Právní předpis byl sestaven k datu 15.06.2025.
Zobrazené znění právního předpisu je účinné od 28.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
82/2018 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení aktiv §4
Řízení rizik §5
Organizační bezpečnost §6
Bezpečnostní role §7
Řízení dodavatelů §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení změn §11
Řízení přístupu §12
Akvizice, vývoj a údržba §13
Zvládání kybernetických bezpečnostních událostí a incidentů §14
Řízení kontinuity činností §15
Audit kybernetické bezpečnosti §16
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §17
Bezpečnost komunikačních sítí §18
Správa a ověřování identit §19
Řízení přístupových oprávnění §20
Ochrana před škodlivým kódem §21
Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů §22
Detekce kybernetických bezpečnostních událostí §23
Sběr a vyhodnocování kybernetických bezpečnostních událostí §24
Aplikační bezpečnost §25
Kryptografické prostředky §26
Zajišťování úrovně dostupnosti informací §27
Průmyslové, řídicí a obdobné specifické systémy §28
Digitální služby §29
HLAVA III - BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní politika a bezpečnostní dokumentace §30
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Kategorizace kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ZÁVĚREČNÁ USTANOVENÍ
Přechodná ustanovení §35
Zrušovací ustanovení §36
Účinnost §37
Příloha č. 1 - Hodnocení aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Zranitelnosti a hrozby
Příloha č. 4 - Likvidace dat
Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace
Příloha č. 6 - Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role
Příloha č. 7 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy
Příloha č. 8 - Vzor Formuláře pro hlášení kontaktních údajů
82
XXXXXXXX
xx dne 21. xxxxxx 2018
x xxxxxxxxxxxxxx xxxxxxxxxx, kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx, reaktivních opatřeních, xxxxxxxxxxxxx podání x xxxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxx dat (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx úřad xxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx stanoví xxxxx §28 xxxx. 2 xxxx. x) až x) x f) xxxxxx x. 181/2014 Xx., x kybernetické xxxxxxxxxxx x x xxxxx xxxxxxxxxxxxx xxxxxx (xxxxx x xxxxxxxxxxxx xxxxxxxxxxx), xx znění xxxxxx x. 104/2017 Xx. x zákona x. 205/2017 Sb., (xxxx jen "xxxxx"):
XXXX PRVNÍ
ÚVODNÍ XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx Evropské xxxx1) x xxx xxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, významný xxxxxxxxxx xxxxxx, xxxxxxxxxx xxxxxx xxxxxxxx služby xxxxx xxxxxxxxxx xxxxxx xxxx xxx elektronických xxxxxxxxxx, xxxxx využívá xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, (dále xxx "informační x xxxxxxxxxxx xxxxxx") upravuje
a) xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) obsah x rozsah xxxxxxxxxxxxxx xxxxxxxx,
x) xxxx, kategorie x xxxxxxxxx významnosti xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
d) xxxxxxxxxxx x xxxxxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx oznámení x xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx,
x) xxxx xxxxxxxx xxxxxxxxxxx xxxxx a xxxx xxxxx a
g) xxxxxx xxxxxxxxx xxx, xxxxxxxxxx údajů, xxxxxxxxx x xxxxxx xxxxx.
§2
Xxxxxxxx xxxxx
Xxx účely xxxx xxxxxxxx xx xxxxxx
x) administrátorem osoba xxxxxxxxxxx xxxxxx, provoz, xxxxxxx, xxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxx riziko, xxxxx je xxxxxxxxxx xxx xxxxx nebo xxxxx, xxxxx xxxx xxxxxxx zavést xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx, (xxxx xxx "povinná xxxxx") x xxxx xxxxx xxx xxxxxxx xxxxxx xxxxxxx bezpečnostních xxxxxxxx,
x) bezpečnostní xxxxxxxxx xxxxxx xxxxx x xxxxxxxx, xxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxx,
x) xxxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxxx, xxxxxxx x vyhodnocení xxxxx,
x) xxxxxxx potenciální xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx, xxxxx xxxx způsobit škodu,
f) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx se xx xxxxxxx, xxxxxxx, xxxxxx xxxx xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) primárním aktivem xxxxxxxxx nebo xxxxxx, xxxxxx xxxxxxxxxx nebo xxxxxxxxx xxxxxxxxxx a xxxxxxxxxxx systém,
h) xxxxxxx xxxxxxx, xx určitá xxxxxx využije zranitelnosti xxxxxx x xxxxxxx xxxxx,
x) xxxxxxx xxxxx xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx, xxxxx x xxxxxxxx xxxxxxxx ke xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx x riziku x xxxxxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxxx xxxxxx bezpečnosti informací xxxx xxxxxxx xxxxxx xxxxxxx osoby xxxxxxxx xx xxxxxxxx x xxxxxxx informačního a xxxxxxxxxxxxx systému, xxxxx xxxxxxx xxxxxx xxxxxxxx, xxxxxxxx, provozování, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx a xxxxxxxxxx bezpečnosti informací x xxx,
x) technickým xxxxxxx xxxxxx technické xxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx x xxxxxxx, xx xxxxxxx jsou xxxx xxxxxxx umístěny, xxxxxxx selhání může xxx xxxxx na xxxxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxx xxxxx xxxxxxx xxxx, které využívají xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx xxxx, xxxxx řídí xxxxxxxx xxxxx, xxxx xxxxxxxxxx xxxxx xxxxxxx xxxxx,
x) významným xxxxxxxxxxx xxxxxxxxxxxx informačního nebo xxxxxxxxxxxxx xxxxxxx (xxxx xxx "provozovatel") x xxxxx, xxx x xxxxxxxx xxxxxx xxxxxxxx xx xxxxxxxx vztahu, xxxxx je xxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxx xxxxx, která má xxxx může xxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxx x představuje xxxxxx xxxxxx,
x) xxxxxxxxxxxxx xxxxx místo xxxxxx xxxx xxxxx místo xxxxxxxxxxxxxx xxxxxxxx, které xxxx xxx xxxxxxxx xxxxxx nebo xxxx xxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX OPATŘENÍ
HLAVA X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx xxxxxx xxxxxxxxxxx informací
Povinná osoba x xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx s ohledem xx xxxxxxxxx dotčených xxxxx a xxxxxxxxxxx xxxxxxxxxx xxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xx xxxxxx xxxx xxxxxxxxxxx části a xxxxxx, jichž xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx týká,
b) stanoví xxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) xxx xxxxxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xx základě xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx xxxxxx x xxxxxxxxx rizik xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) řídí xxxxxx xxxxx §5,
e) xxxxxxx x schválí xxxxxxxxxxxx xxxxxxxx x oblasti xxxxxxx řízení bezpečnosti xxxxxxxxx, která xxxxxxxx xxxxxx xxxxxx, cíle, xxxxxxxxxxxx xxxxxxx, xxxxx x povinnosti xx xxxxxx k xxxxxx xxxxxxxxxxx xxxxxxxxx, x xx xxxxxxx bezpečnostních xxxxxx a xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxx xxxxxxxxx podle §30 x xxxxxx xxxxxxxxx bezpečnostní xxxxxxxx,
x) xxxxxxx xxxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx u xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx (xxxx xxx "xxxxx kybernetické xxxxxxxxxxx") xxxxx §16,
x) zajistí xxxxxxxxxx vyhodnocování xxxxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxxx revize xxxxxxxxx xxxxx, xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx x xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx a xxxxxxxx xxxxx §11 xxxx xxxxxxxx změny, xxxxx xxxxx xx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) aktualizuje xxxxxx xxxxxx xxxxxxxxxxx informací x xxxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti, xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx x v xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxxx x
x) xxxx xxxxxx x xxxxxx xxxxxxx řízení xxxxxxxxxxx informací a xxxxxxxxxxx xxxxxxxx xxxxxxx xx systémem xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx rizik.
§4
Řízení xxxxx
(1) Xxxxxxx xxxxx x rámci xxxxxx xxxxx
x) stanoví xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxx metodiku xxx xxxxxxxxx xxxxx xxxxxxx x rozsahu xxxxxxxx x příloze č. 1 x xxxx xxxxxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxx,
x) xxxx a xxxxxxx garanty aktiv,
e) xxxxxxx x xxxxxxx xxxxxxxx aktiva x xxxxxxxx důvěrnosti, xxxxxxxxx x xxxxxxxxxxx a xxxxxx xx xx xxxxxxxxxxxx úrovní xxxxx xxxxxxx b),
f) xxxx x xxxxxxx vazby xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx a xxxxxxx důsledky xxxxxxxxxx xxxx primárními x xxxxxxxxxx aktivy,
g) xxxxxxx xxxxxxxx aktiva x xxxxxxxxxx přitom xxxxxxx xxxxxxxx závislosti podle xxxxxxx x),
x) na xxxxxxx hodnocení aktiv xxxxxxxxx x zavádí xxxxxxxx xxxxxxx xxxxx xxx zabezpečení xxxxxxxxxxxx xxxxxx xxxxx,
x) stanoví xxxxxxxxx způsoby používání xxxxx a pravidla xxx xxxxxxxxxx x xxxxxx x xxxxxxx xx xxxxxx xxxxx, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxx xxxxx, x
x) xxxx xxxxxx xxxxxxxxx xxx, xxxxxxxxxx xxxxx, informací x jejich kopií xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx dat x xxxxxxx xx xxxxxx xxxxx v souladu x přílohou č. 4 x xxxx vyhlášce.
(2) Při xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx xx třeba xxxxxxxx alespoň
a) rozsah x xxxxxxxxxx osobních xxxxx, xxxxxxxxxx xxxxxxxxx xxxxxxxx údajů xxxx xxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxx právních xxxxxxxxxx xxxx jiných xxxxxxx,
x) xxxxxx narušení vnitřních xxxxxxxx x xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxx a možné xxxxxxxx xxxxxx,
x) xxxxxx xx xxxxxxxxxxx důležitých xxxxxx,
x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx,
x) xxxxxx xx zachování dobrého xxxxx xxxx ochranu xxxxx xxxxxxx,
x) dopady xx bezpečnost x xxxxxx xxxx,
x) xxxxxx xx mezinárodní xxxxxx x
x) dopady xx xxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx.
§5
Xxxxxx xxxxx
(1) Povinná xxxxx x xxxxx xxxxxx xxxxx v xxxxxxxxxx xx §4
a) xxxxxxx xxxxxxxx pro xxxxxxxxx xxxxx, xxxxxx xxxxxxxxx kritérií xxx xxxxxxxxxxxxxxxx xxxxx,
x) x xxxxxxx na xxxxxx xxxxxxxxxxxx relevantní xxxxxx x zranitelnosti; přitom xxxxxxx xxxxxxx xxxxxxxxx xxxxxx x zranitelností xxxxxxxxx x příloze č. 3 x této xxxxxxxx,
x) xxxxxxx xxxxxxxxx rizik x pravidelných intervalech xxxxx xxxxxxxx 2 x xxx xxxxxxxxxx xxxxxxx,
x) xxx xxxxxxxxx xxxxx xxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxxxxxxx x xxxxxxx možné xxxxxx na aktiva; xxxx rizika hodnotí xxxxxxx x xxxxxxx přílohy č. 2 x xxxx xxxxxxxx,
x) zpracuje xxxxxx x xxxxxxxxx xxxxx,
x) xxxxxxxx xx základě xxxxxxxxxxxxxx xxxxxx x xxxxxxxx hodnocení xxxxx xxxxxxxxxx o aplikovatelnosti, xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxx opatření xxxxxxxxxxxx xxxxx xxxxxxxxx, která
1. xxxxxx xxxxxxxxxx, xxxxxx xxxxxxxxxx,
2. xxxx xxxxxxxxxx, xxxxxx xxxxxxx xxxxxx,
x) xxxxxxxx x xxxxxx xxxx xxxxxxxx xxxxx, xxxxx xxxxxxxx xxxx x přínosy bezpečnostních xxxxxxxx pro xxxxxxxx xxxxxxxxxxxx xxxxx, xxxxxx xxxxx zajišťující xxxxxxxxxxx xxxxxxxxxxxxxx opatření pro xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x informační xxxxxx, xxxxxx xxxxxx xxxxxxxx, xxxxx xxxxx xxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx opatřeními x xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx,
x) xxx xxxxxxxxx xxxxx x x xxxxx xxxxxxxx xxxxx xxxxxxxx
1. xxxxxxxx xxxxx,
2. xxxxx rozsahu xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
3. xxxxxxxx xxxxx §11 xxxxxx x
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx, včetně xxxxx xxxxxxxx, a
i) x souladu x xxxxxx zvládání xxxxx xxxxxx xxxxxxxxxxxx opatření.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), d) a x) xxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx ročně a xxxxxxx osoba uvedená x §3 písm. x) zákona alespoň xxxxxx xx tři xxxx.
