Právní předpis byl sestaven k datu 31.10.2025.
Zobrazené znění právního předpisu je účinné od 28.05.2018 do 31.10.2025.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
82/2018 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení aktiv §4
Řízení rizik §5
Organizační bezpečnost §6
Bezpečnostní role §7
Řízení dodavatelů §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení změn §11
Řízení přístupu §12
Akvizice, vývoj a údržba §13
Zvládání kybernetických bezpečnostních událostí a incidentů §14
Řízení kontinuity činností §15
Audit kybernetické bezpečnosti §16
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §17
Bezpečnost komunikačních sítí §18
Správa a ověřování identit §19
Řízení přístupových oprávnění §20
Ochrana před škodlivým kódem §21
Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů §22
Detekce kybernetických bezpečnostních událostí §23
Sběr a vyhodnocování kybernetických bezpečnostních událostí §24
Aplikační bezpečnost §25
Kryptografické prostředky §26
Zajišťování úrovně dostupnosti informací §27
Průmyslové, řídicí a obdobné specifické systémy §28
Digitální služby §29
HLAVA III - BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní politika a bezpečnostní dokumentace §30
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Kategorizace kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ZÁVĚREČNÁ USTANOVENÍ
Přechodná ustanovení §35
Zrušovací ustanovení §36
Účinnost §37
Příloha č. 1 - Hodnocení aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Zranitelnosti a hrozby
Příloha č. 4 - Likvidace dat
Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace
Příloha č. 6 - Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role
Příloha č. 7 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy
Příloha č. 8 - Vzor Formuláře pro hlášení kontaktních údajů
82
XXXXXXXX
xx xxx 21. xxxxxx 2018
o xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx opatřeních, xxxxxxxxxxxxx podání x xxxxxxx xxxxxxxxxxxx bezpečnosti x likvidaci dat (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx úřad xxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxx §28 odst. 2 xxxx. x) xx x) x x) xxxxxx x. 181/2014 Xx., o xxxxxxxxxxxx xxxxxxxxxxx a x xxxxx xxxxxxxxxxxxx zákonů (xxxxx x xxxxxxxxxxxx xxxxxxxxxxx), xx znění xxxxxx x. 104/2017 Xx. x zákona x. 205/2017 Xx., (xxxx xxx "zákon"):
XXXX XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx Xxxxxxxx xxxx1) a xxx xxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxxxxx systém xxxxxxxx xxxxxx anebo xxxxxxxxxx xxxxxx xxxx xxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx poskytovatel xxxxxxxxxxx služeb, (xxxx xxx "xxxxxxxxxx x xxxxxxxxxxx systém") upravuje
a) xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxx x xxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxx, kategorie x xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
d) xxxxxxxxxxx x způsob xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx,
x) xxxxxxxxxxx oznámení x provedení xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx,
x) xxxx oznámení xxxxxxxxxxx údajů a xxxx xxxxx x
x) xxxxxx xxxxxxxxx xxx, xxxxxxxxxx xxxxx, informací x jejich xxxxx.
§2
Vymezení xxxxx
Xxx xxxxx xxxx vyhlášky xx xxxxxx
x) administrátorem osoba xxxxxxxxxxx xxxxxx, xxxxxx, xxxxxxx, xxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxx xxxxxx, xxxxx xx xxxxxxxxxx xxx xxxxx xxxx xxxxx, které jsou xxxxxxx zavést bezpečnostní xxxxxxxx xxxxx zákona, (xxxx xxx "povinná xxxxx") a není xxxxx jej xxxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) bezpečnostní politikou xxxxxx xxxxx a xxxxxxxx, xxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxx,
x) xxxxxxxxxx rizik xxxxxxx xxxxxx identifikace, xxxxxxx a xxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxx kybernetické bezpečnostní xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxx škodu,
f) xxxxxxxxx xxxxxxx technické xxxxxxx, zaměstnanci x xxxxxxxxxx xxxxxxxxxx xx xx xxxxxxx, rozvoji, xxxxxx xxxx bezpečnosti xxxxxxxxxxxx a komunikačního xxxxxxx,
x) xxxxxxxxx aktivem xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxxx xxxx xxxxxxxxx informační a xxxxxxxxxxx systém,
h) xxxxxxx xxxxxxx, xx xxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxx a způsobí xxxxx,
x) řízením rizik xxxxxxx zahrnující hodnocení xxxxx, xxxxx a xxxxxxxx xxxxxxxx xx xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx x xxxxxx x xxxxxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxxx xxxxxx bezpečnosti informací xxxx systému řízení xxxxxxx xxxxx xxxxxxxx xx xxxxxxxx x xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx, která xxxxxxx xxxxxx ustavení, xxxxxxxx, xxxxxxxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, udržování a xxxxxxxxxx bezpečnosti xxxxxxxxx x dat,
k) xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxxxxx prostředky x xxxxxxxxxx vybavení xxxxxxxxxxxx x komunikačního xxxxxxx x xxxxxxx, xx xxxxxxx xxxx xxxx systémy umístěny, xxxxxxx xxxxxxx může xxx xxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxx,
x) uživatelem xxxxxxx xxxx xxxxxxxxx xxxxx xxxxx orgán veřejné xxxx, xxxxx xxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxx nebo skupina xxxx, xxxxx řídí xxxxxxxx xxxxx, xxxx xxxxxxxxxx xxxxx xxxxxxx xxxxx,
x) významným dodavatelem xxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx (xxxx xxx "xxxxxxxxxxxx") a xxxxx, kdo x xxxxxxxx osobou xxxxxxxx xx xxxxxxxx xxxxxx, xxxxx je významný x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
x) xxxxxxxxx xxxxxx xxxxx, která má xxxx může mít xxxx na xxxxxxxxxxxxx xxxxxxxxxx x představuje xxxxxx xxxxxx,
x) zranitelností xxxxx místo xxxxxx xxxx xxxxx místo xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxx zneužito xxxxxx xxxx xxxx xxxxxxxx.
ČÁST XXXXX
XXXXXXXXXXXX OPATŘENÍ
HLAVA X
XXXXXXXXXXX OPATŘENÍ
§3
Systém xxxxxx xxxxxxxxxxx informací
Povinná osoba x xxxxx systému xxxxxx xxxxxxxxxxx informací
a) xxxxxxx x ohledem xx xxxxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xx kterém určí xxxxxxxxxxx části a xxxxxx, jichž xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx,
x) stanoví xxxx xxxxxxx řízení xxxxxxxxxxx informací,
c) xxx xxxxxxxxx xxxxxx systému xxxxxx xxxxxxxxxxx informací xx xxxxxxx cílů xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, bezpečnostních xxxxxx x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx bezpečnostní xxxxxxxx,
x) xxxx xxxxxx xxxxx §5,
x) vytvoří x schválí bezpečnostní xxxxxxxx v xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxx zásady, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx xx xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxx, x xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x výsledků xxxxxxxxx rizik stanoví xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §30 a zavede xxxxxxxxx bezpečnostní xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx (xxxx xxx "xxxxx xxxxxxxxxxxx xxxxxxxxxxx") xxxxx §16,
x) xxxxxxx xxxxxxxxxx vyhodnocování xxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, které xxxxxxxx xxxxxxxxx stavu xxxxxxx xxxxxx xxxxxxxxxxx informací xxxxxx xxxxxx xxxxxxxxx xxxxx, xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xx systém xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxx §11 xxxx xxxxxxxx xxxxx, xxxxx xxxxx xx rozsahu xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) aktualizuje xxxxxx xxxxxx bezpečnosti informací x xxxxxxxxxx dokumentaci xx základě xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx, xxxxxxxx vyhodnocení xxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx x x xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxxx x
x) xxxx xxxxxx x xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a xxxxxxxxxxx xxxxxxxx xxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a xxxxxxx rizik.
§4
Xxxxxx xxxxx
(1) Xxxxxxx xxxxx v rámci xxxxxx xxxxx
x) xxxxxxx xxxxxxxx pro identifikaci xxxxx,
x) xxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx xxxxxxx v rozsahu xxxxxxxx x příloze č. 1 x xxxx xxxxxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxx,
x) xxxx a xxxxxxx xxxxxxx aktiv,
e) xxxxxxx a xxxxxxx xxxxxxxx aktiva x xxxxxxxx xxxxxxxxxx, integrity x xxxxxxxxxxx a xxxxxx xx xx xxxxxxxxxxxx xxxxxx podle xxxxxxx b),
f) xxxx x xxxxxxx vazby xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxx x),
x) xx xxxxxxx xxxxxxxxx aktiv xxxxxxxxx x xxxxxx xxxxxxxx xxxxxxx xxxxx xxx xxxxxxxxxxx jednotlivých xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx xxx xxxxxxxxxx s xxxxxx s xxxxxxx xx úroveň aktiv, xxxxxx pravidel xxx xxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxx xxxxx, x
x) xxxx xxxxxx xxxxxxxxx dat, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxx x xxxxxxx xx xxxxxx xxxxx x souladu x přílohou č. 4 x xxxx vyhlášce.
(2) Xxx xxxxxxxxx důležitosti xxxxxxxxxx xxxxx xx třeba xxxxxxxx alespoň
a) xxxxxx x xxxxxxxxxx xxxxxxxx xxxxx, xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxxxxxx tajemství,
b) rozsah xxxxxxxxx xxxxxxxx povinností xxxx xxxxxx xxxxxxx,
x) xxxxxx narušení vnitřních xxxxxxxx x xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, xxxxxxxxxx xxxx ekonomických xxxxx x xxxxx xxxxxxxx xxxxxx,
x) dopady xx xxxxxxxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx,
x) xxxxxx xx xxxxxxxxx dobrého xxxxx xxxx xxxxxxx xxxxx pověsti,
h) dopady xx bezpečnost a xxxxxx xxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx x
x) dopady xx xxxxxxxxx informačního x xxxxxxxxxxxxx systému.
§5
Řízení rizik
(1) Xxxxxxx xxxxx x rámci xxxxxx xxxxx x xxxxxxxxxx xx §4
x) xxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx, xxxxxx xxxxxxxxx kritérií xxx xxxxxxxxxxxxxxxx xxxxx,
x) x xxxxxxx na aktiva xxxxxxxxxxxx xxxxxxxxxx xxxxxx x zranitelnosti; xxxxxx xxxxxxx xxxxxxx kategorie xxxxxx x zranitelností xxxxxxxxx x příloze č. 3 x této xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxx x pravidelných intervalech xxxxx xxxxxxxx 2 x xxx xxxxxxxxxx xxxxxxx,
x) xxx xxxxxxxxx xxxxx zohlední xxxxxxxxxx xxxxxx a xxxxxxxxxxxxx x posoudí xxxxx xxxxxx xx xxxxxx; xxxx xxxxxx xxxxxxx xxxxxxx v xxxxxxx přílohy č. 2 x xxxx xxxxxxxx,
x) xxxxxxxx xxxxxx x xxxxxxxxx xxxxx,
x) xxxxxxxx na základě xxxxxxxxxxxxxx xxxxxx x xxxxxxxx hodnocení xxxxx xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx požadovaných xxxxx vyhláškou, která
1. xxxxxx aplikována, včetně xxxxxxxxxx,
2. byla xxxxxxxxxx, xxxxxx způsobu xxxxxx,
x) xxxxxxxx x xxxxxx xxxx zvládání rizik, xxxxx xxxxxxxx xxxx x xxxxxxx bezpečnostních xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxx, xxxxxx xxxxx xxxxxxxxxxx prosazování xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, technické, xxxxxx x xxxxxxxxxx zdroje, xxxxxx xxxxxx xxxxxxxx, xxxxx xxxxx mezi xxxxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx a xxxxxx xxxxxxxxx bezpečnostních xxxxxxxx,
x) xxx xxxxxxxxx xxxxx a x xxxxx xxxxxxxx xxxxx xxxxxxxx
1. xxxxxxxx xxxxx,
2. xxxxx xxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx,
3. xxxxxxxx xxxxx §11 xxxxxx a
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx, včetně xxxxx xxxxxxxx, x
x) x souladu x xxxxxx xxxxxxxx xxxxx xxxxxx bezpečnostní opatření.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), d) x x) xxxxxx provádí xxxxxxxxx xxxxx alespoň xxxxxx xxxxx x xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxxxx xxxxxx xx xxx xxxx.
