Právní předpis byl sestaven k datu 31.10.2025.
Zobrazené znění právního předpisu je účinné od 28.05.2018 do 31.10.2025.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
82/2018 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení aktiv §4
Řízení rizik §5
Organizační bezpečnost §6
Bezpečnostní role §7
Řízení dodavatelů §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení změn §11
Řízení přístupu §12
Akvizice, vývoj a údržba §13
Zvládání kybernetických bezpečnostních událostí a incidentů §14
Řízení kontinuity činností §15
Audit kybernetické bezpečnosti §16
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §17
Bezpečnost komunikačních sítí §18
Správa a ověřování identit §19
Řízení přístupových oprávnění §20
Ochrana před škodlivým kódem §21
Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů §22
Detekce kybernetických bezpečnostních událostí §23
Sběr a vyhodnocování kybernetických bezpečnostních událostí §24
Aplikační bezpečnost §25
Kryptografické prostředky §26
Zajišťování úrovně dostupnosti informací §27
Průmyslové, řídicí a obdobné specifické systémy §28
Digitální služby §29
HLAVA III - BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní politika a bezpečnostní dokumentace §30
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Kategorizace kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ZÁVĚREČNÁ USTANOVENÍ
Přechodná ustanovení §35
Zrušovací ustanovení §36
Účinnost §37
Příloha č. 1 - Hodnocení aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Zranitelnosti a hrozby
Příloha č. 4 - Likvidace dat
Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace
Příloha č. 6 - Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role
Příloha č. 7 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy
Příloha č. 8 - Vzor Formuláře pro hlášení kontaktních údajů
82
XXXXXXXX
xx xxx 21. xxxxxx 2018
x bezpečnostních xxxxxxxxxx, kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxx xxxxxx v xxxxxxx kybernetické xxxxxxxxxxx x xxxxxxxxx xxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx xxxx xxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx stanoví xxxxx §28 xxxx. 2 xxxx. x) xx x) a f) xxxxxx x. 181/2014 Xx., x kybernetické xxxxxxxxxxx x x xxxxx souvisejících xxxxxx (xxxxx x kybernetické xxxxxxxxxxx), ve xxxxx xxxxxx č. 104/2017 Xx. x xxxxxx x. 205/2017 Xx., (xxxx xxx "xxxxx"):
XXXX PRVNÍ
ÚVODNÍ XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxx vyhláška xxxxxxxxxxx xxxxxxxxx xxxxxxx Evropské xxxx1) a pro xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, komunikační xxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxx informační xxxxxx, xxxxxxxxxx xxxxxx xxxxxxxx služby anebo xxxxxxxxxx xxxxxx xxxx xxx elektronických xxxxxxxxxx, xxxxx využívá poskytovatel xxxxxxxxxxx xxxxxx, (dále xxx "informační a xxxxxxxxxxx xxxxxx") upravuje
a) xxxxx a xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxx x xxxxxx bezpečnostních xxxxxxxx,
x) xxxx, kategorie x xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx,
x) xxxxxxxxxxx x způsob xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x provedení reaktivního xxxxxxxx a xxxx xxxxxxxx,
x) xxxx xxxxxxxx xxxxxxxxxxx xxxxx a xxxx xxxxx a
g) xxxxxx xxxxxxxxx xxx, xxxxxxxxxx xxxxx, xxxxxxxxx x jejich kopií.
§2
Vymezení xxxxx
Xxx xxxxx xxxx xxxxxxxx xx xxxxxx
x) xxxxxxxxxxxxxxx xxxxx xxxxxxxxxxx správu, xxxxxx, xxxxxxx, xxxxxx x xxxxxxxxxx technického aktiva,
b) xxxxxxxxxxxxxxx xxxxxxx xxxxxx, xxxxx je xxxxxxxxxx xxx xxxxx xxxx xxxxx, xxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx, (xxxx xxx "povinná xxxxx") x není xxxxx xxx zvládat xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx politikou xxxxxx xxxxx a xxxxxxxx, xxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxx,
x) xxxxxxxxxx xxxxx xxxxxxx xxxxxx identifikace, xxxxxxx x xxxxxxxxxxx xxxxx,
x) hrozbou potenciální xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxx nebo kybernetického xxxxxxxxxxxxxx incidentu, xxxxx xxxx xxxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxx technické xxxxxxx, zaměstnanci x xxxxxxxxxx podílející xx xx xxxxxxx, xxxxxxx, xxxxxx nebo xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) primárním xxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx zpracovává nebo xxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxx, xx určitá xxxxxx xxxxxxx zranitelnosti xxxxxx x xxxxxxx xxxxx,
x) xxxxxxx xxxxx xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx, xxxxx a xxxxxxxx xxxxxxxx xx xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx x xxxxxx x xxxxxxxxx x xxxxxxxxxxx xxxxx,
x) systémem xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx systému xxxxxx xxxxxxx osoby xxxxxxxx xx xxxxxxxx k xxxxxxx informačního x xxxxxxxxxxxxx systému, xxxxx xxxxxxx způsob xxxxxxxx, xxxxxxxx, provozování, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx a xxxxxxxxxx bezpečnosti xxxxxxxxx x xxx,
x) xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx, komunikační xxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx a objekty, xx xxxxxxx xxxx xxxx xxxxxxx xxxxxxxx, xxxxxxx xxxxxxx může xxx dopad xx xxxxxxxxxx x komunikační xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx osoba xxxxx orgán veřejné xxxx, xxxxx xxxxxxxxx xxxxxx,
x) vrcholovým xxxxxxx xxxxx xxxx xxxxxxx xxxx, které xxxx xxxxxxxx osobu, nebo xxxxxxxxxx orgán povinné xxxxx,
x) xxxxxxxxx dodavatelem xxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx (dále xxx "provozovatel") a xxxxx, kdo s xxxxxxxx osobou vstupuje xx xxxxxxxx xxxxxx, xxxxx xx xxxxxxxx x xxxxxxxx bezpečnosti xxxxxxxxxxxx x komunikačního xxxxxxx,
x) významnou změnou xxxxx, která xx xxxx xxxx xxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxx xxxxxx,
x) xxxxxxxxxxxxx xxxxx xxxxx aktiva xxxx xxxxx místo xxxxxxxxxxxxxx opatření, které xxxx xxx xxxxxxxx xxxxxx xxxx xxxx xxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx x rámci systému xxxxxx bezpečnosti informací
a) xxxxxxx s xxxxxxx xx xxxxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxx systému xxxxxx bezpečnosti informací, xx xxxxxx xxxx xxxxxxxxxxx části x xxxxxx, jichž xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx xxxx,
x) stanoví xxxx xxxxxxx řízení xxxxxxxxxxx informací,
c) xxx xxxxxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací xx xxxxxxx xxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxxxxxxxxxxx xxxxxx x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxx rizika xxxxx §5,
x) xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxx zásady, xxxx, xxxxxxxxxxxx xxxxxxx, práva x povinnosti ve xxxxxx k xxxxxx xxxxxxxxxxx xxxxxxxxx, a xx xxxxxxx bezpečnostních xxxxxx a xxxxxxxx xxxxxxxxx rizik xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §30 x xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx u xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx (xxxx xxx "xxxxx xxxxxxxxxxxx xxxxxxxxxxx") xxxxx §16,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx stavu systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxx, xxxxxxxxx xxxxxxxx xxxxxxxxxxx auditů kybernetické xxxxxxxxxxx a xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) průběžně xxxxxxxxxxxx x xxxxxxxx xxxxx §11 xxxx xxxxxxxx xxxxx, které xxxxx xx rozsahu xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x příslušnou dokumentaci xx xxxxxxx xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx, xxxxxxxx xxxxxxxxxxx účinnosti xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x x xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxxx x
x) xxxx xxxxxx a xxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxx xx systémem řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx.
§4
Xxxxxx xxxxx
(1) Xxxxxxx xxxxx v rámci xxxxxx aktiv
a) stanoví xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx xxxxxxx x xxxxxxx xxxxxxxx v příloze č. 1 x xxxx vyhlášce,
c) xxxxxxxxxxxx a eviduje xxxxxx,
x) xxxx x xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx x eviduje xxxxxxxx aktiva x xxxxxxxx důvěrnosti, xxxxxxxxx x xxxxxxxxxxx x xxxxxx je xx xxxxxxxxxxxx úrovní xxxxx xxxxxxx b),
f) xxxx x eviduje xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx a xxxxxxx důsledky xxxxxxxxxx xxxx primárními x xxxxxxxxxx xxxxxx,
x) hodnotí xxxxxxxx xxxxxx a xxxxxxxxxx přitom zejména xxxxxxxx xxxxxxxxxx podle xxxxxxx x),
x) xx xxxxxxx hodnocení xxxxx xxxxxxxxx x xxxxxx xxxxxxxx xxxxxxx xxxxx xxx zabezpečení xxxxxxxxxxxx xxxxxx aktiv,
i) xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx xxx xxxxxxxxxx x xxxxxx x xxxxxxx xx xxxxxx xxxxx, xxxxxx pravidel pro xxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxx xxxxx, x
x) xxxx xxxxxx likvidace xxx, xxxxxxxxxx xxxxx, xxxxxxxxx x jejich xxxxx xxxx xxxxxxxxx technických xxxxxx xxx x xxxxxxx xx úroveň xxxxx x xxxxxxx x přílohou č. 4 x xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx xx xxxxx xxxxxxxx alespoň
a) xxxxxx x xxxxxxxxxx osobních xxxxx, xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxx nebo xxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxx závazků,
c) xxxxxx xxxxxxxx vnitřních xxxxxxxx a kontrolních xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, xxxxxxxxxx nebo xxxxxxxxxxxx xxxxx a možné xxxxxxxx ztráty,
e) xxxxxx xx xxxxxxxxxxx důležitých xxxxxx,
x) rozsah narušení xxxxxxx xxxxxxxx,
x) xxxxxx xx zachování xxxxxxx xxxxx xxxx xxxxxxx xxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxx a xxxxxx xxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx x
x) xxxxxx xx xxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx.
§5
Řízení xxxxx
(1) Xxxxxxx xxxxx x rámci xxxxxx xxxxx x xxxxxxxxxx xx §4
x) xxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx, xxxxxx xxxxxxxxx kritérií pro xxxxxxxxxxxxxxxx xxxxx,
x) s xxxxxxx xx xxxxxx xxxxxxxxxxxx relevantní xxxxxx x xxxxxxxxxxxxx; xxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxx a zranitelností xxxxxxxxx v příloze č. 3 x xxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 2 x xxx xxxxxxxxxx xxxxxxx,
x) xxx xxxxxxxxx xxxxx xxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxxxxxxx x xxxxxxx xxxxx xxxxxx na xxxxxx; xxxx xxxxxx xxxxxxx xxxxxxx v xxxxxxx přílohy č. 2 x této xxxxxxxx,
x) zpracuje xxxxxx x hodnocení xxxxx,
x) xxxxxxxx xx základě xxxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx x aplikovatelnosti, xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx vyhláškou, xxxxx
1. xxxxxx aplikována, xxxxxx xxxxxxxxxx,
2. byla xxxxxxxxxx, xxxxxx xxxxxxx xxxxxx,
x) xxxxxxxx x xxxxxx xxxx zvládání rizik, xxxxx xxxxxxxx xxxx x přínosy xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx rizik, xxxxxx xxxxx zajišťující xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x xxxxxxxxxx zdroje, xxxxxx jejich xxxxxxxx, xxxxx xxxxx xxxx xxxxxx x příslušnými xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxx xxxxxxxxx xxxxx x v xxxxx xxxxxxxx rizik xxxxxxxx
1. významné xxxxx,
2. xxxxx rozsahu systému xxxxxx bezpečnosti informací,
3. xxxxxxxx podle §11 xxxxxx x
4. kybernetické xxxxxxxxxxxx incidenty, včetně xxxxx xxxxxxxx, a
i) x xxxxxxx x xxxxxx zvládání xxxxx xxxxxx bezpečnostní xxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), d) x x) xxxxxx provádí xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxx x xxxxxxx xxxxx xxxxxxx x §3 písm. x) zákona alespoň xxxxxx xx xxx xxxx.