(3) Řízení xxxxx xxxx být zajištěno x jinými xxxxxxx, xxx xxx je xxxxxxxxx v xxxxxxxx 1 xxxx. x), xxxxx povinná osoba xxxxxxxxx, xx použitá xxxxxxxx zajistí xxxxxxx xxxx vyšší xxxxxx xxxxxxx xxxxxx xxxxx.
§6
Xxxxxxxxxxx xxxxxxxxxx
(1) Povinná xxxxx s xxxxxxx xx systém řízení xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x cílů systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx §3 xxxxxxxxxxxx xx xxxxxxxxxxxx směřováním xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx do xxxxxxx povinné xxxxx,
x) xxxxxxx xxxxxxxxxx zdrojů xxxxxxxxxx xxx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx zaměstnance x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a xxxxxxx dosažení shody x xxxx xxxxxxxxx xx xxxxx xxxxxxxxx xxxxxxxx,
x) zajistí xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx řízení xxxxxxxxxxx informací,
f) xxxx xxxxxxxxxxx k rozvíjení xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a xxxxxxxxx xx při xxxxx xxxxxxxxx,
x) prosazuje xxxxxxxx xxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxx zastávající xxxxxxxxxxxx xxxx xxx xxxxxxxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxx jejich xxxxxxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxx pro xxxxxx xxxxxxxxxxxxxx x xxxx, xxxxx budou xxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxxx, xxx xxxx zachována xxxxxxxxxxx xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) pro osoby xxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx pravomoci x xxxxxx včetně xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx rolí x plnění xxxxxxxxxxxxx xxxxx a
l) xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx, obnovy x xxxxxxx xxxxxxxxx xx xxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx osoba x rámci xxxxxxx xxxxxx xxxxxxxxxxx informací xxxx xxxxxxx výboru xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxx x xxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxxx se xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(3) Xxxxxxx osoba xxxxxxx x §3 xxxx. x), d) a x) zákona xxxx xxxxx, která xxxx xxxxxxxx bezpečnostní roli
a) xxxxxxxx xxxxxxxxxxxx bezpečnosti,
b) xxxxxxxxxx kybernetické xxxxxxxxxxx,
x) xxxxxxx aktiva x
x) xxxxxxxx kybernetické bezpečnosti.
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxx xxxx manažera kybernetické xxxxxxxxxxx x garanta xxxxxx. Xxxxxxx bezpečnostní xxxx podle xxxxxxxx 3 xxxx xxxxxxxxx xxxxxxxx x rozsahu x potřebám systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
(5) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x x) xxxxxx zajistí xxxxxxxxxxxxxx xxxxxxxxxxxxxx rolí xxxxxxxxx v xxxxxxxx 3 xxxx. x) x x).
(6) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxx xxxx manažera xxxxxxxxxxxx bezpečnosti.
(7) Výbor xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxxxxxxx pro celkové xxxxxx x xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x osobami xxxxxxxx xx xxxxxxxxxxxx xx xxxxxx a xxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx bezpečností, xxxxx xxxxxx xxxx xxx alespoň xxxxx xxxxxxxx xxxxxxxxxxx vedení xxxx jím xxxxxxxx xxxxx a manažer xxxxxxxxxxxx bezpečnosti. Xxxxxxx xxxxx x xxxxxx xxx xxxxxx kybernetické xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx x příloze č. 6 x této xxxxxxxx.
§7
Xxxxxxxxxxxx xxxx
(1) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxxxxxxxxxx role xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, přičemž xxxxxxx xxxx xxxx xxxx být xxxxxxxx xxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx praxí x xxxxxxx kybernetické xxxxxxxxxxx nebo x xxxxxxx xxxxxxxxxxx xxxxxxxxx
1. xx xxxx xxxxxxx xxx xxx, xxxx
2. xx xxxx xxxxxxx xxxx, xxxxx xxxxxxxxxxx xxxxxxx xx xxxxxx xxxxx,
x) odpovídá xx xxxxxxxxxx xxxxxxxxxxx vrcholového xxxxxx x
1. činnostech xxxxxxxxxxxxx z xxxxxxx xxxx xxxxxxxxxxxx x
2. xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x
x) xxxxx xxx pověřen xxxxxxx rolí xxxxxxxxxxx xx xxxxxx informačního x xxxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxxxx xxxxxxxxxxxx bezpečnosti xx xxxxxxxxxxxx role xxxxxxxxx xx zajištění xxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx, aby xxxx zajištěna xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, xxxxxxx xxxxxxx této xxxx xxxx xxx xxxxxxxx xxxxx, xxxxx xx xxx tuto činnost xxxxxxxxx x prokáže xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxx implementace xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx bezpečnosti
a) xx xxxx xxxxxxx xxx xxx, nebo
b) xx xxxx jednoho xxxx, xxxxx xxxxxxxxxxx xxxxxxx na vysoké xxxxx.
(3) Garant xxxxxx xx bezpečnostní xxxx xxxxxxxxx xx xxxxxxxxx xxxxxxx, použití x xxxxxxxxxx aktiva.
(4) Auditor xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxxxxxxxxxx xxxx xxxxxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, přičemž xxxxxxx xxxx xxxx xxxx xxx xxxxxxxx xxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx auditů xxxxxxxxxxxx bezpečnosti nebo xxxxxx systému řízení xxxxxxxxxxx informací
1. xx xxxx nejméně tří xxx, xxxx
2. xx xxxx xxxxxxx xxxx, xxxxx xxxxxxxxxxx studium xx xxxxxx xxxxx,
x) xxxxxxxx, že xxxxxxxxx xxxxxx kybernetické bezpečnosti xx xxxxxxxxx, x
x) xxxxx být xxxxxxx xxxxxxx jiných xxxxxxxxxxxxxx xxxx.
(5) Povinná osoba xxx xxxxxxxx xxxx xxxxxxxxxxxxx bezpečnostní role xxxxxxxxx x xxxxxxxxxxx xxxxxxxx x příloze č. 6 x xxxx xxxxxxxx.
§8
Xxxxxx dodavatelů
(1) Xxxxxxx xxxxx
x) stanoví xxxxxxxx xxx dodavatele, která xxxxxxxxxx xxxxxxxxx systému xxxxxx bezpečnosti informací,
b) xxxx xxxxxxxx svých xxxxxxxxxx xxxxxxxxxx,
x) prokazatelně xxxxxxx xxxxxxxxx své xxxxxxxx xxxxxxxxxx x xxxxxx xxxxxxxx xxxxx xxxxxxx x),
x) seznamuje xxx xxxxxxxxxx s xxxxxxxx xxxxx písmene x) a xxxxxxxx xxxxxx těchto xxxxxxxx,
x) xxxx xxxxxx xxxxxxx x dodavateli,
f) x xxxxxxxxxxx x xxxxxxx xxxxx xxxxxxxxx s xxxxxxxxxx dodavateli xxxxxxx, xxx xxxxxxx uzavírané x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx v příloze č. 7 x této xxxxxxxx, x
x) xxxxxxxxxx přezkoumává xxxxxx xxxxx x xxxxxxxxxx dodavateli x xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxx xxxx
x) x xxxxx xxxxxxxxxx xxxxxx x před uzavřením xxxxxxx provádí hodnocení xxxxx souvisejících x xxxxxxx předmětu xxxxxxxxxx xxxxxx xxxxxxxxx xxxxx přílohy č. 2 x xxxx xxxxxxxx,
x) x xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx způsoby a xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a určí xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx pravidelné xxxxxxxxx xxxxx x xxxxxxxxxxx kontrolu xxxxxxxxxx xxxxxxxxxxxxxx opatření u xxxxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxx zdrojů xxxx xxxxxx xxxxx strany x
x) x reakci xx rizika x xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx řešení.
(3) Náležitosti xxxxxxxxxxxxxx informování podle xxxxxxxx 1 písm. x) xxxx
x) identifikace xxxxxxx nebo provozovatele,
b) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
c) xxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxxx, xx xxxxxxxxx je pro xxxxxxx významným dodavatelem, x popřípadě xxxx x xxx, xx xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx, x
x) xxxxx xxxxxxxx podle xxxxxxxx 1 písm. x).
(4) Povinná osoba xxxxxxx v §3 xxxx. x) až x) xxxxxx, která xx xxxxxxxxxxxxxx x xxxx prokazatelně xxxxxxxxxxx xxxxx xxxxxxxx 1 xxxx. x), xxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxx x §34.
§9
Bezpečnost lidských xxxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx
x) s xxxxxxx xx xxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxx xx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx bezpečnostního xxxxxxxx x který obsahuje xxxxx, obsah x xxxxxx
1. xxxxxxx uživatelů, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx a xxxxxxxxxx x xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx xxxxxxxx a
2. xxxxxxxxxx teoretických x xxxxxxxxxxx xxxxxxx uživatelů, xxxxxxxxxxxxxx a osob xxxxxxxxxxxxx bezpečnostní xxxx,
x) xxxx xxxxx odpovědné xx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, které xxxx x xxxxx uvedeny,
c) x xxxxxxx s xxxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxxxx poučení xxxxxxxxx, xxxxxxxxxxxxxx, osob xxxxxxxxxxxxx bezpečnostní role x xxxxxxxxxx o xxxxxx povinnostech a x xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx a xxxxxxxxxxxx školení,
d) xxx xxxxx xxxxxxxxxxx bezpečnostní xxxx x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxx školení, xxxxxxx xxxxxxx x xxxxxxxxxx xxxxxx povinné xxxxx v xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) x xxxxxxx x plánem xxxxxxx bezpečnostního xxxxxxxx xxxxxxx xxxxxxxxxx školení x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx x xxxxxxx s jejich xxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, administrátorů a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) v případě xxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxxx x xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx zajistí předání xxxxxxxxxxxx,
x) hodnotí xxxxxxxx xxxxx xxxxxxx bezpečnostního xxxxxxxx, xxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx se xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
x) xxxx xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxx porušení stanovených xxxxxxxxxxxxxx pravidel ze xxxxxx xxxxxxxxx, administrátorů x xxxx zastávajících xxxxxxxxxxxx role.
(2) Xxxxxxx xxxxx vede o xxxxxxx podle odstavce 1 xxxxxxxx, které xxxxxxxx xxxxxxx xxxxxxx x xxxxxx osob, xxxxx školení absolvovaly.
§10
Řízení xxxxxxx a xxxxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx řízení xxxxxxx x xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx a xxxxxxx, xxxxx obsahují xxxxxxx
x) xxxxx a xxxxxxxxxx administrátorů, xxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxx a xxxxxxxx chodu systému, xxx restart nebo xxxxxxxx chodu xxxxxxx xx xxxxxxx a xxx xxxxxxxx chybových xxxxx xxxx mimořádných xxxx,
x) postupy pro xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxxx xxx ochranu xxxxxxxx x záznamům x xxxxxx xxxxxxxxxx,
x) xxxxxxxx x postupy pro xxxxxxx před xxxxxxxxx xxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx,
x) spojení xx xxxxxxxxx xxxxx, xxxxx xxxx xxxxxxxx výkonem xxxxxxxxx x xxxxxxxxx xxxxxxx,
x) xxxxxxx řízení x xxxxxxxxxxx provozních xxxx,
x) xxxxxxx xxx xxxxxxxxx, xxxxxxxxx x xxxxxx kapacity lidských x technických xxxxxx,
x) xxxxxxxx a xxxxxxx xxx ochranu xxxxxxxxx x xxx x xxxxxxx xxxxxx životního xxxxx,
x) pravidla x xxxxxxx pro instalaci xxxxxxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxx x
x) xxxxxxxx x postupy xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx.
