2.8. Xxxxxxxx změn
a) Xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx xxxx.
x) Záznamy o xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx.
2.9. Xxxxxxx xxxxxxxxx xxxxx
Xxxxxxx xxxxxxxxx kontaktních xxxxx.
2.10. Xxxxxxx xxxxxx xxxxxxxxx právních xxxxxxxx, xxxxxxxxx předpisů a xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx
x) Xxxxxxx xxxxxx xxxxxxxxx právních xxxxxxxx.
x) Přehled xxxxxxxxx xxxxxxxx x jiných xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxx.
2.11. Xxxxx doporučená xxxxxxxxxxx
x) Topologie xxxxxxxxxxxxxx.
x) Xxxxxxx xxxxxxxx zařízení.
Příloha x. 6 x vyhlášce č. 82/2018 Xx.
Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x bezpečnostní role
Tato xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx požadavků pro xxxxx xxx řízení xxxxxxxxxxxx bezpečnosti a xxxxxxxxxxxx xxxx uvedené x §6 x 7.
Xxx. 1: Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx za xxxxxxx xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx v xxxxx povinné xxxxx. |
|
Xxxxx xxxxxxxx: |
x) Xxxx xxxxxx pro xxxxxx kybernetické xxxxxxxxxxx xxxx xxx xxxxxxx |
Xxx. 2: Manažer xxxxxxxxxxxx bezpečnosti
|
Role: |
Manažer xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx řízení systému xxxxxx xxxxxxxxxxx xxxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxx xxxx XXX/XXX 27000 x xxxxxxx xxxxx x xxxxxxx xxxxxxxxxxx x XXX. |
|
Xxxxxxxxxx: |
x) Prosazování xxxxxxx řízení bezpečnosti xxxxxxxxx. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx x xxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxx |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Security Xxxxxxx (XXXX), Xxxxxxxxx xx Xxxx xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Xxxxxxxxx Information Xxxxxxx Xxxxxxxx Xxxxxxxxxxxx (XXXXX), Manažer XX (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
x) Role xxxx xxxxxxxxxx x xxxxxx xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx x x xxxxxxx provozními xx xxxxxxxx xxxxxx. |
Xxx. 3: Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxxxx xxxxxxxxxxxx bezpečnosti |
|
Klíčové xxxxxxxx: |
x) Odpovědnost xx xxxxx implementace bezpečnostních xxxxxxxx. |
|
Xxxxxxxx: |
x) Architektura xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxx xxxxxxxxxx. |
|
Zkušenosti: |
a) Xxxxxxxxxx implementace xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx a praxe: |
a) Xxxxxxx 3 xxxx xxxxx v oboru xxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxxxxx, nebo |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxx Xxxxxx (XXX), XxxxXXX Xxxxxxxx +, Xxxxxxxxx Xxxxxxxxxxx Xxxxxxxx Xxxxxxx (CISM), Xxxxxxxxx in Risk xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Security Xxxxxxxxxxxx (CISSP), Manažer XX (akreditační schéma XXX). |
|
Xxxxx xxxxxxxx: |
Xxxx xxxx xxxxxxxxxx x xxxxxx xxxxxxxxxxx xx provoz xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx. |
Xxx. 4: Auditor xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
Xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti. |
|
Znalosti: |
a) Xxxxxxxxxxx x xxxxx auditu xxxxxxxxxx bezpečnosti. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxx xxxxxx informační xxxx xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx a xxxxx: |
x) Xxxxxxx 3 roky xxxxx v xxxxxxx xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx bezpečnosti, nebo |
|
Xxxxxxxxxx certifikace*: |
Certified Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXX), Certified Xxxxxxxx Xxxxxxx (CIA), Xxxxxxxxx xx Risk xxx Xxxxxxxxxxx Xxxxxxx Control (XXXXX), Xxxx Xxxxxxx Xxxxxxxxxxx Security Xxxxxxxxxx Xxxxxx (Lead Auditor XXXX), Auditor XX (xxxxxxxxxxx xxxxxx ČIA). |
|
Další xxxxxxxx: |
x) Xxxx xxxx xxxxxxxxxx x xxxxxx |
Tab. 5: Xxxxxx aktiva
|
Role: |
Garant aktiva |
|
Klíčové xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxxxxx rozvoje, použití x xxxxxxxxxxx aktiva. |
|
Xxxxxxxx: |
x) Xxxxx xxxxxxx xxxxxx, jehož je xxxxxxxx. |
* Xxxxxxxxxxx xxxx být x jiná než xxxxxxx, xxxxxxxx certifikace xxxxxxxxxxx xxxxxxxx způsobilost xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx XXX 17 024.