(3) Řízení rizik xxxx být zajištěno x xxxxxx způsoby, xxx jak xx xxxxxxxxx v xxxxxxxx 1 xxxx. x), xxxxx povinná osoba xxxxxxxxx, že použitá xxxxxxxx xxxxxxx xxxxxxx xxxx vyšší xxxxxx xxxxxxx řízení rizik.
§6
Xxxxxxxxxxx xxxxxxxxxx
(1) Povinná xxxxx s xxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx informací
a) xxxxxxx xxxxxxxxx bezpečnostní xxxxxxxx x cílů systému xxxxxx xxxxxxxxxxx informací xxxxx §3 xxxxxxxxxxxx xx strategickým směřováním xxxxxxx xxxxx,
x) zajistí xxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx xxx xxxxxx xxxxxx bezpečnosti informací,
d) xxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx shody x xxxx xxxxxxxxx xx všemi dotčenými xxxxxxxx,
x) zajistí xxxxxxx x xxxxxxxx zamýšlených xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací,
f) xxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxxxx xx při xxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxxxxx xxxxxxxxxx systému xxxxxx bezpečnosti informací,
h) xxxxxxxxx xxxxx zastávající xxxxxxxxxxxx xxxx xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxxxxxx,
x) zajistí xxxxxxxxx xxxxxxxx pro xxxxxx xxxxxxxxxxxxxx x osob, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxxx, xxx byla zachována xxxxxxxxxxx xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) pro osoby xxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxx xxxxxx xxxxxxxxxxxx prostředků x xxxxxxxxxx jejich xxxx x plnění xxxxxxxxxxxxx xxxxx x
x) xxxxxxx xxxxxxxxx plánů xxxxxxxxxx xxxxxxxx, obnovy x xxxxxxx spojených xx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
(2) Povinná osoba x xxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx xxxxxxx výboru xxx řízení kybernetické xxxxxxxxxxx a xxxxxxxxxxxx xxxx a jejich xxxxx a povinnosti xxxxxxxxxxx se xxxxxxxx xxxxxx bezpečnosti informací.
(3) Xxxxxxx xxxxx uvedená x §3 písm. x), x) a x) xxxxxx xxxx xxxxx, xxxxx bude xxxxxxxx xxxxxxxxxxxx roli
a) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx aktiva x
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxx xxxxx uvedená x §3 xxxx. x) xxxxxx určí xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxx. Xxxxxxx xxxxxxxxxxxx xxxx xxxxx xxxxxxxx 3 určí přiměřeně xxxxxxxx x rozsahu x xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(5) Xxxxxxx osoba uvedená x §3 xxxx. x), d) a x) zákona xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx x odstavci 3 xxxx. a) x b).
(6) Xxxxxxx xxxxx xxxxxxx x §3 písm. e) xxxxxx zajistí zastupitelnost xxxxxxxxxxxx xxxx manažera xxxxxxxxxxxx xxxxxxxxxxx.
(7) Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxx xxxxxxx s xxxxxxxxxxx xxxxxxxxxxx a xxxxxxxx xxxxxxxxxxxx xxx xxxxxxx xxxxxx x rozvoj xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxx xx xxxxxxxxxxxx xx xxxxxx x xxxxxxxxxx činností spojených x xxxxxxxxxxxxx xxxxxxxxxxx, xxxxx členem xxxx xxx xxxxxxx jeden xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxx pověřená xxxxx a xxxxxxx xxxxxxxxxxxx bezpečnosti. Xxxxxxx xxxxx u xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx v příloze č. 6 x xxxx xxxxxxxx.
§7
Xxxxxxxxxxxx role
(1) Manažer xxxxxxxxxxxx bezpečnosti
a) xx xxxxxxxxxxxx xxxx xxxxxxxxx xx systém xxxxxx xxxxxxxxxxx informací, xxxxxxx xxxxxxx xxxx role xxxx být xxxxxxxx xxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx a prokáže xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx
1. xx xxxx xxxxxxx xxx let, xxxx
2. xx dobu xxxxxxx xxxx, xxxxx xxxxxxxxxxx xxxxxxx na vysoké xxxxx,
x) xxxxxxxx xx xxxxxxxxxx informování vrcholového xxxxxx x
1. činnostech xxxxxxxxxxxxx x xxxxxxx xxxx xxxxxxxxxxxx x
2. xxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací a
c) xxxxx xxx pověřen xxxxxxx xxxx xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxx role xxxxxxxxx za xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx tak, xxx xxxx zajištěna xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, přičemž xxxxxxx xxxx role xxxx xxx xxxxxxxx xxxxx, xxxxx xx xxx tuto xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x navrhováním xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx architektury xxxxxxxxxxx
x) xx xxxx xxxxxxx xxx xxx, nebo
b) xx dobu xxxxxxx xxxx, xxxxx xxxxxxxxxxx xxxxxxx na xxxxxx xxxxx.
(3) Xxxxxx xxxxxx xx xxxxxxxxxxxx role xxxxxxxxx xx xxxxxxxxx xxxxxxx, xxxxxxx a xxxxxxxxxx xxxxxx.
(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) je xxxxxxxxxxxx role odpovědná xx xxxxxxxxx auditu xxxxxxxxxxxx bezpečnosti, xxxxxxx xxxxxxx xxxx xxxx xxxx xxx xxxxxxxx xxxxx, která xx xxx xxxx xxxxxxx xxxxxxxxx x prokáže xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xx xxxx xxxxxxx tří xxx, xxxx
2. xx xxxx xxxxxxx xxxx, xxxxx absolvovala studium xx xxxxxx xxxxx,
x) xxxxxxxx, xx xxxxxxxxx xxxxxx kybernetické bezpečnosti xx xxxxxxxxx, x
x) xxxxx být xxxxxxx xxxxxxx jiných bezpečnostních xxxx.
(5) Povinná xxxxx xxx xxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx x příloze č. 6 x této vyhlášce.
§8
Xxxxxx dodavatelů
(1) Povinná xxxxx
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxx, xxxxx xxxxxxxxxx xxxxxxxxx systému xxxxxx xxxxxxxxxxx informací,
b) xxxx xxxxxxxx xxxxx xxxxxxxxxx dodavatelů,
c) xxxxxxxxxxxx xxxxxxx informuje své xxxxxxxx xxxxxxxxxx x xxxxxx xxxxxxxx xxxxx xxxxxxx x),
x) seznamuje xxx dodavatele x xxxxxxxx xxxxx písmene x) x xxxxxxxx xxxxxx xxxxxx xxxxxxxx,
x) xxxx xxxxxx spojená x xxxxxxxxxx,
x) x xxxxxxxxxxx x xxxxxxx xxxxx xxxxxxxxx s xxxxxxxxxx xxxxxxxxxx xxxxxxx, xxx xxxxxxx xxxxxxxxx x významnými xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx v příloze č. 7 x xxxx xxxxxxxx, x
x) xxxxxxxxxx xxxxxxxxxxx xxxxxx smluv s xxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Povinná xxxxx x xxxxxxxxxx xxxxxxxxxx xxxx
x) x xxxxx xxxxxxxxxx xxxxxx x xxxx xxxxxxxxx xxxxxxx xxxxxxx hodnocení xxxxx xxxxxxxxxxxxx x xxxxxxx předmětu xxxxxxxxxx xxxxxx přiměřeně xxxxx přílohy č. 2 x xxxx xxxxxxxx,
x) x xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx xxxxxxx x xxxxxx realizace bezpečnostních xxxxxxxx x xxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx a xxxxxxxxxxx xxxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxx xxxxxx pomocí xxxxxxxxx zdrojů xxxx xxxxxx xxxxx xxxxxx x
x) x xxxxxx xx xxxxxx a xxxxxxxx nedostatky xxxxxxx xxxxxx xxxxxx.
(3) Xxxxxxxxxxx xxxxxxxxxxxxxx informování podle xxxxxxxx 1 xxxx. x) xxxx
x) xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
c) identifikace xxxxxxxxxx dodavatele,
d) xxxxxxxxxx x xxxxxxxxxxx, xx xxxxxxxxx xx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxx, x popřípadě xxxx x xxx, xx xxxxxxxx dodavatel xx xxxxxxx xxxxxxxxxxxxxx, a
e) xxxxx xxxxxxxx xxxxx xxxxxxxx 1 xxxx. x).
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx, která xx provozovatelem a xxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx odstavce 1 xxxx. x), xxxxx xxxxxxxxx údaje xxxxxx xxxxxxxx v §34.
§9
Bezpečnost lidských zdrojů
(1) Xxxxxxx xxxxx x xxxxx řízení bezpečnosti xxxxxxxx xxxxxx
x) x xxxxxxx xx xxxx x xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxxxx xxxx xxxxxxx xxxxxxxxxxxxxx povědomí, xxxxx xxxxx xx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx bezpečnostního povědomí x který xxxxxxxx xxxxx, xxxxx a xxxxxx
1. poučení xxxxxxxxx, xxxxxxxxxxxxxx, osob xxxxxxxxxxxxx xxxxxxxxxxxx role x xxxxxxxxxx o xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx politice x
2. xxxxxxxxxx teoretických x xxxxxxxxxxx školení xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxx xxxxx xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx x xxxxx xxxxxxx,
x) x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx poučení xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx bezpečnostní xxxx x xxxxxxxxxx o xxxxxx xxxxxxxxxxxx a x bezpečnostní xxxxxxxx xxxxxx vstupních x xxxxxxxxxxxx xxxxxxx,
x) pro xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxx x xxxxxx rozvoje xxxxxxxxxxxxxx povědomí xxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx, xxxxxxx vychází x xxxxxxxxxx xxxxxx povinné xxxxx x oblasti xxxxxxxxxxxx xxxxxxxxxxx,
x) x xxxxxxx x xxxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxxx bezpečnostního xxxxxxxx zaměstnanců x xxxxxxx x xxxxxx xxxxxxxx náplní,
f) xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx strany xxxxxxxxx, administrátorů x xxxx zastávajících bezpečnostní xxxx,
x) v xxxxxxx xxxxxxxx xxxxxxxxx vztahu x xxxxxxxxxxxxxx x xxxxxxx zastávajícími bezpečnostní xxxx zajistí xxxxxxx xxxxxxxxxxxx,
x) hodnotí xxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxxxxx školení x xxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxxxxxx povědomí x
x) xxxx pravidla x xxxxxxx xxx řešení xxxxxxx xxxxxxxx stanovených xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
(2) Xxxxxxx xxxxx xxxx x xxxxxxx xxxxx odstavce 1 xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxx x seznam xxxx, xxxxx xxxxxxx absolvovaly.
§10
Řízení xxxxxxx a xxxxxxxxxx
(1) Xxxxxxx xxxxx x rámci xxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxxx xxxxxxxx provoz xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx, xxxxx xxxxxxxx xxxxxxx
x) xxxxx x xxxxxxxxxx administrátorů, uživatelů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role,
b) postupy xxx xxxxxxxx a xxxxxxxx xxxxx systému, xxx xxxxxxx xxxx xxxxxxxx chodu xxxxxxx xx xxxxxxx x xxx ošetření chybových xxxxx nebo mimořádných xxxx,
x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x opatření xxx xxxxxxx xxxxxxxx x xxxxxxxx x xxxxxx xxxxxxxxxx,
x) xxxxxxxx x postupy xxx xxxxxxx před xxxxxxxxx xxxxx,
x) řízení xxxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxxxx xx xxxxxxxxx xxxxx, které xxxx xxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxx x schvalování xxxxxxxxxx xxxx,
x) postupy pro xxxxxxxxx, plánování a xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxxx x postupy xxx xxxxxxx informací x dat x xxxxxxx xxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxx a xxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxx x
x) xxxxxxxx x postupy xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx.
(2) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxxxx a xxxxxxxxxx xxxxxxxx xxxxxxxx a xxxxxxx stanovené xxxxx xxxxxxxx 1 a xxxx pravidla x xxxxxxx xxxxxxxxxxx x xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx změnami.