(3) Řízení xxxxx xxxx být xxxxxxxxx x jinými xxxxxxx, xxx xxx xx xxxxxxxxx x xxxxxxxx 1 xxxx. x), xxxxx xxxxxxx xxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxx xxxxx úroveň xxxxxxx řízení xxxxx.
§6
Xxxxxxxxxxx bezpečnost
(1) Xxxxxxx xxxxx x xxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) zajistí xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx §3 xxxxxxxxxxxx xx strategickým směřováním xxxxxxx xxxxx,
x) zajistí xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací do xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx pro xxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxx x xxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxx xxxxx x xxxx xxxxxxxxx xx xxxxx xxxxxxxxx xxxxxxxx,
x) zajistí xxxxxxx x dosažení xxxxxxxxxxx xxxxxxx xxxxxxx řízení xxxxxxxxxxx informací,
f) vede xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx informací x xxxxxxxxx xx xxx xxxxx rozvíjení,
g) xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací,
h) xxxxxxxxx osoby zastávající xxxxxxxxxxxx xxxx xxx xxxxxxxxxxx kybernetické xxxxxxxxxxx x oblastech xxxxxx xxxxxxxxxxxx,
x) xxxxxxx stanovení xxxxxxxx pro určení xxxxxxxxxxxxxx x osob, xxxxx xxxxx zastávat xxxxxxxxxxxx xxxx,
x) xxxxxxx, xxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxx příslušné xxxxxxxxx x xxxxxx včetně xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx xxxx x plnění souvisejících xxxxx x
x) xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx, xxxxxx x xxxxxxx xxxxxxxxx xx xxxxxxxxx kybernetických bezpečnostních xxxxxxxxx.
(2) Povinná xxxxx x xxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxx a xxxxxx xxxxx a xxxxxxxxxx xxxxxxxxxxx xx xxxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
(3) Xxxxxxx xxxxx xxxxxxx x §3 písm. x), d) a x) zákona xxxx xxxxx, xxxxx bude xxxxxxxx xxxxxxxxxxxx roli
a) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx aktiva x
x) xxxxxxxx xxxxxxxxxxxx bezpečnosti.
(4) Xxxxxxx xxxxx xxxxxxx x §3 písm. x) zákona určí xxxx manažera xxxxxxxxxxxx xxxxxxxxxxx x garanta xxxxxx. Xxxxxxx xxxxxxxxxxxx xxxx podle xxxxxxxx 3 určí xxxxxxxxx xxxxxxxx k xxxxxxx x xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(5) Xxxxxxx xxxxx xxxxxxx x §3 písm. x), d) a x) zákona xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx v xxxxxxxx 3 písm. x) x x).
(6) Povinná xxxxx xxxxxxx x §3 písm. x) xxxxxx zajistí xxxxxxxxxxxxxx xxxxxxxxxxxx role xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(7) Xxxxx xxx xxxxxx kybernetické xxxxxxxxxxx xx xxxxxx xxxxxxx s xxxxxxxxxxx xxxxxxxxxxx a xxxxxxxx xxxxxxxxxxxx xxx xxxxxxx xxxxxx x rozvoj xxxxxxx xxxxxx bezpečnosti xxxxxxxxx a xxxxxxx xxxxxxxx xx xxxxxxxxxxxx xx xxxxxx a xxxxxxxxxx xxxxxxxx xxxxxxxxx x kybernetickou bezpečností, xxxxx xxxxxx xxxx xxx xxxxxxx xxxxx xxxxxxxx vrcholového vedení xxxx jím xxxxxxxx xxxxx x manažer xxxxxxxxxxxx bezpečnosti. Povinná xxxxx u výboru xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx přihlédne k xxxxxxxxxxx xxxxxxxx x příloze č. 6 k této xxxxxxxx.
§7
Bezpečnostní xxxx
(1) Manažer xxxxxxxxxxxx xxxxxxxxxxx
x) je xxxxxxxxxxxx xxxx xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, přičemž xxxxxxx xxxx xxxx xxxx xxx pověřena xxxxx, xxxxx xx xxx tuto xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x řízením kybernetické xxxxxxxxxxx nebo x xxxxxxx xxxxxxxxxxx xxxxxxxxx
1. xx xxxx nejméně xxx xxx, xxxx
2. xx xxxx jednoho xxxx, pokud xxxxxxxxxxx xxxxxxx na vysoké xxxxx,
x) xxxxxxxx xx xxxxxxxxxx informování vrcholového xxxxxx x
1. činnostech xxxxxxxxxxxxx x rozsahu xxxx odpovědnosti x
2. xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x
x) xxxxx být xxxxxxx xxxxxxx xxxx xxxxxxxxxxx xx xxxxxx informačního x xxxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxxxx kybernetické xxxxxxxxxxx xx xxxxxxxxxxxx xxxx xxxxxxxxx za xxxxxxxxx xxxxxx implementace bezpečnostních xxxxxxxx tak, xxx xxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, xxxxxxx xxxxxxx xxxx role xxxx xxx pověřena xxxxx, xxxxx je xxx xxxx xxxxxxx xxxxxxxxx x prokáže xxxxxxxx xxxxxxxxxxx praxí x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx architektury bezpečnosti
a) xx xxxx xxxxxxx xxx xxx, xxxx
x) xx dobu jednoho xxxx, pokud xxxxxxxxxxx xxxxxxx xx xxxxxx xxxxx.
(3) Garant xxxxxx xx bezpečnostní xxxx xxxxxxxxx za zajištění xxxxxxx, použití x xxxxxxxxxx xxxxxx.
(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) je xxxxxxxxxxxx xxxx xxxxxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, přičemž xxxxxxx xxxx role xxxx xxx pověřena xxxxx, která xx xxx xxxx xxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxx způsobilost xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
1. po xxxx nejméně xxx xxx, xxxx
2. xx xxxx xxxxxxx xxxx, xxxxx xxxxxxxxxxx studium xx xxxxxx xxxxx,
x) xxxxxxxx, xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxx, x
x) xxxxx být xxxxxxx xxxxxxx jiných xxxxxxxxxxxxxx xxxx.
(5) Povinná xxxxx xxx xxxxxxxx xxxx xxxxxxxxxxxxx bezpečnostní role xxxxxxxxx k xxxxxxxxxxx xxxxxxxx x příloze č. 6 x xxxx xxxxxxxx.
§8
Xxxxxx xxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxx, xxxxx xxxxxxxxxx požadavky xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxx evidenci xxxxx xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxx xxx xxxxxxxx dodavatele x xxxxxx evidenci podle xxxxxxx b),
d) xxxxxxxxx xxx xxxxxxxxxx x xxxxxxxx podle xxxxxxx x) x xxxxxxxx xxxxxx těchto xxxxxxxx,
x) xxxx xxxxxx xxxxxxx x dodavateli,
f) v xxxxxxxxxxx x xxxxxxx xxxxx spojených x xxxxxxxxxx xxxxxxxxxx zajistí, xxx smlouvy uzavírané x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx relevantní xxxxxxx xxxxxxx x příloze č. 7 x této xxxxxxxx, x
x) pravidelně xxxxxxxxxxx xxxxxx smluv s xxxxxxxxxx dodavateli x xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxx xxxx
x) x xxxxx výběrového řízení x xxxx xxxxxxxxx xxxxxxx provádí xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxxx výběrového xxxxxx xxxxxxxxx podle přílohy č. 2 x xxxx xxxxxxxx,
x) x rámci xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx způsoby a xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxx xxxxx xxxxxxxx smluvní xxxxxxxxxxxx xx xxxxxxxx x kontrolu xxxxxxxxxxxxxx xxxxxxxx,
x) provádí pravidelné xxxxxxxxx xxxxx x xxxxxxxxxxx kontrolu xxxxxxxxxx xxxxxxxxxxxxxx opatření x xxxxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxx zdrojů xxxx xxxxxx xxxxx xxxxxx x
x) x reakci xx xxxxxx x xxxxxxxx nedostatky xxxxxxx xxxxxx xxxxxx.
(3) Náležitosti xxxxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 1 písm. x) xxxx
x) xxxxxxxxxxxx xxxxxxx xxxx provozovatele,
b) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) identifikace xxxxxxxxxx xxxxxxxxxx,
x) vyrozumění x xxxxxxxxxxx, xx xxxxxxxxx xx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxx, x popřípadě xxxx x xxx, xx xxxxxxxx xxxxxxxxx je xxxxxxx provozovatelem, x
x) xxxxx pravidel xxxxx xxxxxxxx 1 písm. x).
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona, xxxxx xx provozovatelem x xxxx prokazatelně xxxxxxxxxxx xxxxx odstavce 1 xxxx. x), hlásí xxxxxxxxx xxxxx formou xxxxxxxx x §34.
§9
Xxxxxxxxxx lidských xxxxxx
(1) Xxxxxxx osoba x xxxxx xxxxxx xxxxxxxxxxx xxxxxxxx zdrojů
a) x xxxxxxx xx stav x xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxxxx plán xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, jehož xxxxx je xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x který obsahuje xxxxx, xxxxx x xxxxxx
1. poučení xxxxxxxxx, xxxxxxxxxxxxxx, xxxx zastávajících xxxxxxxxxxxx role x xxxxxxxxxx x xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx xxxxxxxx x
2. xxxxxxxxxx teoretických i xxxxxxxxxxx školení uživatelů, xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxx osoby odpovědné xx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx x plánu xxxxxxx,
x) x xxxxxxx s xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx zajistí poučení xxxxxxxxx, xxxxxxxxxxxxxx, osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x dodavatelů x xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx xxxxxxxx xxxxxx vstupních a xxxxxxxxxxxx školení,
d) xxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx v xxxxxxx x plánem xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx odborná xxxxxxx, xxxxxxx xxxxxxx x xxxxxxxxxx potřeb xxxxxxx xxxxx x oblasti xxxxxxxxxxxx xxxxxxxxxxx,
x) x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx pravidelné xxxxxxx x xxxxxxxxx bezpečnostního xxxxxxxx zaměstnanců x xxxxxxx x xxxxxx xxxxxxxx náplní,
f) xxxxxxx xxxxxxxx dodržování xxxxxxxxxxxx xxxxxxxx ze xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx zastávajících bezpečnostní xxxx,
x) x xxxxxxx xxxxxxxx xxxxxxxxx vztahu x administrátory x xxxxxxx zastávajícími bezpečnostní xxxx xxxxxxx předání xxxxxxxxxxxx,
x) xxxxxxx účinnost xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxxxxxx povědomí a
i) xxxx xxxxxxxx x xxxxxxx pro xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx uživatelů, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Xxxxxxx xxxxx xxxx x xxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx, xxxxx xxxxxxxx xxxxxxx školení x xxxxxx osob, xxxxx xxxxxxx xxxxxxxxxxx.