(2) Xxxxxxx osoba x xxxxx řízení xxxxxxx a xxxxxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx stanovené xxxxx xxxxxxxx 1 x xxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx v xxxxxxxxxxx x xxxxxxxxxxx xxxx plánovanými změnami.
(3) Xxxxxxx xxxxx xxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxx prostředí.
§11
Xxxxxx změn
(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxx x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx
x) xxxxxxxxxxx xxxxx xxxxxx změn a
b) xxxxxx významné xxxxx.
(2) Xxxxxxx osoba u xxxxxxxxxx xxxx
x) xxxxxxxxxxx xxxxxx řízení,
b) provádí xxxxxxx rizik,
c) přijímá xxxxxxxx xx účelem xxxxxxx všech xxxxxxxxxxxx xxxxxx xxxxxxxxx s xxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxxxx politiku x xxxxxxxxxxxx dokumentaci,
e) zajistí xxxxxx xxxxxxxxx x
x) xxxxxxx xxxxxxx navrácení xx původního stavu.
(3) Xxxxxxx osoba uvedená x §3 xxxx. x), x) a x) xxxxxx xx xxxxxxx výsledků xxxxxxx xxxxx xxxxx xxxxxxxx 2 xxxx. x) xxxxxxxxx x provedení xxxxxxxxxxxx testování nebo xxxxxxxxx xxxxxxxxxxxxx; pokud xxxxxxxx o xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx xxxxx §25 xxxx. 1 a reaguje xx xxxxxxxx xxxxxxxxxx.
(4) Xxxxxxx xxxxx xxxxxxx x §3 písm. x) xxxxxx xx xxxx xxxxxxxxx xxxxx xxxxxxxx 3 přiměřeně.
§12
Xxxxxx přístupu
(1) Xxxxxxx xxxxx xx xxxxxxx xxxxxxxxxx x bezpečnostních xxxxxx řídí přístup x informačnímu x xxxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx, která xxxxxx x xxxxxxxxx xxxxxxx údajů, xxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxx §19 x 20, x xxxxx xxxxx ve xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx osobou.
(2) Xxxxxxx xxxxx dále x xxxxx xxxxxx xxxxxxxx x informačnímu x xxxxxxxxxxxxx xxxxxxx
x) xxxx xxxxxxx xx xxxxxxx xxxxxx x xxxx,
x) xxxxxxx xxxxxxx xxxxxxxxx x administrátorovi přistupujícímu x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxx a xxxxxxxxx x xxxxxxxxx identifikátor,
c) xxxx identifikátory, xxxxxxxxxx xxxxx a oprávnění xxxxxxxx x technických xxxx,
x) zavádí xxxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx informačního x xxxxxxxxxxxxx systému,
e) xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxx technických xxxxxxxx, xxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx xxxxx xxxx xx své xxxxxx,
x) xxxxx přidělování xxxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx nezbytně xxxxxx x výkonu xxxxxx xxxxx,
x) omezí x xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxx x xxxxxxx xxxxxxxxxx oprávnění x xxxxxxx x xxxxxxxxx řízení xxxxxxxx,
x) xxxxxxx xxxxxxxxxx přezkoumání xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx rozdělení xx xxxxxxxxxxxx xxxxxx x xxxx,
x) xxxxxxx xxxxxxx xxx správu x ověřování xxxxxxxx xxxxx §19 x xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §20,
x) xxxxxxxxx, aby xxxxxxxxx při xxxxxxxxx xxxxxxxxxx autentizačních xxxxxxxxx xxxxxxxxxx stanovené xxxxxxx,
x) xxxxxxx xxxxxxxx xxxx xxxxx přístupových oprávnění xxx změně pozice xxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx nebo xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role,
m) xxxxxxx odebrání xxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx ukončení nebo xxxxx smluvního vztahu x
x) xxxxxxxxxxx xxxxxxxxxxx x odebírání přístupových xxxxxxxxx.
§13
Xxxxxxxx, xxxxx x xxxxxx
Xxxxxxx osoba x xxxxxxxxxxx s xxxxxxxxxx xxxxxxxx, xxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) xxxx xxxxxx xxxxx §5,
x) xxxx významné xxxxx xxxxx §11,
x) xxxxxxx xxxxxxxxxxxx požadavky,
d) xxxxxx xxxxxxxxxxxx xxxxxxxxx do xxxxxxxx akvizice, vývoje x údržby,
e) xxxxxxx xxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx prostředí x xxxxxxx ochranu xxxxxxxxxxx xxxxxxxxxxx xxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxx xxxx xxxxxx xxxxxxxxx do xxxxxxx x
x) plní požadavek xxxxx §19 xxxx. 3, xx-xx xxxxx xxxxxxxxx xxxxxxxx nebo xxxxxx xxxxxxx xxx xxxxxx a xxxxxxxxx xxxxxxxx.
§14
Xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x incidentů
(1) Xxxxxxx xxxxx x xxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx proces xxxxxxx x vyhodnocování xxxxxxxxxxxxxx bezpečnostních událostí x zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
b) xxxxxxx xxxxxxxxxxxx x xxxxxxx xxxxxxx xxx
1. detekci x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx a
2. xxxxxxxxxx x zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
c) definuje x xxxxxxxx postupy xxx xxxxxxxxxxxx, xxxx, xxxxxxx a xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) zajistí xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx,
x) xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx xx xxxx řídí §22 a 23,
x) xxxxxxx, že uživatelé, xxxxxxxxxxxxxx, xxxxx zastávající xxxxxxxxxxxx role, xxxxx xxxxxxxxxxx x xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx a xxxxxxxxx na jakékoliv xxxxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxx kterém musí xxx rozhodnuto, zda xxxx xxx klasifikovány xxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxx §31,
h) xxxxxxx zvládání kybernetických xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxx,
x) přijímá xxxxxxxx xxx xxxxxxxxx x xxxxxxxx dopadu xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §32,
x) xxxx xxxxxxx o xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx x x xxxxxx xxxxxxxx,
x) xxxxxxxx a xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu a
m) xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x na xxxxxxx xxxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx k zamezení xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu.
(2) Xxxxxxx xxxxx xxxxxxx x §3 písm. c), x) x f) xxxxxx xxxx při xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx xxxxxxx nástroj xxxxx §24.
§15
Řízení kontinuity xxxxxxxx
Xxxxxxx xxxxx v xxxxx xxxxxx xxxxxxxxxx xxxxxxxx
x) xxxxxxx práva x xxxxxxxxxx administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxx hodnocení xxxxx x xxxxxxx xxxxxx xxxxxxxxx a xxxxxxxxxxx možné xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx x xxxxxxx xxxxx xxxxxx související x xxxxxxxxx kontinuity xxxxxxxx,
x) xx xxxxxxx xxxxxxx xxxxxxxxx xxxxx a xxxxxxx xxxxxx xxxxx xxxxxxx x) xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxx formou xxxxxx
1. xxxxxxxxx xxxxxx poskytovaných xxxxxx, která xx xxxxxxxxxx xxx xxxxxxx, xxxxxx a správu xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
2. doby xxxxxxxx xxxxx, během xxxxx xxxx po xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx informačního x xxxxxxxxxxxxx xxxxxxx, x
3. xxxx xxxxxxxx xxx xxxx xxxxxx xxxxxx, xx xxxxx xxxx xxx xxxxxx xxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxx xx xxxxxxx,
x) xxxxxxx xxxxxxxx řízení kontinuity xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxx podle xxxxxxx x),
x) vypracuje, xxxxxxxxxxx a pravidelně xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx x havarijní xxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx systému x xxxxxxxxxxxxx xxxxxx x
x) xxxxxxxxx xxxxxxxx xxx xxxxxxx odolnosti informačního x xxxxxxxxxxxxx xxxxxxx xxxx kybernetickým bezpečnostním xxxxxxxxxx x xxxxxxxx xxxxxxxxxxx x xxxxxxx xxx xxx x xxxxxxxxx podle §27.
§16
Audit xxxxxxxxxxxx bezpečnosti
(1) Xxxxxxx xxxxx x xxxxx xxxxxx kybernetické xxxxxxxxxxx
x) xxxxxxx a xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxxxxx politiky, včetně xxxxxxxxxxx xxxxxxxxx xxxxx, x xxxxxxxx auditu xxxxxxxx v xxxxx xxxxxxx bezpečnostního xxxxxxxx x plánu xxxxxxxx xxxxx a
b) posuzuje xxxxxx xxxxxxxxxxxxxx opatření x xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx, jinými xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxxx xx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxx xxxxxxxx nápravná xxxxxxxx xxx xxxxxxxxx xxxxxxx.
(2) Xxxxx xxxxx xxxxxxxx 1 xx prováděn
a) xxx xxxxxxxxxx změnách, x xxxxx jejich xxxxxxx,
x) v xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xx 3 xxxxxx v xxxxxxx xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx x
x) x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xx 2 xxxxxx v xxxxxxx povinné xxxxx xxxxxxxxx x xxxxxxx x).
(3) Není-li v xxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx audit x xxxxxxxxxxx podle xxxxxxxx 2 písm. x) x x) x xxxxx xxxxxxx, xx xxxxx xxxxx xxxxxxxx xxxxxxxx xx xxxxxxxxxxxxxx xxxxxxx. V xxxxxxx xxxxxxx xx xxxxx xxxxx x xxxxx xxxxxxx xxxxxxx xxxxxxxxxx xx 5 xxx.
(4) Xxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx xxxxxxxx xxxxxx xxxxxxxxxx podmínkám xxxxxxxxxx v §7 xxxx. 4, xxxxx xxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx opatření.
(5) Povinná xxxxx, xxxxx xx xxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx daného xxxxxxxxxxxx a komunikačního xxxxxxx.
XXXXX XX
XXXXXXXXX XXXXXXXX
§17
Xxxxxxx xxxxxxxxxx
Xxxxxxx osoba x xxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxxxxx xxxxxxxxx, xxxxxxx xxxx xxxxxxxx aktiv xxxx xxxxxxxxx poskytování xxxxxx informačního x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxxx xxxxxx, xx xxxxx jsou uchovávány x xxxxxxxxxxxx informace x xxxxxxxx technická xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému, x
x) x xxxxxxxxx bezpečnostního xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx x) xxxxxx xxxxxxxx xxxxxxxx a xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx
1. x xxxxxxxx xxxxxxxxxxxxx xxxxxx,
2. k xxxxxxxx poškození a xxxxxxxxxxxx xxxxxxx a
3. xxx xxxxxxxxx ochrany xx úrovni xxxxxxx x x xxxxx xxxxxxx.
§18
Xxxxxxxxxx komunikačních xxxx
Xxxxxxx xxxxx xxx xxxxxxx xxxxxxxxxxx komunikační sítě xxxxxxxx x xxxxxxx xxxxx §3 xxxx. x)
x) xxxxxxx segmentaci xxxxxxxxxxx sítě,
b) zajistí xxxxxx komunikace x xxxxx xxxxxxxxxxx sítě x perimetru xxxxxxxxxxx xxxx,
x) pomocí kryptografie xxxxxxx xxxxxxxxx x xxxxxxxxx dat při xxxxxxxxx xxxxxxxx, vzdálené xxxxxx nebo xxx xxxxxxxx xx komunikační xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) aktivně xxxxxxx xxxxxxxxx komunikaci x
x) xxx xxxxxxxxx segmentace xxxx x pro xxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxxx xxxxxxx xxxxxxx, xxxxx zajistí xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx.
§19
Xxxxxx a xxxxxxxxx xxxxxxx
(1) Xxxxxxx xxxxx xxxxxxx nástroj xxx xxxxxx x xxxxxxx xxxxxxxx uživatelů, xxxxxxxxxxxxxx x xxxxxxxx informačního x komunikačního xxxxxxx.
(2) Xxxxxxx xxx správu x xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxx zajišťuje
a) ověření xxxxxxxx xxxx zahájením xxxxxxx v informačním x komunikačním xxxxxxx,
x) xxxxxx xxxxx xxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxxxx,
x) odolnost xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxxx xxxxxxxxxxxxx xxxxxxxx x xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxxxx údajů xx xxxxx xxxxxx xxxxx xxxxxxx xxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxx xx xxxxxx xxxx xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxx při xxxxxx xxxxxxxx x
x) xxxxxxxxxxxxxxx xxxxxx identit.