(3) Xxxxxxx xxxxx xxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxx.
§11
Xxxxxx xxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) přezkoumává xxxxx xxxxxx změn a
b) xxxxxx významné změny.
(2) Xxxxxxx osoba x xxxxxxxxxx xxxx
x) xxxxxxxxxxx xxxxxx řízení,
b) xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxx xx xxxxxx xxxxxxx všech nepříznivých xxxxxx xxxxxxxxx s xxxxxxxxxx xxxxxxx,
x) aktualizuje xxxxxxxxxxxx politiku x xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxx xxxxxxxxx x
x) xxxxxxx možnost xxxxxxxxx xx původního xxxxx.
(3) Xxxxxxx osoba uvedená x §3 písm. x), d) a x) xxxxxx xx xxxxxxx xxxxxxxx analýzy xxxxx xxxxx odstavce 2 písm. x) xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx zranitelností; xxxxx xxxxxxxx x provedení xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx xxxxx §25 odst. 1 x xxxxxxx xx zjištěné xxxxxxxxxx.
(4) Xxxxxxx osoba xxxxxxx x §3 xxxx. x) xxxxxx xx xxxx xxxxxxxxx xxxxx xxxxxxxx 3 přiměřeně.
§12
Xxxxxx xxxxxxxx
(1) Xxxxxxx xxxxx xx xxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxx xxxx přístup x informačnímu a xxxxxxxxxxxxx systému x xxxxxxx xxxxxxxx, která xxxxxx x zajištění xxxxxxx xxxxx, xxxxx xxxx používány pro xxxxxxxxxx xxxxx §19 x 20, a xxxxx xxxxx xx xxxxxxxx těchto údajů xxxxxxxxxxxx xxxxxx.
(2) Xxxxxxx xxxxx xxxx x xxxxx xxxxxx přístupu x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx
x) xxxx xxxxxxx xx xxxxxxx xxxxxx x xxxx,
x) xxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx přístupová xxxxx x xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx,
x) xxxx xxxxxxxxxxxxxx, xxxxxxxxxx xxxxx a oprávnění xxxxxxxx x technických xxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxx xxxxxxxx k xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxxxxxxxxx opatření potřebná xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx a xxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx zařízení, xxxxx xxxxxxx xxxxx xxxx xx xxx xxxxxx,
x) omezí přidělování xxxxxxxxxxxxxxx oprávnění na xxxxxx nezbytně xxxxxx x xxxxxx xxxxxx xxxxx,
x) xxxxx a xxxxxxxxxx používání xxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxx xxx xxxxxxx překonat xxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,
x) přiděluje a xxxxxxx přístupová xxxxxxxxx x xxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx přístupových xxxxxxxxx xxxxxx rozdělení xx xxxxxxxxxxxx xxxxxx x rolí,
j) xxxxxxx xxxxxxx pro správu x xxxxxxxxx xxxxxxxx xxxxx §19 x xxxxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxx podle §20,
x) xxxxxxxxx, xxx xxxxxxxxx při xxxxxxxxx xxxxxxxxxx autentizačních xxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx změně xxxxxx xxxx xxxxxxxx uživatelů, xxxxxxxxxxxxxx nebo xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx xxxx xxxxx xxxxxxxxx xxxxxx x
x) xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx přístupových xxxxxxxxx.
§13
Xxxxxxxx, xxxxx a xxxxxx
Xxxxxxx osoba x xxxxxxxxxxx x xxxxxxxxxx xxxxxxxx, xxxxxxx x xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx
x) xxxx xxxxxx xxxxx §5,
x) xxxx xxxxxxxx změny xxxxx §11,
c) xxxxxxx xxxxxxxxxxxx požadavky,
d) zahrne xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxx xxxxxxxx, xxxxxx x xxxxxx,
x) zajistí xxxxxxxxxx vývojového x xxxxxxxxxxx xxxxxxxxx x xxxxxxx ochranu xxxxxxxxxxx xxxxxxxxxxx xxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxx xxxx xxxxxx xxxxxxxxx xx xxxxxxx x
x) xxxx xxxxxxxxx xxxxx §19 odst. 3, xx-xx cílem xxxxxxxxx akvizice nebo xxxxxx xxxxxxx xxx xxxxxx a ověřování xxxxxxxx.
§14
Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a incidentů
(1) Xxxxxxx xxxxx x xxxxx zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) zavede proces xxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x zvládání kybernetických xxxxxxxxxxxxxx incidentů,
b) přidělí xxxxxxxxxxxx x xxxxxxx xxxxxxx xxx
1. detekci x vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí a xxxxxxxxx x
2. xxxxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
c) xxxxxxxx x aplikuje postupy xxx identifikaci, xxxx, xxxxxxx a xxxxxxxx xxxxxxxxxxx podkladů potřebných xxx analýzu xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx,
x) při xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí xx xxxx řídí §22 a 23,
x) xxxxxxx, xx xxxxxxxxx, xxxxxxxxxxxxxx, xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxx xxxxxxxxxxx x xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx xxxxxxx informačního x xxxxxxxxxxxxx systému a xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxx,
x) zajistí posuzování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xxxx xxx rozhodnuto, xxx xxxx xxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx xxxxx §31,
x) xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle xxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx xxx odvrácení x xxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního incidentu,
j) xxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx podle §32,
x) xxxx xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx x x xxxxxx xxxxxxxx,
x) xxxxxxxx a xxxx příčiny xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a
m) xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x na xxxxxxx xxxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxx opatření, xxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x zamezení xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu.
(2) Xxxxxxx xxxxx uvedená v §3 xxxx. c), x) x x) xxxxxx dále xxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxxx §24.
§15
Xxxxxx xxxxxxxxxx xxxxxxxx
Xxxxxxx xxxxx v xxxxx xxxxxx xxxxxxxxxx xxxxxxxx
x) xxxxxxx xxxxx a xxxxxxxxxx xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) pomocí hodnocení xxxxx x analýzy xxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů x posoudí možná xxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxxx,
x) xx xxxxxxx výstupů xxxxxxxxx rizik x xxxxxxx xxxxxx podle xxxxxxx x) xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx určení
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx, xxxxx je xxxxxxxxxx xxx xxxxxxx, xxxxxx x správu xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
2. xxxx xxxxxxxx xxxxx, xxxxx které xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx úroveň poskytovaných xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, x
3. xxxx xxxxxxxx dat xxxx xxxxxx období, xx xxxxx xxxx xxx zpětně obnovena xxxx po kybernetickém xxxxxxxxxxxxx xxxxxxxxx xxxx xx xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx x),
x) vypracuje, xxxxxxxxxxx a xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx x havarijní xxxxx xxxxxxxxxxx s xxxxxxxxxxxx informačního a xxxxxxxxxxxxx systému x xxxxxxxxxxxxx xxxxxx x
x) xxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxxxxxx x vychází xxx xxx x xxxxxxxxx podle §27.
§16
Audit xxxxxxxxxxxx bezpečnosti
(1) Xxxxxxx xxxxx x xxxxx auditu kybernetické xxxxxxxxxxx
x) xxxxxxx a xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxxxxx technické xxxxx, x výsledky xxxxxx xxxxxxxx v plánu xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx zvládání xxxxx x
x) xxxxxxxx xxxxxx xxxxxxxxxxxxxx opatření x xxxxxxxx xxxxx, xxxxxxxx předpisy, xxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxxx xx k xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxx xxxxxxxx nápravná xxxxxxxx xxx xxxxxxxxx xxxxxxx.
(2) Xxxxx podle xxxxxxxx 1 xx prováděn
a) xxx významných změnách, x xxxxx xxxxxx xxxxxxx,
x) x pravidelných xxxxxxxxxxx alespoň xx 3 letech x xxxxxxx xxxxxxx xxxxx xxxxxxx v §3 xxxx. e) xxxxxx x
x) v xxxxxxxxxxxx xxxxxxxxxxx alespoň po 2 letech v xxxxxxx povinné xxxxx xxxxxxxxx x xxxxxxx x).
(3) Xxxx-xx x xxxxxxxxxxxx případech xxxxx xxxxxxx audit v xxxxxxxxxxx xxxxx xxxxxxxx 2 písm. x) x x) x xxxxx xxxxxxx, xx xxxxx xxxxx provádět xxxxxxxx xx systematických xxxxxxx. V takovém xxxxxxx je xxxxx xxxxx v xxxxx xxxxxxx provést xxxxxxxxxx xx 5 xxx.
(4) Xxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx xxxxxxxx xxxxxx vyhovující podmínkám xxxxxxxxxx x §7 xxxx. 4, xxxxx xxxxxxxxx hodnotí správnost x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(5) Xxxxxxx xxxxx, která xx xxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx správci xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx.
XXXXX II
TECHNICKÁ XXXXXXXX
§17
Xxxxxxx xxxxxxxxxx
Xxxxxxx xxxxx x xxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxxxxx poškození, xxxxxxx xxxx zneužití xxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx informačního x xxxxxxxxxxxxx systému,
b) xxxxxxx xxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxxx xxxxxx, ve xxxxx jsou uchovávány x xxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx informačního x xxxxxxxxxxxxx xxxxxxx, a
c) x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx podle xxxxxxx x) přijme xxxxxxxx opatření a xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx
1. x xxxxxxxx xxxxxxxxxxxxx xxxxxx,
2. x xxxxxxxx xxxxxxxxx a xxxxxxxxxxxx zásahům a
3. xxx xxxxxxxxx xxxxxxx xx xxxxxx xxxxxxx x x rámci xxxxxxx.
§18
Xxxxxxxxxx xxxxxxxxxxxxx xxxx
Xxxxxxx xxxxx xxx ochranu xxxxxxxxxxx komunikační xxxx xxxxxxxx x xxxxxxx xxxxx §3 písm. x)
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxx xxxxxxxxxx x xxxxx xxxxxxxxxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxx důvěrnost a xxxxxxxxx xxx při xxxxxxxxx xxxxxxxx, vzdálené xxxxxx xxxx při xxxxxxxx do xxxxxxxxxxx xxxx pomocí xxxxxxxxxxxx xxxxxxxxxxx,
x) aktivně blokuje xxxxxxxxx xxxxxxxxxx a
e) xxx zajištění xxxxxxxxxx xxxx x xxx xxxxxx komunikace mezi xxxxxx segmenty xxxxxxx xxxxxxx, xxxxx xxxxxxx xxxxxxx xxxxxxxxx komunikační xxxx.
§19
Xxxxxx x xxxxxxxxx xxxxxxx
(1) Xxxxxxx xxxxx xxxxxxx xxxxxxx xxx xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x aplikací xxxxxxxxxxxx x xxxxxxxxxxxxx systému.
(2) Xxxxxxx xxx xxxxxx x ověření identity xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxxxx
x) xxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxxxx x xxxxxxxxxxx x xxxxxxxxxxxx systému,
b) xxxxxx počtu xxxxxxx xxxxxxxxxxx xxxxxx o xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxxx xxxxxxxxxxxxx xxxxxxxx x xxxxxxxx,
x) xxxxxxxx autentizačních xxxxx xx formě xxxxxx xxxxx xxxxxxx xxxxxx,
x) xxxxxxxx xxxxxxx identity xx xxxxxx xxxx xxxxxxxxxx,
x) dodržení důvěrnosti xxxxxxxxxxxxxx xxxxx při xxxxxx přístupu x
x) xxxxxxxxxxxxxxx xxxxxx xxxxxxx.
(3) Xxxxxxx xxxxx pro xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxx xxxxxxxx xxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxx x xxxxx, xxxxx xx xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxx xxxxxxx xxxx faktorů.
(4) Xx xxxx xxxxxxx xxxxxxxxx xxxxx odstavce 3 xxxx xxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx, xxxxxxxx autentizaci pomocí xxxxxxxxxxxxxxxx klíčů x xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx.