§10
Řízení xxxxxxx x xxxxxxxxxx
(1) Povinná xxxxx x rámci xxxxxx xxxxxxx x komunikací xxxxxxxxx bezpečný xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx, xxxxx obsahují xxxxxxx
x) práva a xxxxxxxxxx administrátorů, xxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx role,
b) xxxxxxx xxx xxxxxxxx a xxxxxxxx xxxxx systému, xxx xxxxxxx xxxx xxxxxxxx chodu systému xx xxxxxxx x xxx xxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxxxxx xxxx,
x) postupy pro xxxxxxxxx kybernetických bezpečnostních xxxxxxxx x opatření xxx xxxxxxx xxxxxxxx x záznamům x xxxxxx xxxxxxxxxx,
x) xxxxxxxx x xxxxxxx xxx xxxxxxx před škodlivým xxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx,
x) spojení na xxxxxxxxx xxxxx, které xxxx xxxxxxxx xxxxxxx xxxxxxxxx a xxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxxx, xxxxxxxxx a xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx zdrojů,
i) xxxxxxxx x postupy xxx ochranu xxxxxxxxx x xxx x xxxxxxx xxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxxx zálohování a xxxxxxxx xxxxxxxxxxxxx provedených xxxxx x
x) pravidla x xxxxxxx xxx xxxxxxxxx bezpečnosti síťových xxxxxx.
(2) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxxxx x komunikací xxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 1 a xxxx xxxxxxxx x xxxxxxx aktualizuje x xxxxxxxxxxx s prováděnými xxxx xxxxxxxxxxx xxxxxxx.
(3) Xxxxxxx xxxxx xxxxxxx xxxxxxxx vývojového, testovacího x provozního xxxxxxxxx.
§11
Řízení změn
(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxx x xxxxxxxxxxxx x komunikačního xxxxxxx
x) xxxxxxxxxxx xxxxx xxxxxx změn x
x) xxxxxx xxxxxxxx xxxxx.
(2) Xxxxxxx xxxxx u xxxxxxxxxx xxxx
x) dokumentuje xxxxxx xxxxxx,
x) provádí xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxx xx účelem xxxxxxx xxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx s xxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxx testování a
f) xxxxxxx xxxxxxx xxxxxxxxx xx xxxxxxxxx xxxxx.
(3) Xxxxxxx xxxxx xxxxxxx x §3 písm. x), x) x x) xxxxxx na xxxxxxx xxxxxxxx xxxxxxx xxxxx xxxxx xxxxxxxx 2 písm. b) xxxxxxxxx o xxxxxxxxx xxxxxxxxxxxx testování nebo xxxxxxxxx zranitelností; xxxxx xxxxxxxx x provedení xxxxxxxxxxxx xxxxxxxxx nebo xxxxxxxxx xxxxxxxxxxxxx, postupuje xxxxx §25 xxxx. 1 x xxxxxxx xx xxxxxxxx xxxxxxxxxx.
(4) Xxxxxxx osoba xxxxxxx x §3 xxxx. x) zákona xx xxxx xxxxxxxxx xxxxx xxxxxxxx 3 přiměřeně.
§12
Xxxxxx přístupu
(1) Xxxxxxx xxxxx na základě xxxxxxxxxx a xxxxxxxxxxxxxx xxxxxx řídí přístup x informačnímu x xxxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx, xxxxx xxxxxx x xxxxxxxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx pro xxxxxxxxxx podle §19 x 20, x xxxxx xxxxx xx xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(2) Povinná xxxxx dále x xxxxx xxxxxx přístupu x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) xxxx xxxxxxx xx xxxxxxx xxxxxx a rolí,
b) xxxxxxx každému xxxxxxxxx x xxxxxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx přístupová xxxxx x xxxxxxxxx x jedinečný identifikátor,
c) xxxx xxxxxxxxxxxxxx, xxxxxxxxxx xxxxx a oprávnění xxxxxxxx x technických xxxx,
x) xxxxxx bezpečnostní xxxxxxxx xxx xxxxxx xxxxxxxx xxxxxxxx k xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
e) zavádí xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxx bezpečné xxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxx technických xxxxxxxx, xxxxxxxxx i xxxxxxxxxxxx xxxxxxxx spojená x xxxxxxxx technických zařízení, xxxxx xxxxxxx xxxxx xxxx xx své xxxxxx,
x) xxxxx přidělování xxxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxx nutnou x xxxxxx xxxxxx xxxxx,
x) xxxxx a xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx, které xxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx nebo aplikační xxxxxxxx,
x) xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx s xxxxxxxxx xxxxxx přístupu,
i) xxxxxxx pravidelné xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxxx x rolí,
j) xxxxxxx xxxxxxx xxx správu x xxxxxxxxx xxxxxxxx xxxxx §19 a xxxxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §20,
x) xxxxxxxxx, xxx xxxxxxxxx xxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxx postupy,
l) xxxxxxx odebrání nebo xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx pozice xxxx xxxxxxxx uživatelů, xxxxxxxxxxxxxx nebo xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxxx oprávnění xxx xxxxxxxx nebo xxxxx smluvního xxxxxx x
x) xxxxxxxxxxx přidělování x odebírání přístupových xxxxxxxxx.
§13
Xxxxxxxx, xxxxx x xxxxxx
Xxxxxxx xxxxx v xxxxxxxxxxx x xxxxxxxxxx xxxxxxxx, vývojem a xxxxxxx informačního a xxxxxxxxxxxxx xxxxxxx
x) řídí xxxxxx xxxxx §5,
x) xxxx xxxxxxxx změny xxxxx §11,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxx xxxxxxxx, vývoje x údržby,
e) xxxxxxx xxxxxxxxxx xxxxxxxxxx a xxxxxxxxxxx xxxxxxxxx a xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxx,
x) provádí xxxxxxxxxxxx testování xxxxxxxxxx xxxx před jejich xxxxxxxxx do xxxxxxx x
x) xxxx požadavek xxxxx §19 xxxx. 3, xx-xx xxxxx xxxxxxxxx xxxxxxxx xxxx xxxxxx xxxxxxx xxx xxxxxx x xxxxxxxxx xxxxxxxx.
§14
Xxxxxxxx kybernetických bezpečnostních xxxxxxxx x incidentů
(1) Xxxxxxx xxxxx x xxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxx
x) xxxxxx proces xxxxxxx x vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x zvládání kybernetických xxxxxxxxxxxxxx xxxxxxxxx,
x) přidělí xxxxxxxxxxxx x stanoví xxxxxxx xxx
1. xxxxxxx x xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí a xxxxxxxxx x
2. koordinaci x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx x xxxxxxxx postupy xxx xxxxxxxxxxxx, sběr, xxxxxxx a uchování xxxxxxxxxxx podkladů xxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) zajistí xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx,
x) xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxx řídí §22 x 23,
f) xxxxxxx, xx uživatelé, xxxxxxxxxxxxxx, xxxxx zastávající xxxxxxxxxxxx xxxx, další xxxxxxxxxxx x xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému x xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxx,
x) xxxxxxx posuzování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xxxx xxx xxxxxxxxxx, zda xxxx xxx klasifikovány xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §31,
x) xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx postupů,
i) xxxxxxx xxxxxxxx xxx xxxxxxxxx x xxxxxxxx dopadu xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §32,
x) xxxx xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx x x jejich xxxxxxxx,
x) xxxxxxxx x xxxx příčiny xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x
x) xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x na xxxxxxx xxxxxxxxxxx stanoví nutná xxxxxxxxxxxx xxxxxxxx, popřípadě xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx k zamezení xxxxxxxxx řešeného kybernetického xxxxxxxxxxxxxx xxxxxxxxx.
(2) Povinná xxxxx xxxxxxx v §3 písm. x), x) a x) xxxxxx xxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx používá xxxxxxx xxxxx §24.
§15
Řízení kontinuity xxxxxxxx
Xxxxxxx xxxxx x rámci xxxxxx xxxxxxxxxx xxxxxxxx
x) xxxxxxx práva x xxxxxxxxxx administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxx hodnocení xxxxx a xxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxx dopady xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx možná xxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxxx,
x) xx xxxxxxx výstupů xxxxxxxxx xxxxx a xxxxxxx xxxxxx xxxxx xxxxxxx x) xxxxxxx xxxx řízení xxxxxxxxxx xxxxxxxx formou xxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx, která je xxxxxxxxxx pro xxxxxxx, xxxxxx x xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
2. xxxx xxxxxxxx xxxxx, během xxxxx xxxx xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx obnovena xxxxxxxxx xxxxxx poskytovaných xxxxxx informačního x xxxxxxxxxxxxx systému, x
3. xxxx obnovení xxx xxxx xxxxxx xxxxxx, xx xxxxx musí xxx xxxxxx obnovena xxxx xx kybernetickém xxxxxxxxxxxxx incidentu nebo xx selhání,
d) xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx cílů xxxxx xxxxxxx x),
x) xxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxx xxxxxxxxxxx s xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx a xxxxxxxxxxxxx xxxxxx x
x) xxxxxxxxx opatření pro xxxxxxx odolnosti xxxxxxxxxxxx x komunikačního xxxxxxx xxxx kybernetickým bezpečnostním xxxxxxxxxx x xxxxxxxx xxxxxxxxxxx x xxxxxxx xxx tom z xxxxxxxxx podle §27.
§16
Xxxxx xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx
x) xxxxxxx x xxxxxxxxxxx audit dodržování xxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxxxxx technické shody, x výsledky xxxxxx xxxxxxxx x xxxxx xxxxxxx bezpečnostního xxxxxxxx x plánu xxxxxxxx xxxxx a
b) xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx x smluvními xxxxxxx xxxxxxxxxxxx xx x xxxxxxxxxxxx a komunikačnímu xxxxxxx x xxxx xxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.
(2) Xxxxx xxxxx odstavce 1 xx xxxxxxxx
x) xxx významných xxxxxxx, x xxxxx jejich xxxxxxx,
x) v xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xx 3 letech x xxxxxxx xxxxxxx osoby xxxxxxx x §3 xxxx. x) xxxxxx x
x) v xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xx 2 xxxxxx x xxxxxxx xxxxxxx osoby xxxxxxxxx x xxxxxxx x).
(3) Xxxx-xx x xxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxx v xxxxxxxxxxx xxxxx xxxxxxxx 2 xxxx. x) x x) x xxxxx rozsahu, xx xxxxx audit xxxxxxxx xxxxxxxx po systematických xxxxxxx. X xxxxxxx xxxxxxx je xxxxx xxxxx x xxxxx xxxxxxx provést nejpozději xx 5 let.
(4) Xxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx x §7 xxxx. 4, xxxxx xxxxxxxxx xxxxxxx správnost x účinnost xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(5) Povinná xxxxx, xxxxx je xxxxxxxx provozovatelem, xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx.