(3) Xxxxxxx xxxxx pro xxxxxxx identity uživatelů, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxx xxxxxxxx xxxxx na xxxxxxx xxxxxxxxxxxxxx xxxx a xxxxx, xxxxx xx xxxxxxxxxxxxx autentizaci x xxxxxxx dvěma různými xxxx xxxxxxx.
(4) Xx xxxx xxxxxxx požadavku xxxxx odstavce 3 xxxx xxxxxxx pro xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxx, xxxxxxxx autentizaci xxxxxx xxxxxxxxxxxxxxxx klíčů x xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx.
(5) Xx xxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx 4 xxxx xxxxxxx xxx ověření xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx, xxxxx xxxxxxx x autentizaci identifikátor xxxx x xxxxx, xxxxxxxxx xxxxxxxx
x) xxxxx xxxxx xxxxxxx
1. 12 xxxxx u xxxxxxxxx x
2. 17 xxxxx x xxxxxxxxxxxxxx x xxxxxxxx,
x) umožňující xxxxx xxxxx x délce xxxxxxx 64 xxxxx,
x) xxxxxxxxxxx xxxxxxx malých x velkých xxxxxx, xxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx uživatelům xxxxx hesla, přičemž xxxxxx xxxx xxxxx xxxxxxx xxxxx xxxxx xxx xxxxxx xxx 30 xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxx a administrátorům
1. xxxxxx si nejčastěji xxxxxxxxx xxxxx,
2. xxxxxx xxxxx xx základě xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx, přihlašovacího xxxxx, x-xxxxx, xxxxx systému xxxx xxxxxxxx xxxxxxxx x
3. xxxxxxxx použití xxxxx používaných hesel x xxxxxx xxxxxxx 12 xxxxxxxxxxx xxxxx x
x) xxx xxxxxxxx xxxxx xxxxx v xxxxxxxxx maximálně xx 18 xxxxxxxx, xxxxxxx xxxx xxxxxxxx xx xxxxxxxxxx na xxxx xxxxxxxx k xxxxxx xxxxxxx x xxxxxxx xxxxxxx.
(6) Xxxxxxx xxxxx x případě xxxxxxxxx xxxxxxxxxxx pouze xxxxx x heslem xxxx
x) xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx hesla xx xxxx xxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx x xxxxxxxx xxxxxxxx xx jeho xxxxxx xxxxxxx xxxx xxxxxxxxx xxxxxxx 60 xxxxx xx jeho xxxxxxxxx x
x) xxxxxxx xxxxxx pravidla tvorby xxxxxxxxxx hesel xx xxxxx xxxxxxx bezpečnostního xxxxxxxx podle §9.
§20
Řízení přístupových xxxxxxxxx
Xxxxxxx xxxxx používá centralizovaný xxxxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxx, kterým xxxxxxx xxxxxx xxxxxxxxx
x) xxx xxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x
x) xxx xxxxx xxx, zápis xxx x xxxxx xxxxxxxxx.
§21
Xxxxxxx před škodlivým xxxxx
(1) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x x) xxxxxx x xxxxx ochrany xxxx xxxxxxxxx xxxxx
x) x xxxxxxx xx xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxx nástroje xxx xxxxxxxxxxxx automatickou ochranu
1. xxxxxxxxx xxxxxx,
2. xxxxxxxxx xxxxxxxx,
3. xxxxxxx,
4. xxxxxxxx xxxxxxx a xxxxxxxxx xxxxxxxx xxxxxx,
5. komunikační xxxx x prvků xxxxxxxxxxx xxxx a
6. xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x xxxx xxxxxxxxx xxxxxxxxx zařízení x xxxxxxxx xxxxxx,
x) xxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxx a xxxxxxxx xxxxxx,
x) řídí xxxxxxxxx xx xxxxxxxxx xxxx x
x) xxxxxxx xxxxxxxxxxx x účinnou xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxxxxxx xxxxx xxxxxxxx 1 přiměřeně.
§22
Zaznamenávání xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, xxxx xxxxxxxxx a xxxxxxxxxxxxxx
(1) Xxxxxxx osoba
a) xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx provozní události xxxxxxxxxx aktiv xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x
x) na základě xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxxx xxxxx, x kterých xx xxxxxxxxxxxxx bezpečnostních x xxxxxxxxxx událostí prováděno.
(2) Xxxxxxx xxxxx pro xxxxxxxxxxxxx bezpečnostních x xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxxx
x) xxxxxxxxxxxx síťovou identifikaci xxxxxxxx xxxxxxx, xx-xx x xxxxxxxxxxx xxxx xxxxxx xxxxxxx, xxxxx xxxx jeho síťovou xxxxxxxxxxxx,
x) xxxx informací x xxxxxxxxxxxxxx x xxxxxxxxxx událostech; zejména xxxxxxxxxxx
1. datum x xxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxx,
2. xxx xxxxxxxx,
3. identifikaci xxxxxxxxxxx xxxxxx, xxxxx činnost xxxxxxxxxxx,
4. xxxxxxxxxxxx identifikaci xxxx, xxx kterým xxxx xxxxxxx provedena,
5. xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx původce a
6. xxxxxxxxx xxxx neúspěšnost xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxxx podle písmen x) x x) xxxx xxxxxxxxxxxx xxxxxx x xxxxxxxxx změnou,
d) xxxxxxxxxxxxx
1. xxxxxxxxxxxx x xxxxxxxxxxx xx xxxx xxxxx, x xx xxxxxx xxxxxxxxxxx pokusů,
2. xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx,
3. xxxxxxx x xxxxxxxxx xxxxxxxxxx x xxxx, xxxxxxxxxxx a xxxxx,
4. xxxxxxxxxxx xxxxxxxx v xxxxxxxx xxxxxxxxxx přístupových xxxx a oprávnění,
5. xxxxxxxx xxxxxxxxx, xxxxx xxxxx xxx xxxx xx xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
6. xxxxxxxx a xxxxxxxx xxxxxxxx technických aktiv,
7. xxxxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx x
8. xxxxxxxx x xxxxxxxx x událostech, xxxxxx o xxxxxxxxxx xx záznamy x xxxxxxxxxx a xxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxxxxxxx xxxxxxxxxx času xxxxxxxxxxx aktiv nejméně xxxxxx xx 24 xxxxx.
(3) Xxxxxxx osoba xxxxxxx x §3 xxxx. c), x) x x) xxxxxx xxxxxxxx xxxxxxx událostí xxxxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxx xx xxxx 18 xxxxxx.
(4) Xxxxxxx osoba xxxxxxx x §3 xxxx. x) xxxxxx xxxxxxxx xxxxxxx událostí xxxxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxx po dobu 12 měsíců.
§23
Xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx komunikační xxxx, jejíž xxxxxxxx xx informační x xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx x xxxxxxxx xxxxxxxxxxx xxx x xxxxx xxxxxxxxxxx sítě x xxxx xxxxxxxxxxxxx sítěmi,
b) xxxxxxx x xxxxxxxx xxxxxxxxxxx dat xx xxxxxxxxx komunikační xxxx x
x) xxxxxxxxx nežádoucí xxxxxxxxxx.
(2) Xxxxxxx osoba xxxxxxx x §3 xxxx. x), x) x x) zákona xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxx x ohledem na xxxxxxxxxx xxxxx x xxxxx
x) xxxxxxxxx xxxxxx,
x) xxxxxxxxx xxxxxxxx,
x) xxxxxxx,
x) xxxxxxxx xxxxxxx a xxxxxxxxx xxxxxxxx nosičů,
e) xxxxxxxx xxxxxxxxx xxxxx x
x) xxxxxxxxx xxxxx.
§24
Sběr x vyhodnocování xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
Xxxxxxx xxxxx xxxxxxx v §3 xxxx. x), x) a f) xxxxxx xxxxxxx xxxxxxx xxx xxxx a xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx
x) xxxx x xxxxxxxxxxxxx xxxxxxxx zaznamenaných xxxxx §22 x 23,
x) vyhledávání a xxxxxxxxxxx souvisejících xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxx xxxxxx bezpečnostní role x detekovaných xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostech,
d) xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí x cílem identifikace xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů, xxxxxx xxxxxxxx xxxxxxxx xxxxxxxx bezpečnostních xxxx,
x) xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx událostí xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx
1. xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a
2. xxxxxx xxxxxxxx x
x) xxxxxxxxx informací xxxxxxxxx xxxxxxxxx xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
§25
Aplikační xxxxxxxxxx
(1) Xxxxxxx xxxxx xxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému xx xxxxxxxxx xx důležitá xxxxxx, a to
a) xxxx jejich xxxxxxxx xx provozu x
x) x xxxxxxxxxxx x xxxxxxxxx xxxxxx xxxxx §11 xxxx. 3.
(2) Xxxxxxx xxxxx xxxx x rámci xxxxxxxxx xxxxxxxxxxx xxxxxxx trvalou xxxxxxx xxxxxxxx, informací x xxxxxxxxx xxxx
x) xxxxxxxxxxxx činností x
x) xxxxxxxx provedených xxxxxxxx.
§26
Xxxxxxxxxxxxxx xxxxxxxxxx
Xxxxxxx osoba xxx xxxxxxx xxxxx xxxxxxxxxxxx x komunikačního xxxxxxx
x) xxxxxxx xxxxxxxx xxxxxx kryptografické algoritmy x kryptografické klíče,
b) xxxxxxx xxxxxx xxxxxx xxxxx x certifikátů, xxxxx
1. xxxxxxx generování, xxxxxxxxxx, xxxxxxxx, změny, xxxxxxx xxxxxxxxx, zneplatnění xxxxxxxxxxx x xxxxxxxxx xxxxx x
2. xxxxxx xxxxxxxx x audit,
c) xxxxxxxxx bezpečné nakládání x xxxxxxxxxxxxxxxx xxxxxxxxxx x
x) zohledňuje doporučení x xxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx Xxxxxx, xxxxxxxxxx xx jeho xxxxxxxxxxxxx xxxxxxxxx.
§27
Xxxxxxxxxxx úrovně xxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx xxxxxx xxxxxxxx pro zajišťování xxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxxxxxx x komunikačního systému xxx splnění xxxx xxxxx §15,
b) odolnost xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx mohly xxxxxx xxxx dostupnost,
c) xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x
x) xxxxxxxxxx xxxxx xxxxxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému.
§28
Xxxxxxxxxx, xxxxxx a xxxxxxx xxxxxxxxxx systémy
Povinná xxxxx xxx xxxxxxxxx xxxxxxxxxxxx bezpečnosti xxxxxxxxxxxx, xxxxxxxx x obdobných xxxxxxxxxxxx xxxxxxx používá xxxxxxxx x xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx xxxxxxxxxxx x programových xxxxxxxxxx, xxxxx jsou xxxxxx xx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxx xxxxxxx x xx xxxxxxxxxxx xxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxx xxxxxx xxx tyto xxxxxxx xx xxxxxxx xxxxxxxxxxxxxx,
x) omezení x xxxxxx vzdáleného přístupu x xxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx technických xxxxx xxxxxx xxxxxxx xxxx využitím xxxxxxx xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx xxxxxx xxxxxxx xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx.
§29
Xxxxxxxxx xxxxxx
(1) Povinná xxxxx xxxxxxx x §3 xxxx. x) xxxxxx zavede bezpečnostní xxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxx Komise (EU) 2018/151 xx dne 30. xxxxx 2018, xxxxxx xx stanoví xxxxxxxx xxx xxxxxxxxxxx xxxxxxxx Xxxxxxxxxx parlamentu x Xxxx (XX) 2016/1148, xxxxx xxx x bližší upřesnění xxxxx, které musí xxxxxxxxxxxxx digitálních xxxxxx xxxxxxxxxxx xxx řízení xxxxxxxxxxxxxx rizik, xxxxx xxxx xxxxxxxxx sítě x informační systémy, x parametrů xxx xxxxxxxxxx xxxx, zda xx xxxxx incidentu xxxxxxxx; xxxxxxxxxx §3 xx 28 se xx xxxx xxxxxxxx xxxxx xxxxxxxxx.