Xxxxxxx č. 7 x vyhlášce č. 82/2018 Xx.
Xxxxxx xxxxxxxxxx - bezpečnostní opatření xxx smluvní xxxxxx
Xxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxx dodavateli:
a) xxxxxxxxxx x xxxxxxxxxxx informací (x pohledu xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxx),
x) xxxxxxxxxx o oprávnění xxxxxx xxxx,
x) ustanovení x xxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxx o xxxxxxxxxxxx licencích,
d) ustanovení x kontrole x xxxxxx xxxxxxxxxx (xxxxxxxx xxxxxxxxxxxx xxxxxx),
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxx musí být xxxxxxxxx, že poddodavatelé xx xxxxxx xxxxxxxxx x xxxxx xxxxxxx xxxxxxxx xxxx xxxxxxxx xxxxxx a xxxxxxxxxxx x xxxxxxx x xxxxxxx s požadavky xxxxxxx xxxxx xx xxxxxxxxxx,
x) xxxxxxxxxx o xxxxxxxxxx xxxxxxxxxx dodržovat xxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxx xxxx ustanovení x odsouhlasení xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxxxx x xxxxxx změn,
h) ustanovení x xxxxxxx smluv x obecně závaznými xxxxxxxx xxxxxxxx,
x) ustanovení x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx povinnou xxxxx x
1. xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx s xxxxxxx xxxxxxx,
2. xxxxxxx xxxxxx rizik na xxxxxx dodavatele x x zbytkových rizicích xxxxxxxxxxxxx s xxxxxxx xxxxxxx,
3. xxxxxxxx změně xxxxxxxx xxxxxx xxxxxxxxxx xxxxx xxxxxx x xxxxxxxxxx korporacích xxxx xxxxx xxxxxxxxxxx xxxxxxxxx xxxxx, popřípadě xxxxx xxxxxxxxx xxxxxxxx x xxxxxx aktivy, xxxxxxxxxxx xxxxx xxxxxxxxxxx x xxxxxx podle smlouvy xx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x pohledu xxxxxxxxxxx při xxxxxxxx xxxxxxx (xxxxxxxxx xxxxxxxxx xxxxxx při xxxxxxxx xxxxxxxxxx, xxx xx xxxxx ještě xxxxxxxx xxxxxx xxxx xxxxxxxxx xxxxxx řešení, xxxxxxx xxx x xxxxxxx),
x) xxxxxxxxxxx podmínek xxx xxxxxx kontinuity činností x xxxxxxxxxxx s xxxxxxxxxx (například zahrnutí xxxxxxxxxx do xxxxxxxxxxx xxxxx, xxxxx dodavatelů xxx aktivaci xxxxxx xxxxxxxxxx činností),
l) xxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxx dat, xxxxxxxxxx xxxxx a informací xx xxxxxxxx správcem,
m) xxxxxxxx pro xxxxxxxxx xxx,
x) xxxxxxxxxx o xxxxx xxxxxxxxxxxx odstoupit xx xxxxxxx v xxxxxxx xxxxxxxx xxxxx xxxxxxxx xxx xxxxxxxxxxx xxxx xxxxx kontroly xxx xxxxxxxxx xxxxxx xxxxxxxxxxx dodavatelem x xxxxxx podle smlouvy x
x) xxxxxxxxxx o xxxxxxxx za xxxxxxxx xxxxxxxxxx.
Xxxxxxx x. 8 x vyhlášce x. 82/2018 Xx.
Xxxx Xxxxxxxxx xxx xxxxxxx kontaktních xxxxx
Informace
Právní xxxxxxx x. 82/2018 Xx. xxxxx xxxxxxxxx xxxx 28.5.2018.
Xx xxx xxxxxxxx xxxxxx xxxxxxx xxxxx xxxxx xx xxxxxxxxx.
Xxxxxx xxxxxxx x. 82/2018 Sb. xxx xxxxxx xxxxxxx xxxxxxxxx č. 264/2025 Sb. s xxxxxxxxx od 1.11.2025.
Xxxxx xxxxxxxxxxxx právních xxxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx není xxxxxxxxxxxxx, xxxxx xx xxxx xxxxxx xxxxxxxxx xxxxx xxxxx uvedeného xxxxxxxx předpisu.
1) Směrnice Evropského xxxxxxxxxx x Rady (XX) 2016/1148 xx xxx 6. xxxxxxxx 2016 x xxxxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxx x xxxxxxxxxxxx xxxxxxx v Xxxx.