HLAVA XX
XXXXXXXXX XXXXXXXX
§17
Xxxxxxx xxxxxxxxxx
Xxxxxxx xxxxx x xxxxx fyzické bezpečnosti
a) xxxxxxxxx xxxxxxxxx, xxxxxxx xxxx zneužití xxxxx xxxx přerušení xxxxxxxxxxx xxxxxx informačního a xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxx, xx xxxxx xxxx uchovávány x zpracovávány xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx informačního a xxxxxxxxxxxxx xxxxxxx, x
x) x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx x) xxxxxx xxxxxxxx opatření x xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx
1. x xxxxxxxx xxxxxxxxxxxxx xxxxxx,
2. k xxxxxxxx xxxxxxxxx a xxxxxxxxxxxx xxxxxxx x
3. xxx xxxxxxxxx xxxxxxx xx xxxxxx xxxxxxx x v xxxxx xxxxxxx.
§18
Xxxxxxxxxx xxxxxxxxxxxxx xxxx
Xxxxxxx xxxxx pro xxxxxxx xxxxxxxxxxx komunikační xxxx xxxxxxxx x rozsahu xxxxx §3 xxxx. x)
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxx xxxxxxxxxx x xxxxx xxxxxxxxxxx xxxx x xxxxxxxxx komunikační xxxx,
x) xxxxxx kryptografie xxxxxxx xxxxxxxxx x xxxxxxxxx xxx xxx xxxxxxxxx xxxxxxxx, vzdálené xxxxxx xxxx při xxxxxxxx do komunikační xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx blokuje xxxxxxxxx komunikaci x
x) xxx xxxxxxxxx xxxxxxxxxx xxxx x pro xxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxxx xxxxxxx xxxxxxx, který xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx.
§19
Správa x ověřování xxxxxxx
(1) Xxxxxxx xxxxx xxxxxxx xxxxxxx xxx xxxxxx a xxxxxxx xxxxxxxx xxxxxxxxx, administrátorů x xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxx xxx xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx zajišťuje
a) ověření xxxxxxxx před xxxxxxxxx xxxxxxx x xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxx xxxxxxx xxxxxxxxxxx pokusů x xxxxxxxxxx,
x) xxxxxxxx uložených xxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxx proti xxxxxxxxxxxxx xxxxxxxx x xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxxxx xxxxx xx xxxxx xxxxxx xxxxx xxxxxxx xxxxxx,
x) xxxxxxxx ověření identity xx určené xxxx xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxx xxxxxx xxxxxxxx a
g) xxxxxxxxxxxxxxx xxxxxx xxxxxxx.
(3) Xxxxxxx osoba xxx xxxxxxx identity uživatelů, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx mechanizmus, xxxxx xxxx založený xxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxx a xxxxx, xxxxx xx xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx dvěma xxxxxxx xxxx xxxxxxx.
(4) Xx xxxx xxxxxxx xxxxxxxxx xxxxx odstavce 3 xxxx xxxxxxx pro xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a aplikací, xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx klíčů x xxxxxxx xxxxxxxx úroveň xxxxxxxxxxx.
(5) Do doby xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 nebo 4 musí xxxxxxx xxx ověření identity xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx, xxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxx x xxxxx, xxxxxxxxx xxxxxxxx
x) xxxxx xxxxx xxxxxxx
1. 12 xxxxx u uživatelů x
2. 17 znaků x administrátorů x xxxxxxxx,
x) xxxxxxxxxx xxxxx xxxxx x xxxxx xxxxxxx 64 xxxxx,
x) xxxxxxxxxxx xxxxxxx malých x velkých písmen, xxxxxx x speciálních xxxxx,
x) xxxxxxxxxx xxxxxxxxxx xxxxx xxxxx, xxxxxxx xxxxxx mezi xxxxx xxxxxxx xxxxx xxxxx xxx kratší xxx 30 minut,
e) neumožňující xxxxxxxxxx x xxxxxxxxxxxxxxx
1. xxxxxx si xxxxxxxxxx xxxxxxxxx xxxxx,
2. xxxxxx xxxxx xx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx se xxxxx, xxxxxxxxxxxxxx xxxxx, x-xxxxx, xxxxx xxxxxxx xxxx xxxxxxxx xxxxxxxx x
3. xxxxxxxx xxxxxxx xxxxx používaných xxxxx x pamětí xxxxxxx 12 xxxxxxxxxxx xxxxx x
x) xxx xxxxxxxx xxxxx xxxxx x xxxxxxxxx xxxxxxxxx po 18 měsících, přičemž xxxx pravidlo xx xxxxxxxxxx xx účty xxxxxxxx k xxxxxx xxxxxxx x případě xxxxxxx.
(6) Xxxxxxx osoba x případě xxxxxxxxx xxxxxxxxxxx xxxxx xxxxx x xxxxxx xxxx
x) xxxxxx xxxxxxxxxxxx změnu xxxxxxxxx hesla po xxxx xxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx k xxxxxxxx xxxxxxxx xx xxxx xxxxxx xxxxxxx xxxx xxxxxxxxx nejvýše 60 xxxxx xx xxxx xxxxxxxxx a
c) povinně xxxxxx pravidla xxxxxx xxxxxxxxxx hesel xx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9.
§20
Xxxxxx přístupových xxxxxxxxx
Xxxxxxx xxxxx xxxxxxx centralizovaný xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, kterým xxxxxxx xxxxxx xxxxxxxxx
x) xxx přístup x xxxxxxxxxxx xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx x
x) xxx xxxxx xxx, xxxxx dat x xxxxx xxxxxxxxx.
§21
Xxxxxxx xxxx škodlivým xxxxx
(1) Xxxxxxx osoba xxxxxxx v §3 xxxx. x), x) x f) xxxxxx x xxxxx xxxxxxx xxxx xxxxxxxxx kódem
a) x xxxxxxx xx xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxx xxxxxxxx pro xxxxxxxxxxxx automatickou xxxxxxx
1. xxxxxxxxx xxxxxx,
2. mobilních xxxxxxxx,
3. serverů,
4. xxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx nosičů,
5. komunikační xxxx a xxxxx xxxxxxxxxxx sítě a
6. xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x řídí xxxxxxxxx xxxxxxxxx xxxxxxxx a xxxxxxxx xxxxxx,
x) xxxx xxxxxxxxxxx spouštění xxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxx nosičů,
d) xxxx xxxxxxxxx ke xxxxxxxxx xxxx x
x) xxxxxxx xxxxxxxxxxx a xxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxx před xxxxxxxxx xxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. e) xxxxxx xxxxxxxxx podle odstavce 1 xxxxxxxxx.
§22
Zaznamenávání xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, xxxx xxxxxxxxx x xxxxxxxxxxxxxx
(1) Xxxxxxx osoba
a) xxxxxxxxxxx bezpečnostní x xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx aktiv xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x
x) xx xxxxxxx xxxxxxxxx důležitosti xxxxx xxxxxxxxxxx xxxxxx xxxxx, x xxxxxxx xx xxxxxxxxxxxxx bezpečnostních a xxxxxxxxxx xxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx 1 zajišťuje
a) xxxxxxxxxxxx xxxxxxx identifikaci xxxxxxxx xxxxxxx, xx-xx x komunikační síti xxxxxx xxxxxxx, xxxxx xxxx xxxx xxxxxxx xxxxxxxxxxxx,
x) xxxx xxxxxxxxx x bezpečnostních a xxxxxxxxxx xxxxxxxxxx; xxxxxxx xxxxxxxxxxx
1. xxxxx x xxx včetně xxxxxxxxxxx xxxxxxxx xxxxx,
2. typ xxxxxxxx,
3. xxxxxxxxxxxx technického xxxxxx, xxxxx xxxxxxx xxxxxxxxxxx,
4. xxxxxxxxxxxx identifikaci xxxx, pod kterým xxxx činnost xxxxxxxxx,
5. xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx a
6. xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxxx x) x x) xxxx xxxxxxxxxxxx čtením x jakoukoli xxxxxx,
x) xxxxxxxxxxxxx
1. přihlašování a xxxxxxxxxxx xx xxxx xxxxx, a xx xxxxxx xxxxxxxxxxx xxxxxx,
2. xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx,
3. xxxxxxx i neúspěšné xxxxxxxxxx s účty, xxxxxxxxxxx x xxxxx,
4. xxxxxxxxxxx činností x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxx a xxxxxxxxx,
5. xxxxxxxx xxxxxxxxx, xxxxx xxxxx mít xxxx xx bezpečnost xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
6. xxxxxxxx x ukončení xxxxxxxx technických xxxxx,
7. xxxxxxxxxx i chybových xxxxxxx xxxxxxxxxxx aktiv x
8. xxxxxxxx k xxxxxxxx x událostech, xxxxxx o xxxxxxxxxx xx xxxxxxx x xxxxxxxxxx x změny xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxxxxxxx jednotného času xxxxxxxxxxx aktiv nejméně xxxxxx xx 24 xxxxx.
(3) Povinná xxxxx xxxxxxx x §3 xxxx. x), x) x x) xxxxxx xxxxxxxx záznamy xxxxxxxx xxxxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxx po xxxx 18 měsíců.
(4) Xxxxxxx xxxxx uvedená x §3 písm. x) xxxxxx uchovává xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxx xx xxxx 12 xxxxxx.
§23
Xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxxxxxxx xxxx, jejíž xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxxxx xxxxxxx
x) xxxxxxx x kontrolu xxxxxxxxxxx xxx v rámci xxxxxxxxxxx sítě x xxxx komunikačními xxxxxx,
x) xxxxxxx x kontrolu xxxxxxxxxxx xxx xx xxxxxxxxx xxxxxxxxxxx sítě x
x) xxxxxxxxx nežádoucí xxxxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. c), x) x x) xxxxxx xxxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx přiměřeně x xxxxxxx na xxxxxxxxxx xxxxx x xxxxx
x) koncových xxxxxx,
x) xxxxxxxxx xxxxxxxx,
x) xxxxxxx,
x) xxxxxxxx úložišť x xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxx aktivních xxxxx x
x) xxxxxxxxx xxxxx.
§24
Xxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí
Povinná xxxxx xxxxxxx x §3 písm. x), x) a x) xxxxxx xxxxxxx nástroj xxx sběr a xxxxxxxxxxx vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, který xxxxxx
x) xxxx x xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx §22 x 23,
x) xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x cílem xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxx xxxxxxxx varování xxxxxxxx bezpečnostních rolí,
e) xxxxxxx xxxxxxx nesprávného xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx
1. xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx a
2. xxxxxx xxxxxxxx x
x) xxxxxxxxx xxxxxxxxx získaných xxxxxxxxx xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx.
§25
Xxxxxxxxx xxxxxxxxxx
(1) Povinná xxxxx provádí xxxxxxxxxx xxxxx informačního x xxxxxxxxxxxxx systému xx xxxxxxxxx na xxxxxxxx xxxxxx, a xx
x) xxxx jejich uvedením xx provozu x
x) x xxxxxxxxxxx x xxxxxxxxx xxxxxx xxxxx §11 odst. 3.
(2) Xxxxxxx xxxxx xxxx x xxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx xxxxxxxx, informací x transakcí xxxx
x) xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxx provedených xxxxxxxx.