(2) Povinná xxxxx xxxxxxx x §3 xxxx. h) xxxxxx xxxxx xxxxxxxxx xxxxx xxxxx §34 xxxx. 2.
(3) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxxx incidenty podle §32 xxxx. 2 x 3.
HLAVA XXX
XXXXXXXXXXXX XXXXXXXX X XXXXXXXXXXXX XXXXXXXXXXX
§30
Xxxxxxxxxxxx xxxxxxxx x bezpečnostní xxxxxxxxxxx
(1) Povinná xxxxx
x) xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx v příloze č. 5,
b) xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxxx, xxx xxxx xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx.
(2) Xxxxxxxxxxxx xxxxxxxx x bezpečnostní xxxxxxxxxxx musí xxx
x) xxxxxxxx x xxxxxxxx xxxx elektronické xxxxxx,
x) xxxxxxxxxxxx x rámci xxxxxxx osoby,
c) xxxxxxxxx xxxxxxxx dotčeným xxxxxxx,
x) xxxxxx,
x) xxxxxxxx z xxxxxxx důvěrnosti, xxxxxxxxx x xxxxxxxxxxx a
f) xxxxxx xxx, xxx xxxxxxxxx x xxxx xxxxxxxx xxxx xxxxx, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx x xxxxxx xxxxxxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX
§31
Xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxx významnosti xxx xxxxxxxxxx
x) xxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxx xxxxxxx xxxxx určeny,
b) počtu xxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxx xxxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxx xxxxxxxxx aktiv xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
x) xxxxxx na služby xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systémy,
g) xxxxx xxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx a
i) xxxxxxx xxxxxx.
(2) Pro xxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xx xxxxxxx xxxxxxxxxx xxxxx xxxxxxxx 1 kybernetické bezpečnostní xxxxxxxxx xxxxxx do xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - xxxxx xxxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, při xxxxxx xx xxxxx a xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx. Xxxx řešení xxxxxxxx neprodlené zásahy xxxxxxx x xxx, xx musí být xxxxx xxxxxxxxxx prostředky xxxxxxxxx xxxxxxx šíření xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxxx xxxxxxxxxxxx vzniklých x xxxxxxxxxxxxx xxxx,
x) Xxxxxxxxx XX - xxxxxxxx kybernetický bezpečnostní xxxxxxxx, xxx kterém xx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx služeb nebo xxxxx. Xxxx xxxxxx xxxxxxxx neprodlené zásahy xxxxxxx x xxx, xx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx kybernetického xxxxxxxxxxxxxx incidentu xxxxxx xxxxxxxxxxxx vzniklých xxxx, xxxx
x) Xxxxxxxxx X - xxxx xxxxxxxx xxxxxxxxxxxx bezpečnostní incident, xxx xxxxxx xxxxxxx x xxxx významnému xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxx xxxxxxx s xxx, že musí xxx xxxxxxxx prostředky xxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxxxx xxxxxxxxxxxx vzniklých xxxx.
(3) Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxx jsou
a) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx aktiv,
b) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx,
x) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, nebo
d) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxx x) xx x).
(4) Xxxx xxxxxxxxxx xx xxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxxxxxx incidenty x xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx.
§32
Forma x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Kybernetický bezpečnostní xxxxxxxx se Úřadu xxxxx xx xxxxxxxxxxxxx xxxxxxxxx zveřejněném xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx xxxxx Úřadu xxxxxxx pro příjem xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, zveřejněnou na xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
x) xx xxxxxx xxxxxxxx Xxxxx, nebo
c) xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xx používáno, xxxxx xxxxx xx zveřejněn xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxxxxxxx bezpečnostní xxxxxxxx se xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxx xx elektronickém xxxxxxxxx xxxxxxxxxxx xx internetových xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx
x) na xxxxxx xxxxxxxxxxxx pošty xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxx pro xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxxxxxxx xx xxxx xxxxxxxxxxxxx stránkách,
b) xx xxxxxx xxxxxxxx xxxxxxxxxxxxx národního XXXX, xxxx
x) xxxxxxxxxxxxxxx internetových xxxxxxx provozovatele xxxxxxxxx XXXX.
(3) Xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx xx xxxxx xxxxxx i x xxxxxxxx podobě, xxxxx xxxxx x xxxxxxxxx, xxx nelze xxxxxx xxxxx xx xxxxxxx uvedených x xxxxxxxxxx 1 x 2.
(4) Náležitosti xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) datum x xxx zjištění xxxxxxxxx x
x) popis xxxxxxxxx.
XXXX XXXXXX
XXXXXXXXX XXXXXXXX X XXXXXXXXX XXXXX
§33
Xxxxxxxxx xxxxxxxx
(1) Povinná osoba, xxxxx Xxxx xxxxxx xxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx očekávané xxxxxx xxxxxxxxxxx xxxxxxxx xx xxxxxxxxxx x komunikační xxxxxx x na xxxxxxxx xxxxxxxxxxxx opatření x xxxxxxxxx xxxxx xxxxxxxxx xxxxxx x
x) xxxxxxx xxxxxx rychlého xxxxxxxxx tohoto xxxxxxxx, xxxxx xxxxxxxxxxxx xxxx xxxxx xxxxxxxxx xxxxxx, x xxxx xxxxxx xxxx jeho xxxxxxxxx.
(2) Xxxxxxx xxxxx, xxxxx Xxxx xxxxxx xxxxxxx xxxxxxxxx xxxxxxxx, xxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx ve formě xxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
§34
Xxxxxxxxx xxxxx
(1) Xxxxxxxxx xxxxx se Úřadu xxxxxxxx na elektronickém xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx xxxxx Xxxxx xxxxxxx xxx xxxxxx xxxxxxxx xxxxxxxxxxx údajů, xxxxxxxxxxx xx internetových xxxxxxxxx Xxxxx,
x) xx xxxxxx xxxxxxxx Xxxxx, xxxx
x) xxxxxxxxxxxxxxx datového xxxxxxxx, xxxxx xx xxxxxxxxx, xxxxx xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Úřadu.
(2) Xxxxxxxxx údaje xx xxxxxxxxxxxxx národního XXXX xxxxxxxx xx elektronickém xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx provozovatele xxxxxxxxx XXXX xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX určenou xxx xxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxxxxxx xx xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx datové xxxxxxxx xxxxxxxxxxxxx národního XXXX, xxxx
x) xxxxxxxxxxxxxxx internetových xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.
(3) Hlášení kontaktních xxxxx xx xxxxx xxxxxx x x xxxxxxxx xxxxxx, xxxxx xxxxx v xxxxxxxxx, xxx nelze xxxxxx xxxxx xx způsobů xxxxxxxxx x odstavcích 1 x 2.
(4) Xxxx xxxxxxxx xxxxxxxxxxx xxxxx je xxxxxx x příloze č. 8 k xxxx vyhlášce.
(5) Xxxxxxx xxxxx uvedená x §3 xxxx. x) xx f) zákona, xxxxx xx xxxxxxxxxxxxxx, xxxx k hlášení xxxxxxxxxxx xxxxx xxxxx xxxxxxxx 1 xxxxxxxx xxxxxxxx, xxxxxx xx xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §8 odst. 1 xxxx. c).
XXXX XXXX
XXXXXXXXX XXXXXXXXXX
§35
Xxxxxxxxx xxxxxxxxxx
(1) X xxxxxxx xxxxxxxxxxxx systémů xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx systémů kritické xxxxxxxxxx infrastruktury, xxxxx xxxx xxxxxx přede xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, x x xxxxxxx významných xxxxxxxxxxxx systémů, x xxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx dnem xxxxxx xxxxxxxxx xxxx xxxxxxxx, xx xx jednoho xxxx ode xxx xxxxxx xxxxxxxxx této xxxxxxxx xxx xxxxx x xxxxxxxxx bezpečnostní xxxxxxxxxxx x obsah x rozsah zavedených xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx vyhlášky č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentech, xxxxxxxxxxx opatřeních x x stanovení xxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx bezpečnosti (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx).
(2) X případě informačních xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx a komunikačních xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, které xxxx xxxxxx xxxxx dnem xxxxxx účinnosti xxxx xxxxxxxx, x v xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, u kterých xxxxx k xxxxxxxx xxxxxxxxxx kritérií xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, xx xx xxxxxxx xxxx xxx xxx nabytí xxxxxxxxx xxxx xxxxxxxx xxx způsob likvidace xxx, xxxxxxxxxx xxxxx, xxxxxxxxx a xxxxxx xxxxx xxxx vyhláška xxxxxxxxx.
§36
Xxxxxxxxx ustanovení
Zrušuje xx xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentech, reaktivních xxxxxxxxxx x x xxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxx kybernetické xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx).
§37
Xxxxxxxx
Xxxx xxxxxxxx nabývá xxxxxxxxx xxxx vyhlášení.
Ředitel:
Ing. Xxxxxxxx x. x.
Příloha č. 1 x vyhlášce x. 82/2018 Sb.
Hodnocení xxxxx
(1) Xxx xxxxxxxxx důležitosti xxxxx xxxx x xxxxx xxxxxxx použity xxxxxxxx x čtyřech xxxxxxxx x xxxxxxxx xx, xxxx xxxxx xx xxxx narušení xxxxxxxxxxx informací x xxxxxxxxxxxx xxxxx. Xxxxxxx xxxxx xxxx xxxxxxxx xxxxxxx počet xxxxxx xxx hodnocení důležitosti xxxxx, xxx jaký xx uveden x xxxx příloze, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx x xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx aktiv, xxxxx xxxx xxxxxxx v xxxx xxxxxxx.
(2) Xx xxxxxxxxxx, xxx si xxxxx xxxxxxx xxxxx xxxx dopadové matice xxxxxxxxxxxx xxxx xxxxxxxx.