(5) Xx xxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx 4 xxxx nástroj xxx ověření xxxxxxxx xxxxxxxxx, administrátorů a xxxxxxxx, xxxxx xxxxxxx x xxxxxxxxxxx identifikátor xxxx a heslo, xxxxxxxxx xxxxxxxx
x) délky xxxxx alespoň
1. 12 xxxxx x uživatelů x
2. 17 znaků x administrátorů x xxxxxxxx,
x) xxxxxxxxxx zadat xxxxx x xxxxx xxxxxxx 64 xxxxx,
x) xxxxxxxxxxx xxxxxxx malých x xxxxxxx písmen, xxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx xxxxxxxxxx xxxxx xxxxx, přičemž xxxxxx mezi xxxxx xxxxxxx xxxxx nesmí xxx kratší xxx 30 xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxxx
1. xxxxxx xx xxxxxxxxxx xxxxxxxxx hesla,
2. tvořit xxxxx xx základě xxxxxxxxxxxx opakujících xx xxxxx, přihlašovacího xxxxx, x-xxxxx, názvu xxxxxxx xxxx obdobným xxxxxxxx x
3. opětovné xxxxxxx xxxxx xxxxxxxxxxx hesel x pamětí alespoň 12 xxxxxxxxxxx xxxxx x
x) xxx xxxxxxxx xxxxx xxxxx x xxxxxxxxx xxxxxxxxx xx 18 měsících, xxxxxxx xxxx xxxxxxxx xx xxxxxxxxxx na xxxx xxxxxxxx x xxxxxx xxxxxxx v xxxxxxx xxxxxxx.
(6) Xxxxxxx xxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxxx pouze xxxxx x xxxxxx xxxx
x) xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx hesla xx xxxx xxxxxx xxxxxxx,
x) xxxxxxxxxxx zneplatní xxxxx xxxxxxxx x xxxxxxxx xxxxxxxx xx xxxx xxxxxx xxxxxxx xxxx xxxxxxxxx nejvýše 60 xxxxx xx xxxx xxxxxxxxx x
x) xxxxxxx xxxxxx xxxxxxxx tvorby xxxxxxxxxx xxxxx xx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9.
§20
Xxxxxx přístupových xxxxxxxxx
Xxxxxxx xxxxx používá centralizovaný xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx xxxxxx oprávnění
a) xxx xxxxxxx x xxxxxxxxxxx xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx x
x) pro xxxxx xxx, xxxxx dat x změnu xxxxxxxxx.
§21
Ochrana xxxx xxxxxxxxx xxxxx
(1) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x x) xxxxxx x xxxxx xxxxxxx xxxx xxxxxxxxx xxxxx
x) x xxxxxxx na xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxxx ochranu
1. xxxxxxxxx xxxxxx,
2. mobilních xxxxxxxx,
3. serverů,
4. xxxxxxxx xxxxxxx x výměnných xxxxxxxx nosičů,
5. xxxxxxxxxxx xxxx x xxxxx xxxxxxxxxxx xxxx a
6. xxxxxxxxx zařízení,
b) xxxxxxxxxx x řídí používání xxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx,
x) xxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx,
x) řídí xxxxxxxxx xx spouštění xxxx x
x) xxxxxxx xxxxxxxxxxx x účinnou xxxxxxxxxxx nástroje xxx xxxxxxx před xxxxxxxxx xxxxx.
(2) Xxxxxxx osoba xxxxxxx x §3 xxxx. e) xxxxxx xxxxxxxxx xxxxx odstavce 1 xxxxxxxxx.
§22
Xxxxxxxxxxxxx událostí xxxxxxxxxxxx x xxxxxxxxxxxxx systému, xxxx uživatelů a xxxxxxxxxxxxxx
(1) Xxxxxxx osoba
a) xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxx informačního x xxxxxxxxxxxxx systému x
x) xx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxxx xxxxx, x xxxxxxx je xxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx xxx xxxxxxxxxxxxx bezpečnostních a xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxxx
x) xxxxxxxxxxxx síťovou xxxxxxxxxxxx xxxxxxxx xxxxxxx, xx-xx x xxxxxxxxxxx síti xxxxxx nástroj, který xxxx jeho xxxxxxx xxxxxxxxxxxx,
x) xxxx xxxxxxxxx x xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx; zejména xxxxxxxxxxx
1. xxxxx a xxx včetně specifikace xxxxxxxx xxxxx,
2. typ xxxxxxxx,
3. xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, xxxxx xxxxxxx xxxxxxxxxxx,
4. jednoznačnou identifikaci xxxx, xxx kterým xxxx činnost provedena,
5. xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx původce a
6. xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxxx x) x x) xxxx xxxxxxxxxxxx xxxxxx x xxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxx
1. xxxxxxxxxxxx x xxxxxxxxxxx ke všem xxxxx, x to xxxxxx neúspěšných pokusů,
2. xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx,
3. xxxxxxx x xxxxxxxxx xxxxxxxxxx x účty, xxxxxxxxxxx x právy,
4. xxxxxxxxxxx xxxxxxxx x xxxxxxxx nedostatku přístupových xxxx x xxxxxxxxx,
5. xxxxxxxx xxxxxxxxx, xxxxx xxxxx xxx xxxx xx xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
6. xxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx,
7. xxxxxxxxxx x chybových xxxxxxx xxxxxxxxxxx xxxxx x
8. xxxxxxxx x xxxxxxxx x xxxxxxxxxx, xxxxxx x xxxxxxxxxx xx záznamy x xxxxxxxxxx a xxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx a
e) xxxxxxxxxxxxx jednotného xxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxxx xx 24 xxxxx.
(3) Xxxxxxx osoba xxxxxxx v §3 xxxx. c), x) x f) xxxxxx xxxxxxxx xxxxxxx událostí xxxxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxx po xxxx 18 xxxxxx.
(4) Xxxxxxx osoba xxxxxxx x §3 písm. x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxx po xxxx 12 měsíců.
§23
Xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
(1) Xxxxxxx osoba x xxxxx xxxxxxxxxxx xxxx, jejíž součástí xx xxxxxxxxxx a xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxx pro detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx x xxxxxxxx přenášených xxx v rámci xxxxxxxxxxx xxxx x xxxx xxxxxxxxxxxxx xxxxxx,
x) xxxxxxx x xxxxxxxx xxxxxxxxxxx dat na xxxxxxxxx komunikační sítě x
x) blokování xxxxxxxxx xxxxxxxxxx.
(2) Xxxxxxx osoba xxxxxxx x §3 xxxx. x), d) x f) zákona xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxx x ohledem xx xxxxxxxxxx xxxxx x xxxxx
x) xxxxxxxxx stanic,
b) xxxxxxxxx zařízení,
c) serverů,
d) xxxxxxxx xxxxxxx a xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxx x
x) obdobných aktiv.
§24
Xxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
Xxxxxxx xxxxx uvedená x §3 xxxx. c), x) a x) xxxxxx používá xxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, který xxxxxx
x) sběr x xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx §22 x 23,
x) xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx informací xxx xxxxxx bezpečnostní role x detekovaných xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostech,
d) vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxx identifikace xxxxxxxxxxxxxx bezpečnostních incidentů, xxxxxx xxxxxxxx varování xxxxxxxx xxxxxxxxxxxxxx rolí,
e) xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx událostí pravidelnou xxxxxxxxxxx xxxxxxxxx pravidel xxx
1. xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí a
2. xxxxxx xxxxxxxx a
f) xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxx xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxxx nastavení bezpečnostních xxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx.
§25
Xxxxxxxxx xxxxxxxxxx
(1) Xxxxxxx xxxxx provádí penetrační xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx se xxxxxxxxx na xxxxxxxx xxxxxx, a xx
x) xxxx xxxxxx xxxxxxxx xx provozu a
b) x souvislosti x xxxxxxxxx xxxxxx podle §11 odst. 3.
(2) Xxxxxxx xxxxx dále x xxxxx xxxxxxxxx xxxxxxxxxxx zajistí trvalou xxxxxxx xxxxxxxx, informací x xxxxxxxxx xxxx
x) xxxxxxxxxxxx činností x
x) xxxxxxxx provedených xxxxxxxx.
§26
Xxxxxxxxxxxxxx prostředky
Povinná xxxxx xxx xxxxxxx aktiv xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxx,
x) xxxxxxx systém xxxxxx xxxxx x xxxxxxxxxxx, xxxxx
1. xxxxxxx xxxxxxxxxx, xxxxxxxxxx, xxxxxxxx, xxxxx, xxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxxxxx x likvidaci xxxxx x
2. xxxxxx xxxxxxxx x xxxxx,
x) xxxxxxxxx bezpečné nakládání x xxxxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxxxx xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx Úřadem, xxxxxxxxxx xx jeho xxxxxxxxxxxxx xxxxxxxxx.
§27
Xxxxxxxxxxx xxxxxx dostupnosti xxxxxxxxx
Xxxxxxx xxxxx xxxxxx xxxxxxxx xxx zajišťování xxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx
x) dostupnost informačního x xxxxxxxxxxxxx systému xxx xxxxxxx xxxx xxxxx §15,
x) xxxxxxxx xxxxxxxxxxxx a komunikačního xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, které xx xxxxx xxxxxx xxxx xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx a
d) redundanci xxxxx xxxxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
§28
Xxxxxxxxxx, xxxxxx a xxxxxxx xxxxxxxxxx systémy
Povinná xxxxx xxx zajištění xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx, xxxxxxxx x obdobných xxxxxxxxxxxx systémů xxxxxxx xxxxxxxx x opatření, xxxxx xxxxxxx
x) xxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx, které xxxx xxxxxx xx xxxxxxxxxxxx xxxxxxxxx,
x) omezení xxxxxxxxx xxxxxxxx k xxxxxxxxx xxxxxx systémů a xx xxxxxxxxxxx xxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxx xxxxxx pro xxxx xxxxxxx xx xxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxx x xxxxxx xxxxxxxxxx xxxxxxxx x těmto systémům,
e) xxxxxxx jednotlivých xxxxxxxxxxx xxxxx xxxxxx xxxxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx těchto systémů xx xxxxxxxxxxxxx bezpečnostním xxxxxxxxx.
§29
Xxxxxxxxx xxxxxx
(1) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx prováděcího xxxxxxxx Xxxxxx (EU) 2018/151 xx xxx 30. xxxxx 2018, xxxxxx se xxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Rady (EU) 2016/1148, xxxxx xxx x bližší upřesnění xxxxx, xxxxx musí xxxxxxxxxxxxx digitálních xxxxxx xxxxxxxxxxx při xxxxxx xxxxxxxxxxxxxx xxxxx, xxxxx xxxx vystaveny xxxx x xxxxxxxxxx xxxxxxx, x parametrů xxx xxxxxxxxxx toho, zda xx xxxxx incidentu xxxxxxxx; xxxxxxxxxx §3 xx 28 se xx xxxx xxxxxxxx xxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx uvedená x §3 xxxx. x) xxxxxx xxxxx xxxxxxxxx xxxxx xxxxx §34 xxxx. 2.
(3) Povinná xxxxx uvedená x §3 písm. x) xxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx podle §32 xxxx. 2 x 3.
HLAVA XXX
XXXXXXXXXXXX POLITIKA X XXXXXXXXXXXX XXXXXXXXXXX
§30
Xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxxxx osoba
a) xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx v příloze č. 5,
b) xxxxxxxxxx přezkoumává xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx a
c) xxxxxxx, xxx xxxx xxxxxxxxxxxx xxxxxxxx x bezpečnostní xxxxxxxxxxx xxxxxxxx.
(2) Bezpečnostní xxxxxxxx x bezpečnostní xxxxxxxxxxx musí xxx
x) xxxxxxxx x xxxxxxxx xxxx elektronické xxxxxx,
x) xxxxxxxxxxxx x xxxxx xxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxx dotčeným stranám,
d) xxxxxx,
x) xxxxxxxx x xxxxxxx důvěrnosti, integrity x xxxxxxxxxxx x
x) xxxxxx tak, xxx xxxxxxxxx x nich xxxxxxxx byly úplné, xxxxxxx, snadno identifikovatelné x xxxxxx vyhledatelné.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX
§31
Xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxx xxxxxxxxxx
x) dopadů xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx kritériích, xxxxx xxxxxxx xxxx xxxxxxx xxxxx xxxxxx,
x) xxxxx xxxxxxxxx xxxxxxxxx,
x) způsobené xxxx xxxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxx xxxxxxxxx aktiv xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) dopadů xx xxxxxxxxxxx služby xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxx xxxxxxxxxxx xxxxxx informačními x xxxxxxxxxxxxx systémy,
g) xxxxx xxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx x
x) xxxxxxx xxxxxx.