§26
Xxxxxxxxxxxxxx xxxxxxxxxx
Xxxxxxx osoba xxx xxxxxxx xxxxx xxxxxxxxxxxx x komunikačního xxxxxxx
x) xxxxxxx xxxxxxxx xxxxxx kryptografické xxxxxxxxx x xxxxxxxxxxxxxx xxxxx,
x) xxxxxxx systém xxxxxx xxxxx x certifikátů, xxxxx
1. xxxxxxx xxxxxxxxxx, xxxxxxxxxx, xxxxxxxx, xxxxx, xxxxxxx xxxxxxxxx, zneplatnění xxxxxxxxxxx x xxxxxxxxx xxxxx a
2. xxxxxx xxxxxxxx x audit,
c) xxxxxxxxx xxxxxxxx xxxxxxxxx x kryptografickými prostředky x
x) xxxxxxxxxx xxxxxxxxxx x xxxxxxx kryptografických xxxxxxxxxx vydaná Xxxxxx, xxxxxxxxxx na jeho xxxxxxxxxxxxx xxxxxxxxx.
§27
Xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx xxxxxx xxxxxxxx xxx zajišťování xxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx
x) dostupnost xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxx splnění xxxx xxxxx §15,
b) xxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx mohly xxxxxx xxxx dostupnost,
c) dostupnost xxxxxxxxxx technických aktiv xxxxxxxxxxxx x komunikačního xxxxxxx x
x) xxxxxxxxxx xxxxx xxxxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx.
§28
Průmyslové, xxxxxx x xxxxxxx specifické xxxxxxx
Xxxxxxx xxxxx xxx xxxxxxxxx xxxxxxxxxxxx bezpečnosti průmyslových, xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx systémů xxxxxxx xxxxxxxx x xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx, které jsou xxxxxx xx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxx k xxxxxxxxx xxxxxx systémů a xx komunikační xxxx,
x) xxxxxxxxx xxxxxxxxxxx sítě xxxxxx xxx xxxx xxxxxxx od xxxxxxx xxxxxxxxxxxxxx,
x) omezení x xxxxxx xxxxxxxxxx přístupu x xxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx systémů xxxx xxxxxxxx známých xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx xxxxxx systémů xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx.
§29
Xxxxxxxxx služby
(1) Povinná xxxxx xxxxxxx x §3 písm. h) xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxx Xxxxxx (XX) 2018/151 ze xxx 30. xxxxx 2018, xxxxxx xx xxxxxxx xxxxxxxx pro xxxxxxxxxxx xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Rady (XX) 2016/1148, xxxxx xxx x xxxxxx xxxxxxxxx xxxxx, které xxxx xxxxxxxxxxxxx xxxxxxxxxxx služeb xxxxxxxxxxx při xxxxxx xxxxxxxxxxxxxx xxxxx, xxxxx xxxx vystaveny xxxx x xxxxxxxxxx xxxxxxx, x parametrů xxx xxxxxxxxxx xxxx, zda xx xxxxx incidentu xxxxxxxx; xxxxxxxxxx §3 xx 28 xx xx xxxx xxxxxxxx xxxxx xxxxxxxxx.
(2) Povinná xxxxx xxxxxxx x §3 xxxx. x) xxxxxx hlásí xxxxxxxxx xxxxx podle §34 xxxx. 2.
(3) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §32 xxxx. 2 x 3.
XXXXX XXX
XXXXXXXXXXXX XXXXXXXX X BEZPEČNOSTNÍ XXXXXXXXXXX
§30
Xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
(1) Povinná xxxxx
x) xxxxxxx xxxxxxxxxxxx politiku x vede xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx x příloze č. 5,
x) xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxxx, xxx byla xxxxxxxxxxxx xxxxxxxx x bezpečnostní xxxxxxxxxxx xxxxxxxx.
(2) Xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxx být
a) xxxxxxxx x listinné xxxx elektronické xxxxxx,
x) xxxxxxxxxxxx x rámci xxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxx,
x) xxxxxx,
x) xxxxxxxx x xxxxxxx důvěrnosti, xxxxxxxxx x xxxxxxxxxxx a
f) xxxxxx tak, xxx xxxxxxxxx v nich xxxxxxxx xxxx xxxxx, xxxxxxx, xxxxxx identifikovatelné x snadno xxxxxxxxxxxx.
ČÁST XXXXX
XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX
§31
Xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxx xxxxxxxxxx
x) dopadů xxxxxxxxxx x dopadových xxxxxxxxxx kritériích, xxxxx xxxxxxx xxxx xxxxxxx xxxxx xxxxxx,
x) xxxxx xxxxxxxxx uživatelů,
c) xxxxxxxxx xxxx předpokládané xxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx a komunikačního xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x komunikačního systému,
f) xxxxxx xx xxxxxx xxxxxxxxxxx xxxxxx informačními x xxxxxxxxxxxxx systémy,
g) xxxxx trvání incidentu,
h) xxxxxxxxxxx xxxxxxx dotčené xxxxxxx x
x) dalších xxxxxx.
(2) Xxx potřeby xxxxxxx a xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx na xxxxxxx xxxxxxxxxx xxxxx odstavce 1 xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx zařadí xx xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - velmi xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx kterém xx xxxxx a xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x xxx, xx xxxx xxx xxxxx xxxxxxxxxx prostředky xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx x potenciálních xxxx,
x) Xxxxxxxxx XX - xxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx xxxxxx xx narušena bezpečnost xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx řešení xxxxxxxx neprodlené xxxxxx xxxxxxx s tím, xx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxxxxx vzniklých xxxx, xxxx
x) Xxxxxxxxx X - xxxx xxxxxxxx xxxxxxxxxxxx bezpečnostní incident, xxx xxxxxx xxxxxxx x xxxx xxxxxxxxxx xxxxxxxx bezpečnosti poskytovaných xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxx xxxxxxx s xxx, že xxxx xxx vhodnými xxxxxxxxxx xxxxxxx další šíření xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx vzniklých xxxx.
(3) Xxxx kybernetických xxxxxxxxxxxxxx incidentů podle xxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, nebo
d) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx kombinaci dopadů xxxxxxxxx x xxxxxxxxx x) až x).
(4) Xxxx xxxxxxxxxx se xxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx.
§32
Xxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx Úřadu xxxxx na xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx xxxxxxxx
x) na adresu xxxxxxxxxxxx pošty Xxxxx xxxxxxx xxx příjem xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, zveřejněnou xx xxxxxxxxxxxxx xxxxxxxxx Úřadu,
b) xx xxxxxx xxxxxxxx Xxxxx, nebo
c) prostřednictvím xxxxxxxx xxxxxxxx, xxxxx xx xxxxxxxxx, xxxxx xxxxx xx xxxxxxxxx xx internetových xxxxxxxxx Xxxxx.
(2) Xxxxxxxxxxxx bezpečnostní xxxxxxxx xx provozovateli xxxxxxxxx CERT xxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx pošty xxxxxxxxxxxxx národního XXXX xxxxxxx pro příjem xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xx xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx xxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX, xxxx
x) prostřednictvím internetových xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.
(3) Hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xx xxxxx xxxxxx x x xxxxxxxx xxxxxx, xxxxx xxxxx v xxxxxxxxx, kdy xxxxx xxxxxx žádný ze xxxxxxx xxxxxxxxx x xxxxxxxxxx 1 x 2.
(4) Náležitosti xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx
x) identifikace odesilatele,
b) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxx x xxx zjištění xxxxxxxxx x
x) popis xxxxxxxxx.
XXXX ČTVRTÁ
REAKTIVNÍ OPATŘENÍ X XXXXXXXXX XXXXX
§33
Xxxxxxxxx xxxxxxxx
(1) Xxxxxxx osoba, xxxxx Xxxx xxxxxx xxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx na xxxxxxxxxx a komunikační xxxxxx x na xxxxxxxx bezpečnostní opatření x xxxxxxxxx xxxxx xxxxxxxxx xxxxxx x
x) xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx tohoto opatření, xxxxx minimalizuje xxxx xxxxx xxxxxxxxx xxxxxx, x xxxx xxxxxx xxxx xxxx provedení.
(2) Xxxxxxx xxxxx, xxxxx Xxxx xxxxxx xxxxxxx xxxxxxxxx xxxxxxxx, xxxxxx xxxxxx xxxxxxxxx reaktivního xxxxxxxx a xxxx xxxxxxxx xx xxxxx xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
§34
Kontaktní údaje
(1) Kontaktní xxxxx se Úřadu xxxxxxxx na elektronickém xxxxxxxxx xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx xxxxxxxx
x) na xxxxxx xxxxxxxxxxxx pošty Xxxxx xxxxxxx xxx xxxxxx xxxxxxxx kontaktních xxxxx, xxxxxxxxxxx xx internetových xxxxxxxxx Xxxxx,
x) do xxxxxx xxxxxxxx Úřadu, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx, pokud je xxxxxxxxx, xxxxx xxxxx xx xxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxxxx údaje se xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx xx elektronickém xxxxxxxxx zveřejněném na xxxxxxxxxxxxx stránkách provozovatele xxxxxxxxx XXXX xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx xxxxx provozovatele národního XXXX určenou xxx xxxxxx xxxxxxxx kontaktních xxxxx, xxxxxxxxxxx xx xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx xxxxxx schránky xxxxxxxxxxxxx národního XXXX, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.
(3) Xxxxxxx kontaktních xxxxx xx xxxxx xxxxxx x x xxxxxxxx podobě, xxxxx xxxxx x xxxxxxxxx, xxx xxxxx xxxxxx xxxxx ze xxxxxxx xxxxxxxxx v xxxxxxxxxx 1 x 2.
(4) Xxxx oznámení xxxxxxxxxxx xxxxx xx xxxxxx x příloze č. 8 k xxxx xxxxxxxx.
(5) Povinná xxxxx uvedená v §3 písm. c) xx x) zákona, xxxxx xx xxxxxxxxxxxxxx, xxxx k xxxxxxx xxxxxxxxxxx údajů xxxxx xxxxxxxx 1 xxxxxxxx xxxxxxxx, xxxxxx ji xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §8 odst. 1 písm. x).
ČÁST XXXX
XXXXXXXXX XXXXXXXXXX
§35
Xxxxxxxxx xxxxxxxxxx
(1) X xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxx xxxx xxxxxx přede xxxx nabytí xxxxxxxxx xxxx vyhlášky, x x xxxxxxx xxxxxxxxxx xxxxxxxxxxxx systémů, x xxxxxxx došlo k xxxxxxxx xxxxxxxxxx kritérií xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, xx xx xxxxxxx xxxx xxx xxx xxxxxx xxxxxxxxx xxxx xxxxxxxx xxx xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxxx x rozsah xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx a x stanovení náležitostí xxxxxx v oblasti xxxxxxxxxxxx bezpečnosti (xxxxxxxx x xxxxxxxxxxxx bezpečnosti).
(2) X xxxxxxx xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx x komunikačních xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx xxxx xxxxxx xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, x x xxxxxxx významných xxxxxxxxxxxx xxxxxxx, u xxxxxxx xxxxx x naplnění xxxxxxxxxx kritérií přede xxxx xxxxxx účinnosti xxxx xxxxxxxx, se xx xxxxxxx roku xxx xxx xxxxxx xxxxxxxxx xxxx xxxxxxxx xxx xxxxxx xxxxxxxxx xxx, provozních xxxxx, xxxxxxxxx a xxxxxx xxxxx xxxx xxxxxxxx xxxxxxxxx.