Xxx. 1: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx ochranu xxxxxx |
|
Xxxxx |
Xxxxxx xxxx veřejně xxxxxxxxx xxxx byla xxxxxx xx xxxxxxxxxx. Xxxxxxxx xxxxxxxxxx aktiv xxxxxxxxxx xxxxxxxxx zájmy xxxxxxx xxxxx. X xxxxxxx xxxxxxx xxxxxxxx aktiva x xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx xxx. traffic xxxxx xxxxxxxxx (xxxx xxx "XXX") xx využíváno xxxxxxxx TLP:WHITE. |
Není xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxxxx veřejně xxxxxxxxx x xxxxx xxxx-xxx xxxxxxx xxxxx, ochrana xxxxx není xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxx xxxx smluvním ujednáním. V xxxxxxx xxxxxxx xxxxxxxx xxxxxx x třetími xxxxxxxx a xxxxxxx xxxxxxxxxxx xxxxx XXX xx využíváno zejména xxxxxxxx XXX:XXXXX xxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx využívány xxxxxxxxxx xxx xxxxxx přístupu. |
|
Xxxxxx |
Xxxxxx nejsou veřejně xxxxxxxxx x jejich xxxxxxx xx vyžadována xxxxxxxx xxxxxxxx, jinými xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx (xxxxxxxxx xxxxxxxx xxxxxxxxx, osobní xxxxx). X xxxxxxx sdílení takového xxxxxx x xxxxxxx xxxxxxxx x použití xxxxxxxxxxx xxxxx TLP xx xxxxxxxxx zejména xxxxxxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, které xxxxxxx xxxxxx a xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx informací xxxxxxxxxxx xxxx xxxx xxxxxxxx pomocí kryptografických xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx a xxxxxxxx nadstandardní míru xxxxxxx nad rámec xxxxxxxxx xxxxxxxxx (xxxxxxxxx xxxxxxxxxxx obchodní tajemství, xxxxxxxx kategorie osobních xxxxx). X případě sdílení xxxxxxxx xxxxxx x xxxxxxx xxxxxxxx a xxxxxxx xxxxxxxxxxx podle XXX xx xxxxxxxxx xxxxxxx označení XXX:XXX xxxx XXX:XXXXX. |
Xxx ochranu xxxxxxxxxx xxxx využívány xxxxxxxxxx, xxxxx zajistí xxxxxx x zaznamenávání xxxxxxxx. Dále xxxxxx xxxxxxx zabraňující zneužití xxxxx xx xxxxxx xxxxxxxxxxxxxx. Xxxxxxx informací xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx prostředků. |
Xxx. 2: Stupnice pro xxxxxxxxx integrity
|
Úroveň |
Popis |
Příklady xxxxxxxxx xx xxxxxxx aktiva |
|
Nízká |
Aktivum xxxxxxxxxx xxxxxxx z xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx zájmy xxxxxxx xxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx vyžadovat xxxxxxx z hlediska xxxxxxxxx. Xxxxxxxx integrity xxxxxx může xxxx x poškození oprávněných xxxxx xxxxxxx xxxxx x může se xxxxxxxx xxxx závažnými xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány xxxxxxxxxx xxxxxxxx (xxxxxxxxx xxxxxxx xxxxxxxxxxxx práv pro xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x hlediska xxxxxxxxx. Xxxxxxxx xxxxxxxxx aktiva xxxx x poškození xxxxxxxxxxx xxxxx xxxxxxx xxxxx x podstatnými xxxxxx na xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxxxxx provedených xxxx x xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxx. Ochrana xxxxxxxxx xxxxxxxxx přenášených xxxxxxxxxxxxx xxxxxx je xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx vede k xxxxx vážnému xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx x přímými x velmi vážnými xxxxxx xx xxxxxxxx xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx využívány xxxxxxxxx xxxxxxxxxx jednoznačné xxxxxxxxxxxx xxxxx xxxxxxxxxxx změnu (xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx). |
Xxx. 3: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx požadavků xx xxxxxxx aktiva |
|
Nízká |
Narušení xxxxxxxxxxx xxxxxx není důležité x x xxxxxxx xxxxxxx xx xxxxx xxxxxxxxxx delší xxxxxx xxxxxx xxx xxxxxxx (xxx do 1 xxxxx). |
Xxx ochranu xxxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx dostupnosti xxxxxx xx xxxxxx xxxxxxxxx xxxx pracovního xxx, xxxxxxxxxxxxx xxxxxxx xxxx x xxxxxxx ohrožení xxxxxxxxxxx zájmů povinné xxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx a xxxxxx. |
|
Xxxxxx |
Xxxxxxxx dostupnosti xxxxxx xx xxxxxx xxxxxxxxx xxxx několika xxxxx. Xxxxxxxx výpadek xx xxxxx xxxxx neprodleně, xxxxxxx vede x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx. Xxxxxx jsou považována xx velmi důležitá. |
Pro xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx záložní systémy x obnova xxxxxxxxxxx xxxxxx může xxx xxxxxxxxx xxxxxx obsluhy xxxx výměnou technických xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxxx a x krátkodobá nedostupnost (x xxxx xxxxxxxx xxxxx) vede k xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx. Xxxxxx xxxx xxxxxxxxxx xx kritická. |
Pro xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx systémy a xxxxxx xxxxxxxxxxx xxxxxx xx xxxxxxxxxx a xxxxxxxxxxxxxx. |
Xxxxxxx č. 2 x vyhlášce x. 82/2018 Xx.
Xxxxxxxxx xxxxx
(1) Xxxxxxxxxxx xxxxxxxxx xxxxxx xxx xxxxxx xxxxxx xx xxxxxxxxx součástí xxxxxxxx xxx xxxxxxxxx xxxxx xxxxx §5.
(2) Xxxxxxx xxxxxx xx xxxxxxxxxx vyjádřena jako xxxxxx, xxxxxx ovlivňuje xxxxx, hrozba x xxxxxxxxxxxx.
(3) Pro xxxxxxxxx xxxxx lze xxxxxx xxxxxxxxx xxxx funkci:
Riziko = dopad x xxxxxx x zranitelnost.
(4) Xxxxx je x xxxxx xxxxxxx odvozen x xxxxxxxxx aktiv xxxxx přílohy č. 1.
(5) V xxxxxxx, xx xxxxxxx xxxxx xxxxxxx xxxxxx xxx xxxxxxxxx rizik, xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx, xx xxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx x zranitelností sloučit. Xxxxxxxx xxxxxxx xx xxxxxx vést ke xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxx hrozby x xxxxxxxxxxxxx. Za xxxxx xxxxxx xxx xxxxxx xxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxx jak xxxxxx xxxxxx, xxx x xxxxxx zranitelnosti. Xxxxxxx xx xxxxxxxxx x x xxxxxxxxx, xxx povinná xxxxx xxxxxxx jiný xxxxx xxxxxx xxx xxxxxxxxx xxxxxx, xxxxxx, xxxxxxxxxxxxx x xxxxx.
Xxx. 1: Xxxxxxxx xxx xxxxxxxxx xxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx neexistuje xxxx xx xxxx pravděpodobná. |
|
Střední |
Hrozba xx málo pravděpodobná xx xxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx pravděpodobná xx xxxxx xxxxxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx pravděpodobná xx xxxxxxxx xxxxx. |
Xxx. 2: Xxxxxxxx xxx xxxxxxxxx zranitelností
|
Úroveň |
Popis |
|
Nízká |
Zranitelnost xxxxxxxxxx xxxx je xxxxxxxx zranitelnosti xxxx xxxxxxxxxxxxx. Jsou zavedena xxxxxxxxxxxx opatření, xxxxx xxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx xxxxxxxx pokusy x jejich xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, jejichž účinnost xx pravidelně kontrolována. Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx xxxxxxxx xxxxxx o xxxxxxxxx xxxxxxxx je omezena. Xxxxxx známé xxxxx xxxxxxx xxxxxx x xxxxxxxxx bezpečnostních opatření. |
|
Vysoká |
Zneužití xxxxxxxxxxxxx xx pravděpodobné xx velmi xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxx, xxx xxxxxx xxxxxxxx nepokrývá xxxxxxx xxxxxxxx xxxxxxx x xxxx xxxxxxxxxx kontrolována. Xxxx xxxxx dílčí xxxxxxx pokusy x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. Bezpečnostní opatření xxxxxx xxxxxxxxxxx nebo xx xxxxxx účinnost xxxxxx xxxxxxx. Neprobíhá xxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx. Jsou xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření. |
Tab. 3: Xxxxxxxx pro xxxxxxxxx xxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx xx akceptovatelné. |
|
Střední |
Riziko xxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxx x xxxxxxx vyšší xxxxxxxxxx opatření je xxxxxx xxxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxx nepřípustné x xxxx xxx zahájeny xxxxxxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxxxxxxxx x musí xxx xxxxxxxxxx xxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
Xxxxxxx č. 3 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxxxxxx a xxxxxx
Xxxxxxxxxx: Xxxx xxxxxxx xxxxxxxx jen vybrané xxxxxxxxx xxxxxxxxxxxxx x xxxxxx. Xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx a xxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxx.
Xxxxxxxxxxxxx
1. xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
2. xxxxxxxxxxx informačního x komunikačního xxxxxxx,
3. xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx,
4. nedostatečné bezpečnostní xxxxxxxx uživatelů a xxxxxxxxxxxxxx,
5. xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
6. nevhodné xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
7. nedostatečné xxxxxxx při identifikování x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx jevů, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
8. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx x neschopnost xxxxxxx xxxxxx nevhodné xxxx xxxxxxx způsoby xxxxxxx,
9. xxxxxxxxxxxx stanovení xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxx práv x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx,
10. xxxxxxxxxxxx ochrana xxxxx,
11. nevhodná bezpečnostní xxxxxxxxxxxx,
12. xxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,
13. xxxxxxxxxxx xxxxxxxx odhalení xxxxxxxxx xx xxxxxx zaměstnanců.
Hrozby
1. xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx neoprávněných činností, xxxxxxxx xxxxxxxxx ze xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
2. xxxxxxxxx xxxx xxxxxxx technického xxxxx xxxxxxxxxxxx vybavení,
3. xxxxxxxx xxxxxxxx,
4. užívání programového xxxxxxxx v rozporu x xxxxxxxxxx podmínkami,
5. xxxxxxxx xxx (xxxxxxxxx xxxx, spyware, trojské xxxx),
6. xxxxxxxx xxxxxxx xxxxxxxxxxx,
7. xxxxxxxxx poskytování xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx elektrické xxxxxxx,
8. zneužití xxxx xxxxxxxxxxx xxxxxxxxxx xxxxx,
9. xxxxxx, odcizení xxxx xxxxxxxxx aktiva,
10. nedodržení xxxxxxxxx xxxxxxx xx xxxxxx xxxxxxxxxx,
11. xxxxxxxxx xx xxxxxx xxxxxxxxxxx,
12. xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,
13. xxxxxxxxxx přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, dodávky elektrické xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxx,
14. xxxxxxxxxx xxxxxxxxxxx x potřebnou xxxxxxxx xxxxxx,
15. xxxxxx xxxxxxxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx, použití xxxxxxxxxxx xxxxxxx,
16. xxxxxxxx xxxxxxxxxxxxx technických xxxxxx xxx,
17. napadení xxxxxxxxxxxx xxxxxxxxxx (xxxxxxxxx, xxxxxxxxxx).
Xxxxxxx č. 4 x vyhlášce č. 82/2018 Xx.
Xxxxxxxxx xxx
(1) Xxxx xxxxxxx udává xxxxxxxxxx správce xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxxxxx xxxxxxx xxxxxx xxx x xxxxxxx likvidace xxxxxxxxxxx xxxxxx xxxxxxxxx, provozních xxxxx, informací a xxxxxx xxxxx.
(2) Jednotliví xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xx xxxxxxx xxxxxxxx xxx xxxxxx xxx a xxxxxxxxx xxxxxxxxxxx xxxxxx xxx x xxxxxxx x xxxxx xxxxxxxx. Xxx nejsou xxxxxxx xxxxxxxxxx podle xxxxxx xxxxxxxx xxxxxxxx. Je xxxxx xxxxxx xxxxxxxxx xxxxxx služby xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxx xxx x xxxxxxxxx xxxxxxxxxxx xxxxxx xxx, xxxxxxxx x hodnotě x xxxxxxxxxxx xxxxx.
(3) Pravidla xxx xxxxxxxxx dat xx xxxx xxx xxxxxxxxx xxxxxxxxx hodnotě x důležitosti xxxxx x xxxx by xxxxxxx xxxxxxxxxxx
x) xxxxxxx xxxxxx (zejména z xxxxxxx důvěrnosti),
b) xxxxxxxxxxx (xxxx x xxxxxxxx xxxxxx xxxxxxxxx),
x) xxx xx xxxxx xxxxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxxxx či nikoliv,
d) xxx jsou xxxx xxxxxxxx dedikovaného nebo xxxxxxxxxxxxxxx prostředí,
e) xxx xxxx likvidaci xxx xxxxxxxx (interní xxxxxxxxxxx, xxxx xxxxxxxxx),
x) xxxxxxxxxx xxxxxxxx x nástrojů xxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxxx nosičů,
h) xxx xx x xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) časovou xxxxxxxxx xxxxxxxxx,
x) cenu xxxxxxxxx x xxxxxxx xx xxxxxxxx, xxxxxxx, xxxxxxxx, opětovné xxxxxxx xxxxxx informace
k) xxxxx xxxxxxx xxxxxxxxx xxx (xxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxx, xxxxxxxxxxxxx xxx xxxxxx šifrováním a xxxxxxx),
x) použitelné xxxxxxx xxxxxxxxx xxx vzhledem xx stavu xxxxxx xxxxxxxxx (například xxx xxxxxxxxx xxxxxxxx nebude xxxxx xxxxxx xxxxxxxx xxxxxxx xxxxxxxxx, ale xxxxxxx ze xxxxxxx xxxxxxx xxxxxxxxx).
(4) Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxx, provozních xxxxx, xxxxxxxxx x jejich xxxxx:
x) Odstranění
1. Xxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxxx xxx xxx, xxx xxxx pro xxxxxx nedostupná (xxxxxxxxx xxxxxxxxxx xxxxxxxx souboru, xxxxxxxx xxxxxxxxx xxxxxxxxx xx odpadu).
2. Jde x nejméně xxxxxxxx xxxxxx likvidace xxx. X případě xxxxxxx xxxxxx informace je xxxxx x xxxxxxxxxxx xxxxxxxx xxxxx informace xxxxxxx.