(2) Xxx xxxxxxx xxxxxxx x zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xx základě xxxxxxxxxx xxxxx odstavce 1 kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - velmi xxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx xxxxxx xx xxxxx a xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx služeb xxxx xxxxx. Xxxx řešení xxxxxxxx neprodlené xxxxxx xxxxxxx s tím, xx musí xxx xxxxx dostupnými prostředky xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace vzniklých x xxxxxxxxxxxxx xxxx,
x) Xxxxxxxxx XX - xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx zásahy xxxxxxx x tím, xx xxxx být xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx šíření kybernetického xxxxxxxxxxxxxx incidentu xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx, xxxx
x) Xxxxxxxxx I - méně xxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx kterém xxxxxxx x xxxx významnému xxxxxxxx bezpečnosti xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxx xxxxxxx s xxx, xx xxxx xxx xxxxxxxx prostředky xxxxxxx další xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace xxxxxxxxx xxxx.
(3) Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxx jsou
a) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx důvěrnosti aktiv,
b) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx integrity xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx narušení xxxxxxxxxxx xxxxx, xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxx x) až c).
(4) Xxxx xxxxxxxxxx xx xxxxxxxxxx xx kybernetické xxxxxxxxxxxx incidenty x xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx.
§32
Xxxxx x náležitosti xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx se Xxxxx xxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx na xxxxxxxxxxxxx stránkách Úřadu xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx pošty Xxxxx xxxxxxx pro xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
x) xx datové xxxxxxxx Xxxxx, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xx xxxxxxxxx, xxxxx xxxxx xx xxxxxxxxx xx internetových xxxxxxxxx Xxxxx.
(2) Kybernetický xxxxxxxxxxxx xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx CERT hlásí xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx internetových xxxxxxxxx provozovatele xxxxxxxxx XXXX xxxxxxxx
x) xx xxxxxx elektronické pošty xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxxxxxxx xx xxxx internetových xxxxxxxxx,
x) xx xxxxxx xxxxxxxx xxxxxxxxxxxxx národního XXXX, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.
(3) Xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu je xxxxx xxxxxx x x xxxxxxxx xxxxxx, xxxxx xxxxx v xxxxxxxxx, xxx xxxxx xxxxxx xxxxx ze xxxxxxx xxxxxxxxx x xxxxxxxxxx 1 x 2.
(4) Xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxx
x) xxxxxxxxxxxx odesilatele,
b) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) datum x xxx xxxxxxxx xxxxxxxxx x
x) xxxxx xxxxxxxxx.
ČÁST ČTVRTÁ
REAKTIVNÍ OPATŘENÍ X KONTAKTNÍ XXXXX
§33
Xxxxxxxxx xxxxxxxx
(1) Xxxxxxx xxxxx, xxxxx Xxxx uložil xxxxxxx xxxxxxxxx opatření,
a) xxxxxxx očekávané dopady xxxxxxxxxxx opatření na xxxxxxxxxx a komunikační xxxxxx x na xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxx xxxxxxxxx xxxxxx x
x) xxxxxxx způsob xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxx, xxxxx xxxxxxxxxxxx xxxx xxxxx xxxxxxxxx účinky, x xxxx časový xxxx xxxx provedení.
(2) Xxxxxxx osoba, které Xxxx xxxxxx xxxxxxx xxxxxxxxx xxxxxxxx, oznámí xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx a xxxx xxxxxxxx ve xxxxx xxxxxxx xx internetových xxxxxxxxx Xxxxx.
§34
Kontaktní xxxxx
(1) Kontaktní xxxxx xx Xxxxx xxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx zveřejněném na xxxxxxxxxxxxx xxxxxxxxx Xxxxx xxxxxxxx
x) xx adresu xxxxxxxxxxxx xxxxx Úřadu xxxxxxx pro xxxxxx xxxxxxxx kontaktních xxxxx, xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Úřadu,
b) do xxxxxx schránky Úřadu, xxxx
x) prostřednictvím datového xxxxxxxx, xxxxx xx xxxxxxxxx, jehož popis xx xxxxxxxxx na xxxxxxxxxxxxx stránkách Xxxxx.
(2) Xxxxxxxxx údaje xx xxxxxxxxxxxxx národního XXXX xxxxxxxx xx elektronickém xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx
x) xx xxxxxx elektronické xxxxx provozovatele národního XXXX xxxxxxx pro xxxxxx oznámení xxxxxxxxxxx xxxxx, zveřejněnou xx xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx xxxxxx schránky xxxxxxxxxxxxx národního XXXX, xxxx
x) prostřednictvím xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.
(3) Xxxxxxx xxxxxxxxxxx xxxxx xx možné xxxxxx x x xxxxxxxx xxxxxx, xxxxx xxxxx x případech, xxx xxxxx xxxxxx xxxxx xx xxxxxxx xxxxxxxxx x xxxxxxxxxx 1 x 2.
(4) Xxxx xxxxxxxx xxxxxxxxxxx xxxxx xx uveden x příloze č. 8 x xxxx vyhlášce.
(5) Povinná xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx, xxxxx xx xxxxxxxxxxxxxx, xxxx x xxxxxxx xxxxxxxxxxx údajů podle xxxxxxxx 1 xxxxxxxx xxxxxxxx, xxxxxx xx xxxxxxx prokazatelně xxxxxxxxx xxxxx §8 xxxx. 1 xxxx. x).
XXXX XXXX
XXXXXXXXX USTANOVENÍ
§35
Přechodná xxxxxxxxxx
(1) V případě xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx systémů xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx xxxx xxxxxx přede xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, x x případě významných xxxxxxxxxxxx xxxxxxx, u xxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx kritérií xxxxx dnem xxxxxx xxxxxxxxx xxxx xxxxxxxx, xx do jednoho xxxx xxx xxx xxxxxx účinnosti xxxx xxxxxxxx pro xxxxx x strukturu bezpečnostní xxxxxxxxxxx x xxxxx x xxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx použijí xxxxxxxxxx xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentech, xxxxxxxxxxx xxxxxxxxxx x x xxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (vyhláška x xxxxxxxxxxxx bezpečnosti).
(2) X xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x komunikačních xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx byly xxxxxx přede dnem xxxxxx xxxxxxxxx xxxx xxxxxxxx, x v xxxxxxx významných xxxxxxxxxxxx xxxxxxx, u kterých xxxxx k xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, se xx jednoho xxxx xxx xxx xxxxxx xxxxxxxxx xxxx xxxxxxxx xxx xxxxxx xxxxxxxxx xxx, provozních xxxxx, xxxxxxxxx x xxxxxx xxxxx xxxx vyhláška xxxxxxxxx.
§36
Xxxxxxxxx xxxxxxxxxx
Xxxxxxx xx xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx opatřeních, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x o xxxxxxxxx xxxxxxxxxxx xxxxxx x oblasti kybernetické xxxxxxxxxxx (vyhláška x xxxxxxxxxxxx bezpečnosti).
§37
Xxxxxxxx
Xxxx xxxxxxxx nabývá xxxxxxxxx xxxx xxxxxxxxx.
Xxxxxxx:
Xxx. Xxxxxxxx x. x.
Xxxxxxx x. 1 x vyhlášce č. 82/2018 Xx.
Xxxxxxxxx xxxxx
(1) Xxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxx x xxxxx xxxxxxx xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxx a posuzuje xx, xxxx xxxxx xx mělo xxxxxxxx xxxxxxxxxxx informací x xxxxxxxxxxxx aktiv. Povinná xxxxx xxxx xxxxxxxx xxxxxxx xxxxx xxxxxx xxx xxxxxxxxx důležitosti xxxxx, xxx jaký xx xxxxxx x xxxx xxxxxxx, dodrží-li xxxxxxxxxxx vazby xxxx xxxx používaným způsobem xxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx x xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx xxxx xxxxxxx x xxxx příloze.
(2) Je xxxxxxxxxx, xxx si xxxxx povinná xxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxx xxxxxxxx.
Xxx. 1: Xxxxxxxx xxx xxxxxxxxx důvěrnosti
|
Úroveň |
Popis |
Příklady požadavků xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxx xxxx xxxxxxx xxxxxxxxx xxxx xxxx určena xx zveřejnění. Narušení xxxxxxxxxx aktiv xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxx. X případě sdílení xxxxxxxx xxxxxx x xxxxxxx xxxxxxxx x xxxxxxx klasifikace podle xxx. xxxxxxx xxxxx xxxxxxxxx (dále xxx "XXX") xx xxxxxxxxx xxxxxxxx TLP:WHITE. |
Není vyžadována xxxxx xxxxxxx. |
|
Střední |
Aktiva xxxxxx veřejně přístupná x xxxxx xxxx-xxx xxxxxxx xxxxx, xxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxx předpisem xxxx smluvním xxxxxxxxx. X xxxxxxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx TLP xx využíváno xxxxxxx xxxxxxxx TLP:GREEN nebo XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxx řízení xxxxxxxx. |
|
Xxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxxx xxxxxxx je xxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx nebo smluvními xxxxxxxxxx (xxxxxxxxx obchodní xxxxxxxxx, xxxxxx xxxxx). X xxxxxxx xxxxxxx xxxxxxxx xxxxxx x třetími xxxxxxxx x xxxxxxx xxxxxxxxxxx podle XXX xx xxxxxxxxx xxxxxxx xxxxxxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx využívány xxxxxxxxxx, xxxxx zajistí xxxxxx x zaznamenávání xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx xxxx xxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx míru xxxxxxx xxx rámec xxxxxxxxx xxxxxxxxx (xxxxxxxxx xxxxxxxxxxx xxxxxxxx tajemství, xxxxxxxx kategorie xxxxxxxx xxxxx). X xxxxxxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxx xxxxxxxx x xxxxxxx klasifikace xxxxx XXX xx xxxxxxxxx xxxxxxx xxxxxxxx XXX:XXX xxxx TLP:AMBER. |
Pro xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Dále xxxxxx xxxxxxx zabraňující xxxxxxxx xxxxx ze xxxxxx xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx xxxx xxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Tab. 2: Xxxxxxxx pro xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx ochranu xxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx ochranu x xxxxxxxx integrity. Narušení xxxxxxxxx aktiva xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxx. |
Xxxx vyžadována žádná xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx vyžadovat xxxxxxx z xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx může xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx x xxxx se xxxxxxxx xxxx xxxxxxxxx xxxxxx xx primární xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx (xxxxxxxxx omezení xxxxxxxxxxxx xxxx xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxxxx xxxx x poškození xxxxxxxxxxx xxxxx xxxxxxx xxxxx s xxxxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány xxxxxxxxx xxxxxxxxxx, které xxxxxxxx xxxxxxxx xxxxxxxx provedených xxxx x xxxxxxxxxx xxxxxxxx osoby xxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx přenášených komunikačními xxxxxx xx xxxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx x xxxxx vážnému xxxxxxxxx xxxxxxxxxxx zájmů povinné xxxxx s xxxxxxx x xxxxx xxxxxxx xxxxxx na xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx speciální xxxxxxxxxx xxxxxxxxxxx identifikace xxxxx xxxxxxxxxxx xxxxx (xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx podpisu). |
Tab. 3: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx na xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx není xxxxxxxx x x xxxxxxx xxxxxxx je xxxxx xxxxxxxxxx xxxxx časové xxxxxx xxx nápravu (xxx do 1 xxxxx). |
Xxx xxxxxxx xxxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx dostupnosti xxxxxx xx xxxxxx xxxxxxxxx xxxx xxxxxxxxxx xxx, xxxxxxxxxxxxx xxxxxxx xxxx x možnému xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx. |
Xxx ochranu dostupnosti xxxx xxxxxxxxx běžné xxxxxx xxxxxxxxxx x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx nemělo xxxxxxxxx xxxx xxxxxxxx xxxxx. Xxxxxxxx výpadek xx xxxxx xxxxx xxxxxxxxxx, xxxxxxx xxxx x xxxxxxx xxxxxxxx oprávněných xxxxx povinné osoby. Xxxxxx xxxx xxxxxxxxxx xx xxxxx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx xxxx být xxxxxxxxx zásahy xxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xxxx xxxxxxxxx x x xxxxxxxxxx xxxxxxxxxxxx (x xxxx xxxxxxxx xxxxx) xxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx osoby. Xxxxxx xxxx xxxxxxxxxx xx xxxxxxxx. |
Xxx ochranu xxxxxxxxxxx jsou xxxxxxxxx xxxxxxx systémy x xxxxxx poskytování služeb xx xxxxxxxxxx x xxxxxxxxxxxxxx. |
Xxxxxxx x. 2 x vyhlášce x. 82/2018 Xx.