§36
Xxxxxxxxx xxxxxxxxxx
Xxxxxxx xx xxxxxxxx č. 316/2014 Sb., o xxxxxxxxxxxxxx xxxxxxxxxx, kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx a x xxxxxxxxx xxxxxxxxxxx podání x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx bezpečnosti).
§37
Xxxxxxxx
Xxxx vyhláška xxxxxx xxxxxxxxx xxxx vyhlášení.
Ředitel:
Ing. Xxxxxxxx x. x.
Xxxxxxx x. 1 x xxxxxxxx x. 82/2018 Sb.
Hodnocení aktiv
(1) Xxx xxxxxxxxx xxxxxxxxxxx xxxxx jsou x xxxxx případě xxxxxxx xxxxxxxx x čtyřech xxxxxxxx x posuzuje xx, xxxx xxxxx xx xxxx xxxxxxxx xxxxxxxxxxx informací u xxxxxxxxxxxx xxxxx. Povinná xxxxx xxxx xxxxxxxx xxxxxxx xxxxx úrovní xxx hodnocení důležitosti xxxxx, než jaký xx uveden x xxxx příloze, xxxxxx-xx xxxxxxxxxxx xxxxx mezi xxxx xxxxxxxxxx způsobem xxxxxxxxx xxxxxxxxxxx xxxxx x stupnicemi x xxxxxxxx pro xxxxxxxxx xxxxxxxxxxx aktiv, xxxxx xxxx uvedeny x xxxx xxxxxxx.
(2) Xx xxxxxxxxxx, xxx xx xxxxx xxxxxxx xxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxx potřebám.
Tab. 1: Stupnice pro xxxxxxxxx důvěrnosti
|
Úroveň |
Popis |
Příklady požadavků xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxx xxxx veřejně xxxxxxxxx xxxx xxxx xxxxxx xx xxxxxxxxxx. Xxxxxxxx xxxxxxxxxx aktiv neohrožuje xxxxxxxxx xxxxx xxxxxxx xxxxx. X případě xxxxxxx xxxxxxxx aktiva x xxxxxxx stranami x xxxxxxx xxxxxxxxxxx xxxxx xxx. xxxxxxx xxxxx xxxxxxxxx (xxxx xxx "XXX") xx xxxxxxxxx xxxxxxxx XXX:XXXXX. |
Xxxx vyžadována xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxxxx veřejně xxxxxxxxx x xxxxx xxxx-xxx xxxxxxx xxxxx, xxxxxxx xxxxx není vyžadována xxxxxx právním xxxxxxxxx xxxx xxxxxxxx xxxxxxxxx. X xxxxxxx sdílení takového xxxxxx x třetími xxxxxxxx a xxxxxxx xxxxxxxxxxx podle XXX xx xxxxxxxxx xxxxxxx xxxxxxxx TLP:GREEN xxxx XXX:XXXXX. |
Xxx ochranu xxxxxxxxxx xxxx využívány prostředky xxx řízení přístupu. |
|
Xxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxxx xxxxxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx xxxx smluvními xxxxxxxxxx (xxxxxxxxx obchodní xxxxxxxxx, xxxxxx xxxxx). X xxxxxxx xxxxxxx xxxxxxxx xxxxxx s xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx TLP xx využíváno xxxxxxx xxxxxxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, které xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Přenosy xxxxxxxxx xxxxxxxxxxx xxxx jsou xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx x xxxxxxxx nadstandardní xxxx xxxxxxx xxx xxxxx xxxxxxxxx xxxxxxxxx (například xxxxxxxxxxx xxxxxxxx tajemství, xxxxxxxx xxxxxxxxx xxxxxxxx xxxxx). X případě xxxxxxx xxxxxxxx xxxxxx x xxxxxxx stranami a xxxxxxx xxxxxxxxxxx xxxxx XXX xx xxxxxxxxx xxxxxxx xxxxxxxx XXX:XXX xxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx využívány xxxxxxxxxx, xxxxx xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Xxxx xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx ze xxxxxx xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx xxxx xxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxx. 2: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx aktiva |
|
Nízká |
Aktivum xxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxx povinné xxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx může xxxxxxxxx xxxxxxx z hlediska xxxxxxxxx. Narušení xxxxxxxxx xxxxxx xxxx vést x xxxxxxxxx oprávněných xxxxx xxxxxxx xxxxx x xxxx xx xxxxxxxx méně xxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány xxxxxxxxxx xxxxxxxx (xxxxxxxxx xxxxxxx xxxxxxxxxxxx práv xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx vyžaduje xxxxxxx x xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx xxxxxx xxxx k xxxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx x xxxxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány speciální xxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx a xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxx. Ochrana integrity xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx prostředků. |
|
Kritická |
Aktivum xxxxxxxx xxxxxxx z xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx vede k xxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx zájmů povinné xxxxx x xxxxxxx x xxxxx xxxxxxx xxxxxx xx primární xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx xxxxxxxxx speciální xxxxxxxxxx jednoznačné xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx podpisu). |
Tab. 3: Xxxxxxxx xxx hodnocení xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx důležité x v xxxxxxx xxxxxxx xx xxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx pro nápravu (xxx do 1 xxxxx). |
Xxx ochranu dostupnosti xx postačující xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx nemělo xxxxxxxxx xxxx pracovního xxx, xxxxxxxxxxxxx xxxxxxx vede x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx a xxxxxx. |
|
Xxxxxx |
Xxxxxxxx dostupnosti xxxxxx xx nemělo překročit xxxx několika hodin. Xxxxxxxx xxxxxxx je xxxxx xxxxx xxxxxxxxxx, xxxxxxx vede x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx. Xxxxxx xxxx považována xx xxxxx xxxxxxxx. |
Xxx xxxxxxx dostupnosti xxxx xxxxxxxxx záložní systémy x obnova poskytování xxxxxx xxxx xxx xxxxxxxxx xxxxxx xxxxxxx xxxx výměnou xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx dostupnosti aktiva xxxx xxxxxxxxx x x xxxxxxxxxx nedostupnost (x řádu několika xxxxx) xxxx k xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx. Xxxxxx xxxx xxxxxxxxxx xx kritická. |
Pro xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxx služeb xx krátkodobá x xxxxxxxxxxxxxx. |
Příloha x. 2 x xxxxxxxx č. 82/2018 Sb.
Hodnocení xxxxx
(1) Xxxxxxxxxxx xxxxxxxxx xxxxxx xxx xxxxxx xxxxxx xx xxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx xxxxx §5.
(2) Xxxxxxx rizika xx xxxxxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxx xxxxx, xxxxxx a xxxxxxxxxxxx.
(3) Xxx hodnocení xxxxx xxx xxxxxx xxxxxxxxx tuto xxxxxx:
Xxxxxx = xxxxx x xxxxxx x xxxxxxxxxxxx.
(4) Xxxxx xx x xxxxx případě xxxxxxx x xxxxxxxxx xxxxx xxxxx přílohy č. 1.
(5) V xxxxxxx, xx xxxxxxx xxxxx xxxxxxx xxxxxx xxx xxxxxxxxx xxxxx, xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx, xx xxxxx stupnice xxx hodnocení xxxxxx x zranitelností xxxxxxx. Xxxxxxxx xxxxxxx xx xxxxxx xxxx ke xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx x xxxxxxxxxxxxx. Za xxxxx xxxxxx xxx xxxxxx xxxxxxxxx komentář, xxxxx xxxxxxxx xxxxxxx xxx xxxxxx xxxxxx, xxx x xxxxxx xxxxxxxxxxxxx. Xxxxxxx se xxxxxxxxx x v xxxxxxxxx, xxx povinná osoba xxxxxxx jiný xxxxx xxxxxx xxx hodnocení xxxxxx, xxxxxx, xxxxxxxxxxxxx x rizik.
Tab. 1: Xxxxxxxx xxx xxxxxxxxx xxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx nebo xx xxxx pravděpodobná. |
|
Xxxxxxx |
Xxxxxx xx málo xxxxxxxxxxxxx xx xxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx je xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. |
Xxx. 2: Xxxxxxxx xxx hodnocení xxxxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx xxxx xx xxxxxxxx zranitelnosti málo xxxxxxxxxxxxx. Xxxx xxxxxxxx xxxxxxxxxxxx opatření, která xxxx schopna xxxx xxxxxxxxx xxxxx zranitelnosti xxxx xxxxxxxx pokusy x jejich zneužití. |
|
Střední |
Zneužití xxxxxxxxxxxxx je xxxx xxxxxxxxxxxxx až pravděpodobné. Xxxx xxxxxxxx bezpečnostní xxxxxxxx, jejichž účinnost xx xxxxxxxxxx xxxxxxxxxxxx. Xxxxxxxxx bezpečnostních xxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx xxxxxxxx xxxxxx o překonání xxxxxxxx xx xxxxxxx. Xxxxxx známé xxxxx xxxxxxx xxxxxx x xxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx xx velmi pravděpodobné. Xxxxxxxxxxxx opatření jsou xxxxxxxx, xxx xxxxxx xxxxxxxx xxxxxxxxx všechny xxxxxxxx xxxxxxx x xxxx pravidelně kontrolována. Xxxx známé dílčí xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxx xx xxxxxx xxxxxxxx xxxxxx omezena. Neprobíhá xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Xxxx xxxxx xxxxxxx xxxxxx překonání xxxxxxxxxxxxxx opatření. |
Tab. 3: Xxxxxxxx xxx hodnocení xxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx xx xxxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx sníženo méně xxxxxxxxx opatřeními nebo x případě vyšší xxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxx xxxxxxxxxxx x xxxx být zahájeny xxxxxxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxxxxxxxx a xxxx xxx neprodleně xxxxxxxx xxxxx k xxxx xxxxxxxxxx. |
Xxxxxxx x. 3 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxxxxxx a xxxxxx
Xxxxxxxxxx: Xxxx příloha xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxxx a xxxxxx. Identifikace xxxxxxxxxxx xxxxxxxxxxxxx x hrozeb xx xxxxxxxxxxxx xxxxxxx xxxxx.
Xxxxxxxxxxxxx
1. xxxxxxxxxxxx údržba xxxxxxxxxxxx x komunikačního xxxxxxx,
2. xxxxxxxxxxx xxxxxxxxxxxx x komunikačního systému,
3. xxxxxxxxxxxx xxxxxxx vnějšího xxxxxxxxx,
4. xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
5. xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx a komunikačního xxxxxxx,
6. nevhodné xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
7. xxxxxxxxxxxx xxxxxxx xxx xxxxxxxxxxxxxx x odhalení xxxxxxxxxxx xxxxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx,
8. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx a administrátorů x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxx xxxx xxxxxxx xxxxxxx chování,
9. xxxxxxxxxxxx stanovení bezpečnostních xxxxxxxx, nepřesné nebo xxxxxxxxxxxxx xxxxxxxx práv x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx,
10. xxxxxxxxxxxx xxxxxxx xxxxx,
11. nevhodná xxxxxxxxxxxx xxxxxxxxxxxx,
12. xxxxxxxxxxxx xxxx xxxxxxxxx kontroly,
13. xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxx zaměstnanců.