3. Xxxx xxxxxx xxxx xxxxxxxxxx pro xxxxxx xxxxxxxxxxx xxx xxxxxxxxxxxx opětovný xxxxx.
4. Xxxxxxxxxx xxxxxx pro xxxxxx xxxxxxxxxx aktiva (xxxxxxx x přílohy č. 1): xxxxx.
x) Xxxxxxxx
1. Xxxxxx xxxxxxxxx spočívá v xxxxxxxx xxxxxxxx informace xxxxxxxxxx hodnotami.
2. Jde x xxxxxxx xxxxxxxx xxxxxx xxxxxxxxx xxx. Xxxxx dostupné xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx.
3. Xxxxxxxx může xxx xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxx.
4. Xxxx xxxxxx není xxxxxx xxx xxxxxxxxx xxxxx, xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx, případně xxx xxxxx x xxxxxx xxxxxxxxx.
5. Použitelný xxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1): nízká až xxxxxxxx.
x) Xxxxxxx likvidace xxxxxx informace
1. Xxxxxx xxxxxxxxx spočívající ve xxxxxxx xxxxxx xxxxxxxxx, xxxxxxxxx x xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx (xxxxxxxxxxx, xxxxxxxxx xx xxxxxxxx xxxxxxxxx).
2. Jde x xxxxxxxxxxxxxx metodu xxxxxxxxx xxx. Xxxxx xxxxxxxxx xx fyzické xxxxxxxxx xxxxx znovu xxxxxx xxx původní xxxx. Xxxxxxx xxxxxxxxx xxxx xxxxx obnovit xxx při vynaložení xxxxxxx xxxxxxxx prostředků x xxxxx.
3. Xxxxxxxxxx xxxxxx xxxxxxxxx pro xxxxxx xxxxxxxxxx aktiva (xxxxxxx x přílohy č. 1): xxxxxxx xx xxxxxxxx.
Xxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx z přílohy č. 1)
|
Xxxxxxxxx xxxxxx likvidace xxxxx xxxxxx xxxxxxxxxxx xxxxxx |
|||||
|
Xxxxx xxxxxxxxx |
1. Nízká |
2. Xxxxxxx |
3. Vysoká |
4. Xxxxxxxx |
|
|
Xxxxxxxxx xx lidsky xxxxxxxx xxxxxx (xxxxxxx dokumenty, xxxxxxxx a xxxxxxx) |
Xxxxxxxxxx: Xxxxxxxx xx xxxxxx. |
Xxxxxxxx: Xxxxxxxxx. |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxxx xxxxxxxxx: |
|||||
|
Xxxxxxx xxxxxxxx (mobilní xxxxxxxx, xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxx xxxxxxxx (xxxxxx, xxxxxx, modem x xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
|||
|
Xxxxxxxxxxx xxxxxxxx (xxxxxxx, tiskárny, xxx) |
|||||
|
Xxxxxxxxxx xxxxx (xxxxxxxxxx xxxxx, disky, XXX [Xxxx Xxxx Xxxxx]) |
Xxxxxxxxxx: |
Xxxxxxxx: |
|||
|
Xxxxxxx média (XX, XXX, XX-XXX, XXX-XXX) |
Xxxxxxx xxxxxxxxx: |
||||
|
Xxxxxxx xxxxxxxxx. |
|||||
|
Xxxxxxxxxxxx xxxxx (xxxxx xxxxxx) |
|||||
|
Xxxxxxxxxxx x cloud |
Přípustný xxxxxx xxxxxxxxx xxx xx xxx xxx xxxxxxxx smluvním xxxxxxxxx. |
||||
|
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxxx: |
Přepsání/fyzická xxxxxxxxx: |
||
|
Xxxxxxxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xx možné xxxx xx ukončení xxxxxx xxxxxxx. |
|||||
Příloha x. 5 x xxxxxxxx x. 82/2018 Xx.
Xxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
1. Xxxxxxxxxxxx xxxxxxxx
1.1. Xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) Xxxx, xxxxxxxx a xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx x hranice xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro řízení xxxxxx a xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx provádění xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx přezkoumání systému xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxx opatření x xxxxxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx.
1.2. Xxxxxxxx xxxxxx xxxxx
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx primárních xxxxx
1. xxxxxx a xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx jejich xxxxxxx,
2. hodnocení xxxxxxxxxxx xxxxxxxxxx aktiv x xxxxxxxx důvěrnosti, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. určení x evidence xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxx vazeb xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx xxx manipulaci a xxxxxxxx aktiv xxxxx xxxxxx xxxxx,
3. přípustné xxxxxxx používání xxxxx.
x) Xxxxxxx xxxxxxxxxxxx mazání xxxx xxxxxx technických xxxxxx xxx, xxxxxxxxx, xxxxxxxxxx xxxxx a xxxxxx xxxxx.
1.3. Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx
x) Určení xxxxxxxxxxxxxx xxxx x xxxxxx xxxx x xxxxxxxxxx.
x) Požadavky xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx bezpečnostních rolí.
c) Xxxxxxxxx xx xxxxxxxx xxxxxx bezpečnostních x xxxxxxxxxx xxxx.
1.4. Xxxxxxxx xxxxxx xxxxxxxxxx
x) Xxxxxxxx x xxxxxxxx xxx xxxxx dodavatelů.
b) Pravidla xxx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxxxxxxxx.
x) Xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxx x xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x x určení xxxxxxxx smluvní xxxxxxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx.
1.5. Xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx
x) Xxxxxxxx rozvoje bezpečnostního xxxxxxxx x xxxxxxx xxxx hodnocení
1. xxxxxxx x formy poučení xxxxxxxxx,
2. xxxxxxx x xxxxx xxxxxxx xxxxxxx xxxxx,
3. způsoby a xxxxx xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx x formy xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Bezpečnostní xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx změnu xxxxxxxx pozice
1. xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx xxxx při xxxxxxxx xxxxxxxxxx vztahu,
2. xxxxx xxxxxxxxxxxx xxxxxxxxx xxx změně pracovní xxxxxx.
1.6. Xxxxxxxx řízení xxxxxxx a komunikací
a) Xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x bezpečným xxxxxxxx.
x) Postupy bezpečného xxxxxxx.
x) Požadavky a xxxxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx provádění xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxxxx xxxxx.
1.7. Xxxxxxxx xxxxxx xxxxxxxx
x) Xxxxxxx xxxxxxxxxxx oprávnění/potřeba xxxx (xxxx xx know).
b) Xxxxxxxxx xx řízení xxxxxxxx.
x) Životní xxxxxx xxxxxx xxxxxxxx.
x) Řízení xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxxxxx xxx mimořádné xxxxxxx.
x) Xxxxxxxxxx přezkoumání xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx jednotlivých uživatelů x xxxxxxxxxxxx skupinách.
1.8. Xxxxxxxx bezpečného xxxxxxx xxxxxxxxx
x) Pravidla xxx xxxxxxxx nakládání x xxxxxx.
x) Bezpečné xxxxxxx xxxxxxxxxxxx hesla.
c) Bezpečné xxxxxxx elektronické pošty x xxxxxxxx xx xxxxxxxx.
x) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx xxxxxxx xx xxxxxxxxxx sítích.
f) Xxxxxxxxxx xx vztahu x mobilním zařízením.
1.9. Xxxxxxxx xxxxxxxxxx a xxxxxx a xxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxxx xx xxxxxxxxxx a xxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx bezpečného xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx xxxxxxxx x xxxxxxx, ukládaným informacím.
1.10. Xxxxxxxx xxxxxxxxxx předávání x výměny xxxxxxxxx
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx xxxxxxx xxxxxxxxxxxx výměny xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
1.11. Xxxxxxxx xxxxxx xxxxxxxxxxx zranitelností
a) Xxxxxxxx pro xxxxxxx xxxxxxxxx xxxxxxxxxxxx vybavení.
b) Xxxxxxxx x postupy xxxxxxxxxxx xxxxxxxxx programových xxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxxxxx oprav xxxxxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx xxxxxxxx xxxxx programového xxxxxxxx.
1.12. Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx zařízení
a) Xxxxxxxx x xxxxxxx pro xxxxxxxx xxxxxxxxx mobilních xxxxxxxx.
x) Pravidla a xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, která xxxxxxx xxxxx nemá xx xxx xxxxxx.
1.13. Xxxxxxxx akvizice, xxxxxx x xxxxxx
x) Xxxxxxxxxxxx xxxxxxxxx pro xxxxxxxx, xxxxx a xxxxxx.
x) Xxxxxx xxxxxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxx a nabývání xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
1. xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxxx vybavení a xxxx evidence,
2. xxxxxxxx x xxxxxxx pro xxxxxxxx dodržování xxxxxxxxxx xxxxxxxx.
1.14. Xxxxxxxx xxxxxxx xxxxxxxx xxxxx
x) Charakteristika xxxxxxxxxxxxxx xxxxxxxx údajů.
b) Xxxxx xxxxxxxxx a xxxxxxxxxxx organizačních opatření xxx xxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx technických xxxxxxxx xxx xxxxxxx xxxxxxxx údajů.
1.15. Politika xxxxxxx xxxxxxxxxxx
x) Xxxxxxxx xxx xxxxxxx xxxxxxx.
x) Xxxxxxxx xxx kontrolu xxxxxx osob.
c) Xxxxxxxx xxx ochranu zařízení.
d) Xxxxxxx narušení xxxxxxx xxxxxxxxxxx.
1.16. Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxx
x) Xxxxxxxx x postupy xxx xxxxxxxxx xxxxxxxxxxx sítě.
b) Xxxxxx xxxx x xxxxxxxxxx za xxxxxxxx xxxxxx sítě.
c) Xxxxxxxx x postupy xxx xxxxxx xxxxxxxx x xxxxx xxxx.
x) Pravidla x xxxxxxx xxx xxxxxxx vzdáleného přístupu x síti.
e) Pravidla x postupy xxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.
1.17. Xxxxxxxx ochrany xxxx xxxxxxxxx xxxxx
x) Pravidla x xxxxxxx xxx xxxxxxx xxxxxx komunikace.
b) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxx x sdílených datových xxxxxxx.
x) Xxxxxxxx x xxxxxxx pro ochranu xxxxxxxxxx stanic.
1.18. Xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí
a) Xxxxxxxx x xxxxxxx xxxxxxxx nástroje pro xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Provozní xxxxxxx xxx vyhodnocování x xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx optimalizaci xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
1.19. Xxxxxxxx xxxxxxx x xxxxxx xxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí
a) Xxxxxxxx x xxxxxxx xxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí.
c) Xxxxxxxx a postupy xxx xxxxxxxxx nastavení xxxxxxxxxxxxxx vlastností nástroje xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
1.20. Xxxxxxxx bezpečného xxxxxxxxx kryptografické ochrany
a) Xxxxxx ochrany x xxxxxxx na xxx x sílu xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx
1. xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx,
2. při uložení xx mobilní zařízení xxxx xxxxxxxxxxx technický xxxxx dat.
c) Systém xxxxxx klíčů.
1.21. Xxxxxxxx xxxxxx xxxx
x) Xxxxxx x xxxxxxxx xxxxxx xxxxxxxxxx xxxx x xxxxx xxxxxxx xxxxx, xxxxxx xxxxxxxxx, informačních x xxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxxxxxxx xxxxxx xxxxxxxxxx xxxx.
x) Xxxxxx xxxxxx xxxxxxxx a xxxxxxxxx xxxxxxxxxx změn.
1.22. Politika xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
x) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu.
b) Xxxxxxxx a postupy xxx identifikaci, xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxx zlepšování xxxxxxxxxxxx bezpečnosti.
e) Evidence xxxxxxxxx.
1.23. Xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx
x) Xxxxx x xxxxxxxxxx zúčastněných xxxx.
x) Cíle xxxxxx xxxxxxxxxx činností
1. minimální xxxxxx xxxxxxxxxxxxx xxxxxx,
2. xxxx xxxxxxxx chodu,
3. xxx obnovení xxx.
x) Xxxxxxxx xxxxxx kontinuity xxxxxxxx xxx naplnění xxxx xxxxxxxxxx.
x) Způsoby xxxxxxxxx xxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxx xxxxx.
x) Xxxxxx x xxxxx xxxxxxxxxx xxxxx kontinuity a xxxxxxxxxxx xxxxx.
x) Postupy xxx xxxxxxxxx xxxxxxxx xxxxxxxx Úřadem.