Xxxxxxxxx xxxxx
(1) Xxxxxxxxxxx xxxxxxxxx xxxxxx xxx určení xxxxxx xx nezbytnou xxxxxxxx xxxxxxxx pro hodnocení xxxxx podle §5.
(2) Xxxxxxx rizika je xxxxxxxxxx xxxxxxxxx jako xxxxxx, xxxxxx xxxxxxxxx xxxxx, xxxxxx x xxxxxxxxxxxx.
(3) Xxx xxxxxxxxx xxxxx xxx použít xxxxxxxxx tuto xxxxxx:
Xxxxxx = dopad x xxxxxx x xxxxxxxxxxxx.
(4) Xxxxx xx x xxxxx xxxxxxx odvozen x xxxxxxxxx aktiv xxxxx přílohy č. 1.
(5) X xxxxxxx, xx xxxxxxx xxxxx využívá metodu xxx hodnocení rizik, xxxxx nerozlišuje xxxxxxxxx xxxxxx a xxxxxxxxxxxxx, xx xxxxx stupnice xxx xxxxxxxxx xxxxxx x zranitelností xxxxxxx. Xxxxxxxx stupnic xx xxxxxx vést xx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx a xxxxxxxxxxxxx. Xx tímto xxxxxx xxx xxxxxx xxxxxxxxx komentář, xxxxx xxxxxxxx xxxxxxx jak xxxxxx hrozby, xxx x xxxxxx xxxxxxxxxxxxx. Xxxxxxx xx xxxxxxxxx x v případech, xxx xxxxxxx xxxxx xxxxxxx jiný počet xxxxxx xxx hodnocení xxxxxx, xxxxxx, xxxxxxxxxxxxx x xxxxx.
Xxx. 1: Xxxxxxxx pro xxxxxxxxx xxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx xxxx xx xxxx xxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xx xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx je pravděpodobná xx xxxxx xxxxxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. |
Xxx. 2: Stupnice xxx xxxxxxxxx xxxxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx xxxx xx xxxxxxxx xxxxxxxxxxxxx málo xxxxxxxxxxxxx. Xxxx zavedena xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx je xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, jejichž xxxxxxxx xx pravidelně kontrolována. Xxxxxxxxx xxxxxxxxxxxxxx opatření xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx případné xxxxxx x xxxxxxxxx xxxxxxxx xx xxxxxxx. Xxxxxx známé xxxxx xxxxxxx pokusy x xxxxxxxxx bezpečnostních opatření. |
|
Vysoká |
Zneužití xxxxxxxxxxxxx je xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx opatření xxxx xxxxxxxx, xxx xxxxxx xxxxxxxx nepokrývá všechny xxxxxxxx xxxxxxx x xxxx xxxxxxxxxx xxxxxxxxxxxx. Xxxx xxxxx xxxxx xxxxxxx pokusy o xxxxxxxxx xxxxxxxxxxxxxx opatření. |
|
Kritická |
Zneužití xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx xx víceméně xxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx nebo xx jejich xxxxxxxx xxxxxx xxxxxxx. Neprobíhá xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Jsou xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
Xxx. 3: Xxxxxxxx xxx hodnocení xxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx xx xxxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx xxxxxxx xxxx xxxxxxxxx opatřeními xxxx x případě vyšší xxxxxxxxxx opatření xx xxxxxx xxxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx je xxxxxxxxxx xxxxxxxxxxx x xxxx být xxxxxxxx xxxxxxxxxxxx xxxxx x xxxx odstranění. |
|
Kritické |
Riziko xx xxxxxxxxxxx a xxxx xxx xxxxxxxxxx zahájeny xxxxx x xxxx xxxxxxxxxx. |
Xxxxxxx x. 3 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxxxxxx x xxxxxx
Xxxxxxxxxx: Xxxx xxxxxxx xxxxxxxx jen xxxxxxx xxxxxxxxx xxxxxxxxxxxxx x xxxxxx. Xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx x xxxxxx xx xxxxxxxxxxxx povinné xxxxx.
Xxxxxxxxxxxxx
1. xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx a komunikačního xxxxxxx,
2. zastaralost xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
3. xxxxxxxxxxxx xxxxxxx vnějšího xxxxxxxxx,
4. xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
5. nedostatečná údržba xxxxxxxxxxxx x komunikačního xxxxxxx,
6. xxxxxxxx xxxxxxxxx xxxxxxxxxxxx oprávnění,
7. xxxxxxxxxxxx xxxxxxx xxx xxxxxxxxxxxxxx x odhalení xxxxxxxxxxx xxxxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí a xxxxxxxxxxxxxx bezpečnostních incidentů,
8. xxxxxxxxxxxx monitorování xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxx xxxx xxxxxxx způsoby xxxxxxx,
9. xxxxxxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx, xxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxx práv x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx,
10. xxxxxxxxxxxx xxxxxxx xxxxx,
11. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,
12. nedostatečná xxxx xxxxxxxxx xxxxxxxx,
13. xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxx zaměstnanců.
Hrozby
1. xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx činností, xxxxxxxx xxxxxxxxx xx xxxxxx uživatelů x xxxxxxxxxxxxxx,
2. xxxxxxxxx nebo xxxxxxx technického xxxxx xxxxxxxxxxxx xxxxxxxx,
3. zneužití xxxxxxxx,
4. xxxxxxx xxxxxxxxxxxx xxxxxxxx x rozporu x xxxxxxxxxx xxxxxxxxxx,
5. xxxxxxxx xxx (xxxxxxxxx xxxx, xxxxxxx, xxxxxxx xxxx),
6. xxxxxxxx fyzické xxxxxxxxxxx,
7. xxxxxxxxx poskytování xxxxxx elektronických xxxxxxxxxx xxxx xxxxxxx elektrické xxxxxxx,
8. xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxx xxxxx,
9. xxxxxx, odcizení nebo xxxxxxxxx xxxxxx,
10. nedodržení xxxxxxxxx xxxxxxx xx xxxxxx xxxxxxxxxx,
11. pochybení xx xxxxxx zaměstnanců,
12. xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,
13. xxxxxxxxxx přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxxxxxxxxx xxxxxxx xxxx jiných xxxxxxxxxx xxxxxx,
14. xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxx úrovní,
15. xxxxxx xxxxxxxxxxxx útok xxxxxx xxxxxxxxxx xxxxxxxxxxx, použití xxxxxxxxxxx xxxxxxx,
16. xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxx,
17. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx (xxxxxxxxx, modifikace).
Xxxxxxx č. 4 x xxxxxxxx č. 82/2018 Sb.
Likvidace xxx
(1) Xxxx příloha xxxxx xxxxxxxxxx xxxxxxx informačního x xxxxxxxxxxxxx systému x xxxxxxxxxx xxxxxxx xxxxxx dat x xxxxxxx xxxxxxxxx technických xxxxxx xxxxxxxxx, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx.
(2) Xxxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx si xxxxxxx xxxxxxxx xxx xxxxxx xxx x xxxxxxxxx xxxxxxxxxxx xxxxxx xxx v xxxxxxx x xxxxx přílohou. Xxx nejsou dotčeny xxxxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx. Je xxxxx xxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx bezpečnostní opatření, xxxxxx adekvátních xxxxxxxx xxx xxxxxx xxx x likvidaci xxxxxxxxxxx xxxxxx xxx, xxxxxxxx x xxxxxxx x xxxxxxxxxxx aktiv.
(3) Xxxxxxxx xxx likvidaci xxx xx xxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxxxx aktiv x xxxx xx xxxxxxx xxxxxxxxxxx
x) xxxxxxx xxxxxx (xxxxxxx z xxxxxxx xxxxxxxxxx),
x) xxxxxxxxxxx (xxxx x xxxxxxxx xxxxxx informace),
c) xxx xx xxxxx xxxxxxxxx xxxxxxx pod xxxxxxxxx xxxxxxxxxx xx xxxxxxx,
x) xxx xxxx xxxx xxxxxxxx xxxxxxxxxxxx nebo xxxxxxxxxxxxxxx prostředí,
e) xxx xxxx likvidaci xxx xxxxxxxx (interní xxxxxxxxxxx, xxxx xxxxxxxxx),
x) xxxxxxxxxx xxxxxxxx x nástrojů xxx likvidaci,
g) xxxxxxxx xxxxxxxxxxxxx nosičů,
h) xxx xx x xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) časovou xxxxxxxxx likvidace,
j) cenu xxxxxxxxx s xxxxxxx xx nástroje, xxxxxxx, xxxxxxxx, xxxxxxxx využití xxxxxx xxxxxxxxx
x) xxxxx xxxxxxx xxxxxxxxx dat (xxxxxxxxx zničením xxxxxx, xxxxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxx, znečitelněním xxx xxxxxx šifrováním x xxxxxxx),
x) použitelné xxxxxxx xxxxxxxxx dat vzhledem xx stavu nosiče xxxxxxxxx (xxxxxxxxx při xxxxxxxxx xxxxxxxx xxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxx xxxxxxxxx, xxx xxxxxxx ze způsobů xxxxxxx xxxxxxxxx).
(4) Způsoby xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxx, provozních xxxxx, xxxxxxxxx a xxxxxx xxxxx:
x) Xxxxxxxxxx
1. Xxxxxx xxxxxxxxx xxxxxxx v xxxxxxxxxx dat xxx, xxx xxxx pro xxxxxx nedostupná (xxxxxxxxx xxxxxxxxxx datového xxxxxxx, xxxxxxxx xxxxxxxxx xxxxxxxxx xx odpadu).
2. Jde x nejméně bezpečný xxxxxx xxxxxxxxx xxx. X xxxxxxx získání xxxxxx xxxxxxxxx je xxxxx s xxxxxxxxxxx xxxxxxxx úsilí informace xxxxxxx.
3. Xxxx metoda xxxx použitelná pro xxxxxx xxxxxxxxxxx xxx xxxxxxxxxxxx opětovný xxxxx.
4. Xxxxxxxxxx xxxxxx pro xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1): xxxxx.
x) Xxxxxxxx
1. Xxxxxx xxxxxxxxx spočívá v xxxxxxxx chráněné informace xxxxxxxxxx hodnotami.
2. Xxx x xxxxxxx xxxxxxxx xxxxxx likvidace xxx. Xxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx.
3. Xxxxxxxx xxxx xxx xxxxxxxxx xxxx xxxxxxxxxxx bezpečnou xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxx.
4. Xxxx xxxxxx není vhodná xxx xxxxxxxxx xxxxx, xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx, případně xxx xxxxx x velkou xxxxxxxxx.
5. Xxxxxxxxxx xxxxxx xxx úroveň důvěrnosti xxxxxx (xxxxxxx x přílohy č. 1): xxxxx až xxxxxxxx.
x) Xxxxxxx likvidace xxxxxx xxxxxxxxx
1. Způsob xxxxxxxxx spočívající xx xxxxxxx xxxxxx xxxxxxxxx, xxxxxxxxx x xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx (xxxxxxxxxxx, chemickým xx xxxxxxxx xxxxxxxxx).