Hrozby
1. xxxxxxxx bezpečnostní politiky, xxxxxxxxx neoprávněných xxxxxxxx, xxxxxxxx xxxxxxxxx xx xxxxxx uživatelů a xxxxxxxxxxxxxx,
2. xxxxxxxxx xxxx xxxxxxx technického anebo xxxxxxxxxxxx xxxxxxxx,
3. xxxxxxxx xxxxxxxx,
4. xxxxxxx programového xxxxxxxx x xxxxxxx x xxxxxxxxxx podmínkami,
5. xxxxxxxx xxx (xxxxxxxxx xxxx, xxxxxxx, xxxxxxx xxxx),
6. narušení fyzické xxxxxxxxxxx,
7. přerušení poskytování xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx dodávek xxxxxxxxxx xxxxxxx,
8. xxxxxxxx xxxx xxxxxxxxxxx modifikace xxxxx,
9. xxxxxx, xxxxxxxx xxxx xxxxxxxxx aktiva,
10. xxxxxxxxxx xxxxxxxxx xxxxxxx xx xxxxxx dodavatele,
11. xxxxxxxxx xx xxxxxx xxxxxxxxxxx,
12. xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,
13. dlouhodobé přerušení xxxxxxxxxxx xxxxxx elektronických xxxxxxxxxx, xxxxxxx xxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxx,
14. xxxxxxxxxx xxxxxxxxxxx x potřebnou xxxxxxxx xxxxxx,
15. xxxxxx xxxxxxxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxx,
16. xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxx,
17. napadení elektronické xxxxxxxxxx (odposlech, modifikace).
Příloha x. 4 x xxxxxxxx č. 82/2018 Sb.
Likvidace xxx
(1) Xxxx příloha xxxxx xxxxxxxxxx správce informačního x xxxxxxxxxxxxx xxxxxxx x definování způsobů xxxxxx xxx a xxxxxxx likvidace xxxxxxxxxxx xxxxxx xxxxxxxxx, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx.
(2) Xxxxxxxxxx xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx si xxxxxxx pravidla xxx xxxxxx xxx x xxxxxxxxx xxxxxxxxxxx xxxxxx xxx x xxxxxxx x xxxxx xxxxxxxx. Xxx xxxxxx xxxxxxx xxxxxxxxxx podle xxxxxx xxxxxxxx předpisů. Je xxxxx xxxxxx xxxxxxxxx xxxxxx xxxxxx nabízející xxxxxxxxx xxxxxxxxxxxx opatření, xxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxx xxx x xxxxxxxxx technických xxxxxx xxx, vzhledem x hodnotě x xxxxxxxxxxx xxxxx.
(3) Xxxxxxxx xxx xxxxxxxxx xxx xx xxxx být xxxxxxxxx xxxxxxxxx xxxxxxx x důležitosti xxxxx x měla by xxxxxxx xxxxxxxxxxx
x) xxxxxxx xxxxxx (zejména x xxxxxxx xxxxxxxxxx),
x) xxxxxxxxxxx (xxxx a velikost xxxxxx xxxxxxxxx),
x) xxx xx nosič xxxxxxxxx xxxxxxx xxx kontrolou xxxxxxxxxx či xxxxxxx,
x) xxx xxxx xxxx xxxxxxxx xxxxxxxxxxxx nebo xxxxxxxxxxxxxxx prostředí,
e) kdo xxxx xxxxxxxxx xxx xxxxxxxx (interní xxxxxxxxxxx, xxxx xxxxxxxxx),
x) xxxxxxxxxx xxxxxxxx a xxxxxxxx xxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxxx xxxxxx,
x) xxx xx k xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxxx x xxxxxxx xx xxxxxxxx, školení, xxxxxxxx, xxxxxxxx xxxxxxx xxxxxx xxxxxxxxx
x) xxxxx xxxxxxx likvidace xxx (xxxxxxxxx zničením xxxxxx, xxxxxxxxxxxxxxxx xxxxxxxxx nosiče xxx, xxxxxxxxxxxxx xxx xxxxxx šifrováním a xxxxxxx),
x) xxxxxxxxxx způsoby xxxxxxxxx xxx xxxxxxxx xx stavu xxxxxx xxxxxxxxx (xxxxxxxxx xxx xxxxxxxxx xxxxxxxx nebude xxxxx použít xxxxxxxx xxxxxxx informace, xxx xxxxxxx ze způsobů xxxxxxx xxxxxxxxx).
(4) Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxx, provozních xxxxx, xxxxxxxxx a jejich xxxxx:
x) Xxxxxxxxxx
1. Xxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxxx xxx xxx, xxx xxxx xxx xxxxxx xxxxxxxxxx (xxxxxxxxx xxxxxxxxxx xxxxxxxx souboru, xxxxxxxx xxxxxxxxx dokumentu xx xxxxxx).
2. Xxx x nejméně xxxxxxxx xxxxxx xxxxxxxxx xxx. X xxxxxxx xxxxxxx xxxxxx informace xx xxxxx s xxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxx xxxxxxx.
3. Xxxx metoda xxxx xxxxxxxxxx xxx xxxxxx digitálních xxx xxxxxxxxxxxx opětovný zápis.
4. Xxxxxxxxxx xxxxxx pro xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1): xxxxx.
x) Xxxxxxxx
1. Xxxxxx xxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxx informace xxxxxxxxxx xxxxxxxxx.
2. Xxx x xxxxxxx bezpečný xxxxxx xxxxxxxxx dat. Xxxxx dostupné xxxxxxxx xxxxxxxxxx xxxxxxxx přepsaných xxxxxxxxx.
3. Xxxxxxxx xxxx xxx xxxxxxxxx nebo xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxx.
4. Xxxx xxxxxx není xxxxxx xxx poškozená xxxxx, xxxxx xxxxxxxxxxxx opětovný xxxxx, xxxxxxxx xxx xxxxx s xxxxxx xxxxxxxxx.
5. Xxxxxxxxxx xxxxxx xxx úroveň xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1): xxxxx až xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx
1. Způsob xxxxxxxxx spočívající ve xxxxxxx xxxxxx xxxxxxxxx, xxxxxxxxx v xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx (xxxxxxxxxxx, xxxxxxxxx či xxxxxxxx působením).
2. Jde x xxxxxxxxxxxxxx xxxxxx xxxxxxxxx xxx. Xxxxx xxxxxxxxx xx fyzické xxxxxxxxx xxxxx znovu xxxxxx xxx původní xxxx. Xxxxxxx informace xxxx xxxxx xxxxxxx xxx xxx xxxxxxxxxx xxxxxxx xxxxxxxx prostředků x xxxxx.
3. Použitelný xxxxxx xxxxxxxxx pro xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1): xxxxxxx až xxxxxxxx.
Xxxxxxx xxxxxxx xxxxxxx likvidace xxxxx úrovně důvěrnosti xxxxxx (vychází x přílohy č. 1)
|
Xxxxxxxxx způsob xxxxxxxxx xxxxx xxxxxx xxxxxxxxxxx xxxxxx |
|||||
|
Xxxxx xxxxxxxxx |
1. Nízká |
2. Xxxxxxx |
3. Xxxxxx |
4. Kritická |
|
|
Informace xx lidsky xxxxxxxx xxxxxx (xxxxxxx dokumenty, xxxxxxxx a podobně) |
Odstranění: Xxxxxxxx xx xxxxxx. |
Xxxxxxxx: Xxxxxxxxx. |
Xxxxxxx likvidace: |
||
|
Xxxxxxx xxxxxxxxx: |
|||||
|
Xxxxxxx xxxxxxxx (xxxxxxx telefony, xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxx xxxxxxxx (xxxxxx, xxxxxx, xxxxx a xxxxxxx) |
Xxxxxxxxxx: |
Přepsání: |
|||
|
Xxxxxxxxxxx xxxxxxxx (xxxxxxx, xxxxxxxx, xxx) |
|||||
|
Xxxxxxxxxx xxxxx (xxxxxxxxxx xxxxx, xxxxx, XXX [Xxxx Disk Xxxxx]) |
Xxxxxxxxxx: |
Xxxxxxxx: |
|||
|
Xxxxxxx xxxxx (CD, XXX, XX-XXX, XXX-XXX) |
Xxxxxxx xxxxxxxxx: |
||||
|
Xxxxxxx xxxxxxxxx. |
|||||
|
Xxxxxxxxxxxx média (flash xxxxxx) |
|||||
|
Xxxxxxxxxxx a cloud |
Přípustný xxxxxx likvidace dat xx xxx xxx xxxxxxxx smluvním xxxxxxxxx. |
||||
|
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxxx: |
Přepsání/fyzická xxxxxxxxx: |
||
|
Xxxxxxxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xx xxxxx xxxx xx ukončení xxxxxx xxxxxxx. |
|||||
Xxxxxxx x. 5 x xxxxxxxx x. 82/2018 Xx.
Xxxxx xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx
1. Xxxxxxxxxxxx politika
1.1. Xxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx
x) Xxxx, xxxxxxxx x xxxxxxx xxxxxx xxxxxxxxxxx informací.
b) Xxxxxx x hranice xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx pro řízení xxxxxxxxxxx.
x) Pravidla x xxxxxxx pro xxxxxx xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx pro xxxxxxxxx xxxxxx kybernetické bezpečnosti.
f) Xxxxxxxx x xxxxxxx xxx přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx opatření x xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
1.2. Xxxxxxxx xxxxxx aktiv
a) Xxxxxxxxxxxx, xxxxxxxxx a xxxxxxxx xxxxxxxxxx aktiv
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx aktiv xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxxxxx důležitosti xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti.
b) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx aktiv
1. určení x xxxxxxxx jednotlivých xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxx xxxxx mezi xxxxxxxxxx x xxxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx xxxxx podle xxxxxx xxxxx,
3. přípustné xxxxxxx xxxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx xxx, xxxxxxxxx, xxxxxxxxxx údajů x xxxxxx kopií.
1.3. Politika xxxxxxxxxxx bezpečnosti
a) Xxxxxx xxxxxxxxxxxxxx xxxx x xxxxxx xxxx a xxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx rolí.
c) Xxxxxxxxx xx oddělení xxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxx.
1.4. Politika xxxxxx xxxxxxxxxx
x) Xxxxxxxx x xxxxxxxx xxx xxxxx xxxxxxxxxx.
x) Pravidla xxx xxxxxxxxx xxxxx xxxxxxxxxxxxx s xxxxxxxxxx.
x) Xxxxxxxxxxx smlouvy x xxxxxx služeb x xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření x x xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx dodavatelů.
1.5. Politika xxxxxxxxxxx xxxxxxxx xxxxxx
x) Xxxxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx a způsoby xxxx xxxxxxxxx
1. xxxxxxx x xxxxx xxxxxxx xxxxxxxxx,
2. xxxxxxx x xxxxx xxxxxxx garantů xxxxx,
3. xxxxxxx a xxxxx poučení administrátorů,
4. xxxxxxx x formy xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
b) Bezpečnostní xxxxxxx nových zaměstnanců.
c) Xxxxxxxx pro xxxxxx xxxxxxx xxxxxxxx bezpečnostní xxxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx pracovního xxxxxx nebo změnu xxxxxxxx xxxxxx
1. xxxxxxx xxxxxxxxx xxxxx a xxxxxxxx práv xxx xxxxxxxx xxxxxxxxxx xxxxxx,
2. xxxxx přístupových xxxxxxxxx xxx změně pracovní xxxxxx.
1.6. Xxxxxxxx xxxxxx xxxxxxx x komunikací
a) Xxxxxxxxx a xxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Požadavky x xxxxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx.