2. Xxxxx xxxxxxxxxxxx xxxxxxxxxxx
2.1. Xxxxxx x xxxxxx kybernetické xxxxxxxxxxx
x) Cíle xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx auditu kybernetické xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx xxxx xxxxxxxx a osob, xxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx.
x) Xxxxx a xxxxx, xxx xxxx prováděny xxxxxxxx při auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxx auditu xxxxxxxxxxxx bezpečnosti.
2.2. Xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací
a) Xxxxxxxxxxx opatření x xxxxxxxxxxx přezkoumání systému xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxxxxxx změn a xxxxxxxxx, které xxxxx xxx xxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
1. neshody x nápravná xxxxxxxx,
2. xxxxxxxx monitorování x xxxxxx,
3. xxxxxxxx xxxxxx,
4. xxxxxxxx xxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx hodnocení xxxxx x xxxx xxxxx xxxxxxxx xxxxx.
x) Xxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxxxxxxx.
x) Xxxxxxxxxx potřebných xxxxxxxxxx, stanovení opatření x xxxx xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
2.3. Xxxxxxxx pro identifikaci x xxxxxxxxx aktiv x xxx xxxxxxxxx xxxxx
x) Xxxxxx stupnice xxx hodnocení xxxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxxxxxx xxxxx,
3. xxxxxx stupnice xxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.
x) Xxxxxx stupnice xxx hodnocení xxxxx
1. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx,
4. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxx.
x) Xxxxxx a xxxxxxxx xxx zvládání xxxxx.
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxx.
2.4. Xxxxxx x xxxxxxxxx aktiv a xxxxx
x) Xxxxxxx xxxxxxxxxx xxxxx
1. identifikace x xxxxx xxxxxxxxxx aktiv,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxxxxx xxxxxxxxxx xxxxx z xxxxxxxx xxxxxxxxxx, integrity a xxxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxx
1. identifikace x xxxxx xxxxxxxxxx aktiv,
2. xxxxxx xxxxxxx podpůrných xxxxx,
3. určení vazeb xxxx primárními x xxxxxxxxxx xxxxxx.
x) Hodnocení xxxxx
1. xxxxxxxxx xxxxxxx xxxxxx xx xxxxxx,
2. xxxxxxxxx existujících hrozeb,
3. xxxxxxxxx existujících zranitelností, xxxxxxxxx xxxxxxxxxxxx opatření,
4. xxxxxxxxx xxxxxx rizika, xxxxxxxxx této xxxxxx x xxxxxxxx xxx xxxxxxxxxxxxxxxx xxxxx,
5. určení x schválení xxxxxxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxx
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. návrh xxxxxxxx x jejich xxxxxxxxx.
2.5. Xxxxxxxxxx x xxxxxxxxxxxxxxxx
x) Xxxxxxx vyloučených xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxx xxxxxxxxxx, xxxx xxxxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxx způsobu xxxxxx implementace.
2.6. Xxxx xxxxxxxx xxxxx
x) Obsah x cíle vybraných xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx xxxxxx xxxxx xx xxxxxxxxx xxxxxx.
x) Xxxxxxxx zdroje xxx jednotlivá xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxx zajišťující xxxxxxxxxx xxxxxxxxxxxx opatření xxx xxxxxxxx rizik.
d) Xxxxxxx zavedení xxxxxxxxxxxx xxxxxxxxxxxxxx opatření pro xxxxxxxx rizik.
e) Xxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření.
f) Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx xxx xxxxxxxx xxxxx.
2.7. Xxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxx x termíny xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxx a xxxxxxx poučení xxxxxx xxxxxxxxxxx.
x) Přehledy, xxxxx xxxxxxxx předmět xxxxxxxxxxxx xxxxxxx x xxxxxx xxxx, xxxxx školení xxxxxxxxxxx.
x) Formy x xxxxxxx xxxxxxxxx xxxxx.
2.8. Xxxxxxxx xxxx
x) Xxxxxxxx xxxxxxxxx cyklu významných xxxx.
x) Xxxxxxx x xxxxxxx xxxxxxxxxxx podpůrných xxxxx.
2.9. Hlášené xxxxxxxxx xxxxx
Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx.
2.10. Xxxxxxx obecně xxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx předpisů x xxxxxx předpisů a xxxxxxxxx závazků
a) Xxxxxxx xxxxxx xxxxxxxxx právních xxxxxxxx.
x) Xxxxxxx vnitřních xxxxxxxx x xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxx.
2.11. Další xxxxxxxxxx xxxxxxxxxxx
x) Topologie xxxxxxxxxxxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxxx.
Xxxxxxx č. 6 x xxxxxxxx x. 82/2018 Xx.
Xxxxx pro xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxx xxxx
Xxxx xxxxxxx xxxxxxxx popis xxxxxxxxxxxx xxxxxxxxx pro xxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxx uvedené x §6 x 7.
Xxx. 1: Výbor xxx řízení kybernetické xxxxxxxxxxx
|
Xxxx: |
Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx za xxxxxxx xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxx xxxxxxx xxxxx. |
|
Xxxxx xxxxxxxx: |
x) Xxxx xxxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx alespoň |
Xxx. 2: Xxxxxxx xxxxxxxxxxxx bezpečnosti
|
Role: |
Manažer xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx. |
|
Znalosti: |
a) Xxxxx řady XXX/XXX 27000 x xxxxxxx xxxxx z xxxxxxx xxxxxxxxxxx a ICT. |
|
Zkušenosti: |
a) Prosazování xxxxxxx xxxxxx bezpečnosti xxxxxxxxx. |
|
Xxxxxxxx a xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx x xxxxx xxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxxxxx, xxxx |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Information Security Xxxxxxx (XXXX), Xxxxxxxxx xx Risk xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Xxxxxxxxx Information Xxxxxxx Xxxxxxxx Xxxxxxxxxxxx (XXXXX), Xxxxxxx BI (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
x) Xxxx xxxx xxxxxxxxxx s xxxxxx xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx x s xxxxxxx provozními či xxxxxxxx xxxxxx. |
Tab. 3: Architekt xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxxxx kybernetické bezpečnosti |
|
Klíčové xxxxxxxx: |
x) Odpovědnost za xxxxx implementace xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxx xxxxxxxxxx. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx a xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx x xxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, nebo |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Ethical Xxxxxx (XXX), XxxxXXX Security +, Xxxxxxxxx Xxxxxxxxxxx Xxxxxxxx Manager (XXXX), Xxxxxxxxx in Xxxx xxx Xxxxxxxxxxx Systems Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Systems Xxxxxxxx Xxxxxxxxxxxx (CISSP), Xxxxxxx XX (xxxxxxxxxxx schéma XXX). |
|
Xxxxx podmínky: |
Role xxxx xxxxxxxxxx x rolemi xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx a komunikačních xxxxxxx. |
Xxx. 4: Auditor xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx kybernetické xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
Xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx: |
x) Metodologie x rámce xxxxxx xxxxxxxxxx bezpečnosti. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxx xxxxxx informační nebo xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx a xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx x oblasti xxxxxx informační xxxx xxxxxxxxxxxx bezpečnosti, xxxx |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Auditor (XXXX), Xxxxxxxxx Xxxxxxxx Xxxxxxx (CIA), Xxxxxxxxx xx Xxxx and Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Lead Xxxxxxx Xxxxxxxxxxx Xxxxxxxx Xxxxxxxxxx Xxxxxx (Xxxx Xxxxxxx XXXX), Auditor BI (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
x) Role xxxx xxxxxxxxxx x xxxxxx |
Xxx. 5: Xxxxxx aktiva
|
Role: |
Garant xxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxxxxx xxxxxxx, použití x xxxxxxxxxxx xxxxxx. |
|
Xxxxxxxx: |
x) Dobrá xxxxxxx xxxxxx, xxxxx xx xxxxxxxx. |
* Xxxxxxxxxxx xxxx xxx x jiná než xxxxxxx, jestliže certifikace xxxxxxxxxxx xxxxxxxx způsobilost xxxxxxxxxxxxxx rolí xxxxxxx xxxxxxxxx ISO 17 024.
Xxxxxxx x. 7 x xxxxxxxx x. 82/2018 Sb.
Řízení dodavatelů - bezpečnostní opatření xxx xxxxxxx xxxxxx
Xxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx:
x) xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx (x xxxxxxx xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxx),
x) xxxxxxxxxx x oprávnění xxxxxx xxxx,
x) ustanovení x xxxxxxxxx programového xxxx, xxxxxxxxx o xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxx x xxxxxx xxxxxxxxxx (pravidla xxxxxxxxxxxx auditu),
e) xxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxx musí xxx xxxxxxxxx, xx poddodavatelé xx xxxxxx xxxxxxxxx x xxxxx xxxxxxx xxxxxxxx xxxx povinnou xxxxxx a xxxxxxxxxxx x nebudou x xxxxxxx x xxxxxxxxx xxxxxxx xxxxx xx xxxxxxxxxx,
x) xxxxxxxxxx o xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxx xxxx ustanovení x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxxxx x xxxxxx xxxx,
x) xxxxxxxxxx x xxxxxxx smluv x xxxxxx závaznými xxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx x
1. xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx s xxxxxxx xxxxxxx,
2. způsobu xxxxxx rizik xx xxxxxx dodavatele x x zbytkových xxxxxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxx,
3. významné xxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxx xxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxx xxxxx xxxxxxxxxxx xxxxxxxxx xxxxx, xxxxxxxxx změně xxxxxxxxx xxxxxxxx s xxxxxx aktivy, xxxxxxxxxxx xxxxx xxxxxxxxxxx x xxxxxx xxxxx xxxxxxx xx správcem,
j) xxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxx xxxxxxxx xxxxxxx (xxxxxxxxx xxxxxxxxx xxxxxx při xxxxxxxx xxxxxxxxxx, xxx je xxxxx ještě xxxxxxxx xxxxxx xxxx nasazením xxxxxx xxxxxx, xxxxxxx xxx x podobně),
k) xxxxxxxxxxx podmínek xxx xxxxxx kontinuity činností x xxxxxxxxxxx x xxxxxxxxxx (xxxxxxxxx xxxxxxxx xxxxxxxxxx do xxxxxxxxxxx xxxxx, úkoly xxxxxxxxxx xxx aktivaci řízení xxxxxxxxxx xxxxxxxx),
x) xxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxx xxx, xxxxxxxxxx xxxxx a informací xx xxxxxxxx xxxxxxxx,
x) xxxxxxxx pro likvidaci xxx,
x) ustanovení x xxxxx xxxxxxxxxxxx odstoupit xx xxxxxxx v xxxxxxx významné xxxxx xxxxxxxx xxx dodavatelem xxxx změny xxxxxxxx xxx xxxxxxxxx aktivy xxxxxxxxxxx dodavatelem k xxxxxx podle smlouvy x
x) ustanovení o xxxxxxxx xx xxxxxxxx xxxxxxxxxx.
Příloha č. 8 x xxxxxxxx x. 82/2018 Xx.
Xxxx Formuláře xxx xxxxxxx kontaktních xxxxx
Xxxxxxxxx
Xxxxxx xxxxxxx x. 82/2018 Xx. xxxxx xxxxxxxxx dnem 28.5.2018.
Xx xxx uzávěrky xxxxxx xxxxxxx xxxxx xxxxx xx xxxxxxxxx.
Xxxxx xxxxxxxxxxxx xxxxxxxx norem xxxxxx xxxxxxxx xxxxxxxx v xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx se xxxx xxxxxx xxxxxxxxx změna xxxxx uvedeného právního xxxxxxxx.
1) Směrnice Evropského xxxxxxxxxx x Xxxx (XX) 2016/1148 xx xxx 6. července 2016 o xxxxxxxxxx x zajištění vysoké xxxxxxxx xxxxxx xxxxxxxxxxx xxxx a xxxxxxxxxxxx xxxxxxx x Unii.