2. Jde x xxxxxxxxxxxxxx xxxxxx xxxxxxxxx xxx. Nosič xxxxxxxxx po xxxxxxx xxxxxxxxx xxxxx xxxxx xxxxxx xxx xxxxxxx xxxx. Xxxxxxx informace xxxx možné xxxxxxx xxx xxx xxxxxxxxxx xxxxxxx množství xxxxxxxxxx x xxxxx.
3. Xxxxxxxxxx xxxxxx xxxxxxxxx pro xxxxxx xxxxxxxxxx aktiva (xxxxxxx x přílohy č. 1): xxxxxxx xx xxxxxxxx.
Xxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx xxxxxx (vychází x přílohy č. 1)
|
Xxxxxxxxx způsob xxxxxxxxx xxxxx xxxxxx xxxxxxxxxxx xxxxxx |
|||||
|
Xxxxx xxxxxxxxx |
1. Nízká |
2. Xxxxxxx |
3. Vysoká |
4. Xxxxxxxx |
|
|
Xxxxxxxxx xx xxxxxx xxxxxxxx xxxxxx (xxxxxxx dokumenty, xxxxxxxx x xxxxxxx) |
Xxxxxxxxxx: Xxxxxxxx do odpadu. |
Přepsání: Xxxxxxxxx. |
Xxxxxxx likvidace: |
||
|
Fyzická xxxxxxxxx: |
|||||
|
Xxxxxxx xxxxxxxx (xxxxxxx xxxxxxxx, xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxx xxxxxxxx (xxxxxx, xxxxxx, xxxxx a xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
|||
|
Xxxxxxxxxxx xxxxxxxx (xxxxxxx, xxxxxxxx, xxx) |
|||||
|
Xxxxxxxxxx média (xxxxxxxxxx xxxxx, xxxxx, XXX [Xxxx Xxxx Xxxxx]) |
Xxxxxxxxxx: |
Xxxxxxxx: |
|||
|
Xxxxxxx xxxxx (XX, XXX, XX-XXX, XXX-XXX) |
Xxxxxxx xxxxxxxxx: |
||||
|
Xxxxxxx xxxxxxxxx. |
|||||
|
Xxxxxxxxxxxx xxxxx (xxxxx xxxxxx) |
|||||
|
Xxxxxxxxxxx x cloud |
Přípustný xxxxxx xxxxxxxxx xxx xx měl být xxxxxxxx xxxxxxxx xxxxxxxxx. |
||||
|
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxxx: |
Přepsání/fyzická xxxxxxxxx: |
||
|
Xxxxxxxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx je xxxxx xxxx po xxxxxxxx xxxxxx přepsat. |
|||||
Xxxxxxx č. 5 x xxxxxxxx x. 82/2018 Xx.
Xxxxx xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx
1. Xxxxxxxxxxxx xxxxxxxx
1.1. Xxxxxxxx xxxxxxx řízení xxxxxxxxxxx informací
a) Cíle, xxxxxxxx x potřeby xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx x hranice xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxxxxxx.
x) Pravidla x xxxxxxx pro xxxxxx xxxxxx x provozu xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx provádění xxxxxx xxxxxxxxxxxx bezpečnosti.
f) Xxxxxxxx x postupy xxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxx xxxxxxxx x xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
1.2. Xxxxxxxx xxxxxx aktiv
a) Xxxxxxxxxxxx, hodnocení x xxxxxxxx xxxxxxxxxx aktiv
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx primárních xxxxx xxxxxx určení jejich xxxxxxx,
2. hodnocení xxxxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, integrity x xxxxxxxxxxx.
x) Identifikace, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. určení x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx aktiv xxxxxx xxxxxx xxxxxx garanta,
2. xxxxxx xxxxx xxxx xxxxxxxxxx a xxxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. pravidla xxx xxxxxxxxxx a xxxxxxxx xxxxx xxxxx xxxxxx aktiv,
3. xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxxx mazání xxxx xxxxxx technických xxxxxx xxx, xxxxxxxxx, xxxxxxxxxx xxxxx x xxxxxx kopií.
1.3. Politika xxxxxxxxxxx xxxxxxxxxxx
x) Xxxxxx xxxxxxxxxxxxxx xxxx a xxxxxx práv x xxxxxxxxxx.
x) Požadavky xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx rolí.
c) Xxxxxxxxx na oddělení xxxxxx bezpečnostních x xxxxxxxxxx xxxx.
1.4. Xxxxxxxx xxxxxx dodavatelů
a) Xxxxxxxx x xxxxxxxx xxx xxxxx dodavatelů.
b) Xxxxxxxx xxx hodnocení xxxxx xxxxxxxxxxxxx x xxxxxxxxxx.
x) Xxxxxxxxxxx xxxxxxx o xxxxxx služeb x xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x x xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Pravidla xxx xxxxxxxxx xxxxxxxxxx.
1.5. Politika xxxxxxxxxxx xxxxxxxx zdrojů
a) Xxxxxxxx xxxxxxx bezpečnostního xxxxxxxx x způsoby xxxx xxxxxxxxx
1. xxxxxxx x formy xxxxxxx xxxxxxxxx,
2. xxxxxxx a xxxxx xxxxxxx garantů xxxxx,
3. xxxxxxx x xxxxx xxxxxxx administrátorů,
4. xxxxxxx x formy xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
b) Xxxxxxxxxxxx xxxxxxx xxxxxx zaměstnanců.
c) Xxxxxxxx pro xxxxxx xxxxxxx porušení bezpečnostní xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxx nebo xxxxx xxxxxxxx xxxxxx
1. xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx xxxx při xxxxxxxx pracovního vztahu,
2. xxxxx přístupových oprávnění xxx změně pracovní xxxxxx.
1.6. Xxxxxxxx xxxxxx xxxxxxx x komunikací
a) Xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx.
x) Postupy xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxx x omezení xxx xxxxxxxxx auditů xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxxxx testů.
1.7. Xxxxxxxx xxxxxx xxxxxxxx
x) Xxxxxxx xxxxxxxxxxx oprávnění/potřeba znát (xxxx xx xxxx).
x) Xxxxxxxxx xx xxxxxx xxxxxxxx.
x) Životní xxxxxx xxxxxx xxxxxxxx.
x) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.
x) Řízení xxxxxxxx pro xxxxxxxxx xxxxxxx.
x) Pravidelné xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxx xxxxxxxxxxxx uživatelů x xxxxxxxxxxxx xxxxxxxxx.
1.8. Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxx
x) Pravidla xxx xxxxxxxx xxxxxxxxx x xxxxxx.
x) Bezpečné použití xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxxxx elektronické xxxxx x přístupu xx xxxxxxxx.
x) Bezpečný vzdálený xxxxxxx.
x) Bezpečné xxxxxxx xx sociálních sítích.
f) Xxxxxxxxxx xx xxxxxx x mobilním xxxxxxxxx.
1.9. Xxxxxxxx xxxxxxxxxx a xxxxxx x dlouhodobého xxxxxxxx
x) Xxxxxxxxx xx xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx xxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxx x obnovy.
g) Xxxxxxxx přístupu x xxxxxxx, ukládaným xxxxxxxxxx.
1.10. Xxxxxxxx bezpečného xxxxxxxxx x výměny xxxxxxxxx
x) Xxxxxxxx a xxxxxxx xxx ochranu xxxxxxxxxxx xxxxxxxxx.
x) Způsoby xxxxxxx xxxxxxxxxxxx xxxxxx informací.
c) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
1.11. Xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx
x) Xxxxxxxx pro xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x postupy xxxxxxxxxxx opravných xxxxxxxxxxxx xxxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx vybavení.
1.12. Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx zařízení
a) Xxxxxxxx x postupy xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, která xxxxxxx osoba xxxx xx své xxxxxx.
1.13. Xxxxxxxx akvizice, xxxxxx x xxxxxx
x) Xxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx, xxxxx x xxxxxx.
x) Xxxxxx zranitelností.
c) Xxxxxxxx xxxxxxxxxxx a xxxxxxxx xxxxxxx xxxxxxxxxxxx vybavení x informací
1. pravidla x xxxxxxx nasazení xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx,
2. xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxxxx licenčních xxxxxxxx.
1.14. Xxxxxxxx xxxxxxx xxxxxxxx údajů
a) Charakteristika xxxxxxxxxxxxxx osobních údajů.
b) Xxxxx xxxxxxxxx x xxxxxxxxxxx organizačních xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
x) Popis přijatých x provedených technických xxxxxxxx pro xxxxxxx xxxxxxxx xxxxx.
1.15. Politika xxxxxxx xxxxxxxxxxx
x) Xxxxxxxx xxx ochranu objektů.
b) Xxxxxxxx xxx kontrolu xxxxxx osob.
c) Pravidla xxx xxxxxxx zařízení.
d) Xxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxx.
1.16. Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxx
x) Pravidla x postupy xxx xxxxxxxxx bezpečnosti xxxx.
x) Xxxxxx práv a xxxxxxxxxx za xxxxxxxx xxxxxx sítě.
c) Pravidla x xxxxxxx pro xxxxxx xxxxxxxx x xxxxx sítě.
d) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxxxx x xxxx.
x) Xxxxxxxx x postupy pro xxxxxxxxxxxx xxxx a xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.
1.17. Xxxxxxxx ochrany xxxx xxxxxxxxx kódem
a) Pravidla x postupy xxx xxxxxxx síťové xxxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxx x xxxxxxxxx datových xxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxxxxxx xxxxxx.
1.18. Politika xxxxxxxx x používání xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
x) Xxxxxxxx x postupy xxxxxxxx nástroje pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx vyhodnocování x xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx bezpečnostní události.
c) Xxxxxxxx a xxxxxxx xxx optimalizaci nastavení xxxxxxxx pro detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
1.19. Xxxxxxxx xxxxxxx x xxxxxx xxxxxxxx xxx xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxx x postupy xxx evidenci x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx aktualizace xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx vlastností xxxxxxxx xxx xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
1.20. Politika bezpečného xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx
x) Xxxxxx xxxxxxx s xxxxxxx na typ x sílu kryptografického xxxxxxxxx.
x) Pravidla xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx
1. xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx,
2. xxx xxxxxxx xx mobilní xxxxxxxx xxxx xxxxxxxxxxx technický xxxxx dat.
c) Xxxxxx xxxxxx xxxxx.
1.21. Politika xxxxxx xxxx
x) Způsob x principy xxxxxx xxxxxxxxxx změn x xxxxx xxxxxxx xxxxx, xxxxxx xxxxxxxxx, xxxxxxxxxxxx x xxxxxxxxxxxxx systémech.
b) Xxxxxxxxxxxxx xxxxxx xxxxxxxxxx xxxx.
x) Způsob vedení xxxxxxxx a testování xxxxxxxxxx změn.
1.22. Xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
x) Definování xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx identifikaci, xxxxxxxx x zvládání jednotlivých xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx testování systému xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro vyhodnocení xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx x xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Evidence xxxxxxxxx.
1.23. Xxxxxxxx řízení xxxxxxxxxx xxxxxxxx
x) Xxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Cíle xxxxxx xxxxxxxxxx xxxxxxxx
1. minimální xxxxxx xxxxxxxxxxxxx xxxxxx,
2. xxxx xxxxxxxx xxxxx,
3. xxx xxxxxxxx dat.
c) Xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxx kontinuity.
d) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxx xxxxx.
x) Xxxxxx x xxxxx potřebných xxxxx kontinuity a xxxxxxxxxxx xxxxx.
x) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx.
2. Xxxxx xxxxxxxxxxxx xxxxxxxxxxx
2.1. Xxxxxx x auditu kybernetické xxxxxxxxxxx
x) Xxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Identifikování xxxx xxxxxxxx a xxxx, xxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx.
x) Xxxxx x místo, xxx xxxx prováděny xxxxxxxx při xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Zjištění x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
2.2. Zpráva x xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx informací
a) Xxxxxxxxxxx opatření x xxxxxxxxxxx přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxxxxxx xxxx x xxxxxxxxx, xxxxx mohou xxx vliv xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxx xxxxx x xxxxxxxxxx řízení xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x xxxxxxxx opatření,
2. xxxxxxxx monitorování a xxxxxx,
3. výsledky auditu,
4. xxxxxxxx cílů xxxxxxx xxxxxx xxxxxxxxxxx informací.
d) Xxxxxxxx xxxxxxxxx rizik x xxxx plánu xxxxxxxx xxxxx.
x) Xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxx.
x) Xxxxxxxxxx potřebných xxxxxxxxxx, xxxxxxxxx xxxxxxxx x xxxx zajišťujících xxxxx xxxxxxxxxxxx činností.
2.3. Xxxxxxxx xxx xxxxxxxxxxxx x hodnocení xxxxx x xxx hodnocení xxxxx
x) Xxxxxx stupnice xxx xxxxxxxxx xxxxxxxxxx xxxxx
1. určení xxxxxxxx xxx xxxxxxxxx úrovní xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxx aktiv,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxxxxxxxx xxxxx.
x) Určení xxxxxxxx xxx hodnocení xxxxx
1. xxxxxx stupnice pro xxxxxxxxx xxxxxx dopadu,
2. xxxxxx stupnice pro xxxxxxxxx úrovní xxxxxx,
3. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx zranitelnosti,
4. xxxxxx stupnice xxx xxxxxxxxx úrovní rizik.
c) Xxxxxx x přístupy xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxx.
2.4. Xxxxxx x xxxxxxxxx xxxxx x xxxxx
x) Xxxxxxx primárních xxxxx
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx aktiv,
2. xxxxxx xxxxxxx primárních xxxxx,
3. xxxxxxxxx xxxxxxxxxx xxxxx z xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxx podpůrných xxxxx
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx podpůrných xxxxx,
3. určení vazeb xxxx primárními x xxxxxxxxxx aktivy.
c) Hodnocení xxxxx
1. xxxxxxxxx xxxxxxx xxxxxx xx xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx xxxxxxxxxxxx opatření,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx této xxxxxx x xxxxxxxx xxx xxxxxxxxxxxxxxxx xxxxx,
5. určení x xxxxxxxxx akceptovatelných xxxxx.
x) Zvládání rizik
1. xxxxx xxxxxxx zvládání xxxxx,
2. návrh opatření x jejich xxxxxxxxx.
2.5. Xxxxxxxxxx x aplikovatelnosti
a) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxx xxxxxxxxxx, xxxx xxxxxx aplikována.
b) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxx způsobu xxxxxx xxxxxxxxxxxx.
2.6. Xxxx xxxxxxxx rizik
a) Xxxxx x xxxx xxxxxxxxx xxxxxxxxxxxxxx opatření pro xxxxxxxx xxxxx xxxxxx xxxxx xx xxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxx xxx jednotlivá xxxxxxxxxxxx xxxxxxxx xxx zvládání xxxxx.
x) Xxxxx xxxxxxxxxxx xxxxxxxxxx bezpečnostní xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
x) Způsob xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
2.7. Xxxx xxxxxxx xxxxxxxxxxxxxx povědomí
a) Obsah x termíny xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Obsah a xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Přehledy, které xxxxxxxx xxxxxxx jednotlivých xxxxxxx x seznam xxxx, xxxxx školení xxxxxxxxxxx.
x) Xxxxx a xxxxxxx hodnocení xxxxx.
2.8. Xxxxxxxx xxxx
x) Xxxxxxxx xxxxxxxxx cyklu xxxxxxxxxx xxxx.
x) Xxxxxxx x xxxxxxx xxxxxxxxxxx podpůrných xxxxx.
2.9. Xxxxxxx xxxxxxxxx xxxxx
Xxxxxxx xxxxxxxxx kontaktních xxxxx.
2.10. Přehled xxxxxx xxxxxxxxx xxxxxxxx předpisů, xxxxxxxxx xxxxxxxx x xxxxxx předpisů x xxxxxxxxx xxxxxxx
x) Xxxxxxx xxxxxx závazných xxxxxxxx xxxxxxxx.
x) Přehled vnitřních xxxxxxxx a jiných xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxx.
2.11. Xxxxx xxxxxxxxxx xxxxxxxxxxx
x) Xxxxxxxxx xxxxxxxxxxxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxxx.
Xxxxxxx x. 6 x xxxxxxxx x. 82/2018 Xx.
Xxxxx pro xxxxxx kybernetické bezpečnosti x xxxxxxxxxxxx role
Tato xxxxxxx xxxxxxxx popis xxxxxxxxxxxx xxxxxxxxx pro xxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti a xxxxxxxxxxxx xxxx xxxxxxx x §6 a 7.
Xxx. 1: Výbor xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxxx xxxxxx a rozvoj xxxxxxxxxxxx xxxxxxxxxxx x xxxxx xxxxxxx osoby. |
|
Další podmínky: |
a) Xxxx výboru xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx alespoň |
Xxx. 2: Manažer xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Odpovědnost xx řízení xxxxxxx xxxxxx bezpečnosti informací. |
|
Xxxxxxxx: |
x) Xxxxx xxxx XXX/XXX 27000 a xxxxxxx xxxxx z xxxxxxx xxxxxxxxxxx x XXX. |
|
Xxxxxxxxxx: |
x) Prosazování xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx. |
|
Xxxxxxxx a xxxxx: |
x) Xxxxxxx 3 roky xxxxx x xxxxx xxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxxxxx, xxxx |
|
Relevantní xxxxxxxxxxx*: |
Xxxxxxxxx Information Security Xxxxxxx (XXXX), Xxxxxxxxx xx Xxxx xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Certified Information Xxxxxxx Security Xxxxxxxxxxxx (XXXXX), Xxxxxxx BI (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
x) Xxxx není xxxxxxxxxx x rolemi xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x x xxxxxxx provozními či xxxxxxxx xxxxxx. |
Tab. 3: Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxx implementace xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxx navrhování. |
|
Zkušenosti: |
a) Xxxxxxxxxx implementace bezpečnostních xxxxxxxx. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx x xxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, nebo |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxx Xxxxxx (XXX), CompTIA Xxxxxxxx +, Certified Xxxxxxxxxxx Xxxxxxxx Xxxxxxx (XXXX), Xxxxxxxxx xx Xxxx xxx Xxxxxxxxxxx Systems Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Systems Security Xxxxxxxxxxxx (CISSP), Xxxxxxx XX (akreditační schéma XXX). |
|
Xxxxx xxxxxxxx: |
Xxxx xxxx xxxxxxxxxx x rolemi xxxxxxxxxxx za provoz xxxxxxxxxxxx a komunikačních xxxxxxx. |
Xxx. 4: Xxxxxxx xxxxxxxxxxxx bezpečnosti
|
Role: |
Auditor xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx činnosti: |
Provádění auditu xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxx x xxxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx. |
|
Zkušenosti: |
a) Xxxxxxxxx xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx x xxxxxxx xxxxxx xxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxxxxx, nebo |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Auditor (XXXX), Certified Xxxxxxxx Xxxxxxx (CIA), Xxxxxxxxx xx Xxxx xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Xxxx Xxxxxxx Xxxxxxxxxxx Security Xxxxxxxxxx Xxxxxx (Xxxx Xxxxxxx XXXX), Auditor BI (xxxxxxxxxxx schéma ČIA). |
|
Další xxxxxxxx: |
x) Xxxx xxxx xxxxxxxxxx x rolemi |
Xxx. 5: Xxxxxx xxxxxx
|
Xxxx: |
Xxxxxx aktiva |
|
Klíčové xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxxxxx rozvoje, xxxxxxx x bezpečnosti xxxxxx. |
|
Xxxxxxxx: |
x) Xxxxx znalost xxxxxx, jehož je xxxxxxxx. |
* Xxxxxxxxxxx může být x xxxx než xxxxxxx, jestliže xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx XXX 17 024.
Xxxxxxx x. 7 x vyhlášce x. 82/2018 Sb.
Řízení xxxxxxxxxx - bezpečnostní xxxxxxxx xxx xxxxxxx xxxxxx
Xxxxx xxxxxxx uzavírané s xxxxxxxxxx xxxxxxxxxx:
x) xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx (x xxxxxxx xxxxxxxxxx, xxxxxxxxxxx x integrity),
b) xxxxxxxxxx x xxxxxxxxx xxxxxx xxxx,
x) xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxx, popřípadě o xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxx x xxxxxx xxxxxxxxxx (pravidla xxxxxxxxxxxx xxxxxx),
x) ustanovení xxxxxxxxxx řetězení xxxxxxxxxx, xxxxxxx xxxx xxx xxxxxxxxx, že poddodavatelé xx xxxxxx xxxxxxxxx x xxxxx xxxxxxx xxxxxxxx xxxx povinnou xxxxxx x xxxxxxxxxxx x xxxxxxx v xxxxxxx x požadavky xxxxxxx xxxxx xx xxxxxxxxxx,
x) xxxxxxxxxx o xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxx xxxx xxxxxxxxxx x odsouhlasení xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx xxxxxx,
x) ustanovení x xxxxxx změn,
h) ustanovení x xxxxxxx xxxxx x obecně závaznými xxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx povinnou xxxxx x
1. xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx souvisejících x xxxxxxx smlouvy,
2. xxxxxxx xxxxxx xxxxx xx xxxxxx dodavatele x x zbytkových xxxxxxxx xxxxxxxxxxxxx s xxxxxxx xxxxxxx,
3. významné změně xxxxxxxx tohoto xxxxxxxxxx xxxxx xxxxxx x xxxxxxxxxx korporacích xxxx xxxxx xxxxxxxxxxx zásadních xxxxx, xxxxxxxxx xxxxx xxxxxxxxx nakládat x xxxxxx xxxxxx, xxxxxxxxxxx xxxxx dodavatelem x xxxxxx xxxxx xxxxxxx xx xxxxxxxx,
x) specifikace xxxxxxxx x pohledu xxxxxxxxxxx xxx xxxxxxxx xxxxxxx (xxxxxxxxx xxxxxxxxx xxxxxx xxx ukončení xxxxxxxxxx, xxx xx xxxxx ještě udržovat xxxxxx xxxx xxxxxxxxx xxxxxx řešení, xxxxxxx xxx x podobně),
k) xxxxxxxxxxx podmínek pro xxxxxx kontinuity xxxxxxxx x xxxxxxxxxxx s xxxxxxxxxx (xxxxxxxxx xxxxxxxx xxxxxxxxxx xx havarijních xxxxx, úkoly dodavatelů xxx xxxxxxxx řízení xxxxxxxxxx xxxxxxxx),
x) specifikace xxxxxxxx xxx xxxxxx xxxxxxx dat, xxxxxxxxxx xxxxx a informací xx xxxxxxxx xxxxxxxx,
x) xxxxxxxx xxx xxxxxxxxx xxx,
x) xxxxxxxxxx x xxxxx jednostranně xxxxxxxxx xx xxxxxxx x xxxxxxx xxxxxxxx xxxxx xxxxxxxx nad dodavatelem xxxx xxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx k xxxxxx podle xxxxxxx x
x) xxxxxxxxxx x xxxxxxxx xx xxxxxxxx xxxxxxxxxx.
Xxxxxxx x. 8 x xxxxxxxx x. 82/2018 Xx.
Xxxx Xxxxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxx
Xxxxxxxxx
Xxxxxx xxxxxxx x. 82/2018 Xx. xxxxx xxxxxxxxx xxxx 28.5.2018.
Ke xxx xxxxxxxx právní xxxxxxx nebyl xxxxx xx xxxxxxxxx.
Xxxxxx xxxxxxx x. 82/2018 Xx. xxx xxxxxx xxxxxxx xxxxxxxxx č. 264/2025 Sb. s xxxxxxxxx od 1.11.2025.
Xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx není xxxxxxxxxxxxx, pokud xx xxxx netýká xxxxxxxxx xxxxx shora uvedeného xxxxxxxx xxxxxxxx.
1) Xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Xxxx (XX) 2016/1148 xx xxx 6. xxxxxxxx 2016 o xxxxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx úrovně xxxxxxxxxxx xxxx x xxxxxxxxxxxx xxxxxxx v Unii.