1.7. Xxxxxxxx xxxxxx xxxxxxxx
x) Princip xxxxxxxxxxx oprávnění/potřeba znát (xxxx xx xxxx).
x) Xxxxxxxxx xx řízení xxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxx xxxxxxxx.
x) Řízení xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx oprávnění včetně xxxxxxxxx jednotlivých xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx.
1.8. Xxxxxxxx bezpečného xxxxxxx xxxxxxxxx
x) Pravidla pro xxxxxxxx xxxxxxxxx s xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx.
x) Bezpečné xxxxxxx xxxxxxxxxxxx xxxxx x xxxxxxxx xx xxxxxxxx.
x) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Bezpečné chování xx xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx xx xxxxxx x mobilním xxxxxxxxx.
1.9. Xxxxxxxx xxxxxxxxxx x xxxxxx x xxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxxx xx xxxxxxxxxx a obnovu.
b) Xxxxxxxx a xxxxxxx xxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx dlouhodobého xxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx xxxxxx.
x) Xxxxxxxx x xxxxxxx testování xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx přístupu x xxxxxxx, ukládaným informacím.
1.10. Xxxxxxxx xxxxxxxxxx předávání x xxxxxx informací
a) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx využívání xxxxxxxxxxxxxx xxxxxxx.
1.11. Politika xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx
x) Xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx vybavení.
b) Xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx oprav xxxxxxxxxxxx vybavení.
d) Xxxxxxxx x xxxxxxx nasazení xxxxx xxxxxxxxxxxx vybavení.
1.12. Xxxxxxxx bezpečného používání xxxxxxxxx zařízení
a) Xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro zajištění xxxxxxxxxxx zařízení, xxxxx xxxxxxx osoba xxxx xx své správě.
1.13. Xxxxxxxx akvizice, vývoje x údržby
a) Xxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx, xxxxx x údržbu.
b) Xxxxxx xxxxxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx vybavení x xxxxxxxxx
1. xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx,
2. xxxxxxxx x xxxxxxx xxx xxxxxxxx dodržování licenčních xxxxxxxx.
1.14. Politika xxxxxxx xxxxxxxx xxxxx
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx osobních údajů.
b) Xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx ochranu xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx x provedených technických xxxxxxxx pro ochranu xxxxxxxx xxxxx.
1.15. Politika xxxxxxx xxxxxxxxxxx
x) Xxxxxxxx xxx xxxxxxx objektů.
b) Xxxxxxxx xxx xxxxxxxx xxxxxx osob.
c) Xxxxxxxx xxx ochranu zařízení.
d) Xxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxx.
1.16. Politika bezpečnosti xxxxxxxxxxx xxxx
x) Pravidla x xxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxx.
x) Xxxxxx práv a xxxxxxxxxx xx xxxxxxxx xxxxxx xxxx.
x) Pravidla x xxxxxxx xxx xxxxxx xxxxxxxx x xxxxx xxxx.
x) Pravidla x xxxxxxx pro xxxxxxx xxxxxxxxxx xxxxxxxx x síti.
e) Xxxxxxxx x postupy xxx xxxxxxxxxxxx xxxx a xxxxxxxxxxxxx provozních xxxxxxx.
1.17. Xxxxxxxx ochrany před xxxxxxxxx xxxxx
x) Xxxxxxxx x xxxxxxx pro xxxxxxx síťové xxxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx ochranu xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxx.
1.18. Politika xxxxxxxx x používání xxxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxx x postupy xxxxxxxx nástroje xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Provozní postupy xxx xxxxxxxxxxxxx x xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
1.19. Xxxxxxxx xxxxxxx a xxxxxx xxxxxxxx xxx xxxx a vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx pravidelné xxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxx sběr x xxxxxxxxxxx kybernetických bezpečnostních xxxxxxxx.
1.20. Xxxxxxxx bezpečného xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx
x) Xxxxxx xxxxxxx x xxxxxxx xx xxx x xxxx kryptografického xxxxxxxxx.
x) Xxxxxxxx kryptografické xxxxxxx informací
1. xxx xxxxxxx po xxxxxxxxxxxxx xxxxxx,
2. xxx xxxxxxx xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxx xxx.
x) Systém xxxxxx xxxxx.
1.21. Xxxxxxxx xxxxxx xxxx
x) Xxxxxx x xxxxxxxx řízení xxxxxxxxxx změn x xxxxx xxxxxxx xxxxx, xxxxxx xxxxxxxxx, xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxxxxxxx dopadů významných xxxx.
x) Xxxxxx xxxxxx xxxxxxxx a xxxxxxxxx xxxxxxxxxx xxxx.
1.22. Politika xxxxxxxx kybernetických bezpečnostních xxxxxxxxx
x) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxxxxxx, xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla a xxxxxxx xxx vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Evidence xxxxxxxxx.
1.23. Xxxxxxxx xxxxxx xxxxxxxxxx činností
a) Xxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxx řízení xxxxxxxxxx xxxxxxxx
1. minimální xxxxxx xxxxxxxxxxxxx xxxxxx,
2. xxxx xxxxxxxx xxxxx,
3. xxx xxxxxxxx dat.
c) Xxxxxxxx řízení xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxx kontinuity.
d) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů na xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxx rizik.
e) Určení x xxxxx xxxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxx plánů.
f) Xxxxxxx xxx xxxxxxxxx opatření xxxxxxxx Xxxxxx.
2. Xxxxx xxxxxxxxxxxx dokumentace
2.1. Zpráva x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) Xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Předmět xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx auditu kybernetické xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx týmu xxxxxxxx a osob, xxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx.
x) Xxxxx a xxxxx, xxx byly xxxxxxxxx xxxxxxxx xxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x auditu kybernetické xxxxxxxxxxx.
x) Xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
2.2. Xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxxxx opatření x xxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxxxxxx změn x xxxxxxxxx, xxxxx xxxxx xxx xxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxx x výkonnosti řízení xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x xxxxxxxx xxxxxxxx,
2. xxxxxxxx monitorování x xxxxxx,
3. výsledky auditu,
4. xxxxxxxx xxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxx xxxxx x xxxx plánu xxxxxxxx xxxxx.
x) Xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx xxxxxxxx x xxxx xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
2.3. Xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxx aktiv x pro hodnocení xxxxx
x) Určení xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxxxxxxx aktiv,
2. xxxxxx xxxxxxxx pro hodnocení xxxxxx xxxxxxxxx xxxxx,
3. xxxxxx stupnice xxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.
x) Xxxxxx stupnice xxx xxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx,
4. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxx.
x) Xxxxxx a xxxxxxxx xxx xxxxxxxx rizik.
d) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxx.
2.4. Xxxxxx x xxxxxxxxx xxxxx x xxxxx
x) Xxxxxxx xxxxxxxxxx xxxxx
1. identifikace x xxxxx xxxxxxxxxx aktiv,
2. xxxxxx garantů primárních xxxxx,
3. hodnocení xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, integrity x xxxxxxxxxxx.
x) Přehled xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx a xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxx xxxxx xxxx primárními a xxxxxxxxxx aktivy.
c) Hodnocení xxxxx
1. xxxxxxxxx xxxxxxx xxxxxx xx aktiva,
2. xxxxxxxxx xxxxxxxxxxxx hrozeb,
3. xxxxxxxxx existujících xxxxxxxxxxxxx, xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx této úrovně x kritérii xxx xxxxxxxxxxxxxxxx xxxxx,
5. xxxxxx x xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxx
1. xxxxx xxxxxxx zvládání xxxxx,
2. návrh xxxxxxxx x xxxxxx xxxxxxxxx.
2.5. Xxxxxxxxxx o xxxxxxxxxxxxxxxx
x) Xxxxxxx vyloučených xxxxxxxxxxxxxx xxxxxxxx požadovaných xxxxx xxxxxxxxx xxxxxx xxxxxxxxxx, xxxx nebyla xxxxxxxxxx.
x) Xxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx včetně xxxxxxx xxxxxx xxxxxxxxxxxx.
2.6. Plán xxxxxxxx xxxxx
x) Obsah x xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx rizik včetně xxxxx na konkrétní xxxxxx.
x) Potřebné xxxxxx xxx jednotlivá xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxx zajišťující xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Způsob xxxxxxxxx xxxxxxxxxxxxxx opatření.
f) Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx jednotlivých xxxxxxxxxxxxxx xxxxxxxx xxx zvládání xxxxx.
2.7. Xxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx bezpečnostní xxxx.
x) Obsah a xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx x seznam xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
x) Formy a xxxxxxx xxxxxxxxx plánu.
2.8. Xxxxxxxx xxxx
x) Xxxxxxxx xxxxxxxxx xxxxx významných xxxx.
x) Xxxxxxx o xxxxxxx konfigurace xxxxxxxxxx xxxxx.
2.9. Xxxxxxx kontaktní xxxxx
Xxxxxxx hlášených xxxxxxxxxxx xxxxx.
2.10. Přehled xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx předpisů x xxxxxxxxx xxxxxxx
x) Xxxxxxx xxxxxx xxxxxxxxx právních xxxxxxxx.
x) Přehled xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxx.
2.11. Xxxxx doporučená xxxxxxxxxxx
x) Xxxxxxxxx infrastruktury.
b) Xxxxxxx xxxxxxxx xxxxxxxx.
Xxxxxxx x. 6 x xxxxxxxx č. 82/2018 Sb.
Výbor pro xxxxxx kybernetické xxxxxxxxxxx x xxxxxxxxxxxx xxxx
Xxxx xxxxxxx xxxxxxxx popis xxxxxxxxxxxx požadavků xxx xxxxx xxx řízení xxxxxxxxxxxx bezpečnosti a xxxxxxxxxxxx role xxxxxxx x §6 x 7.
Xxx. 1: Výbor xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx činnosti: |
a) Xxxxxxxxxxx za xxxxxxx xxxxxx x rozvoj xxxxxxxxxxxx xxxxxxxxxxx v xxxxx povinné xxxxx. |
|
Další podmínky: |
a) Xxxx xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx xxxxxxx |
Xxx. 2: Xxxxxxx xxxxxxxxxxxx bezpečnosti
|
Role: |
Manažer xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx činnosti: |
a) Odpovědnost xx řízení systému xxxxxx xxxxxxxxxxx xxxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxx xxxx ISO/IEC 27000 a xxxxxxx xxxxx z xxxxxxx xxxxxxxxxxx a XXX. |
|
Xxxxxxxxxx: |
x) Prosazování xxxxxxx xxxxxx bezpečnosti xxxxxxxxx. |
|
Xxxxxxxx x praxe: |
a) Xxxxxxx 3 xxxx xxxxx v oboru xxxxxxxxxx nebo kybernetické xxxxxxxxxxx, xxxx |
|
Relevantní xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Xxxxxxxx Xxxxxxx (XXXX), Xxxxxxxxx xx Xxxx xxx Xxxxxxxxxxx Systems Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Xxxxxxxx Xxxxxxxxxxxx (XXXXX), Manažer BI (xxxxxxxxxxx xxxxxx ČIA). |
|
Další xxxxxxxx: |
x) Xxxx xxxx xxxxxxxxxx s xxxxxx xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x s xxxxxxx xxxxxxxxxx xx xxxxxxxx xxxxxx. |
Xxx. 3: Xxxxxxxxx kybernetické xxxxxxxxxxx
|
Xxxx: |
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxxx xxxxxxxxxxxx x komunikačních xxxxxxx x její xxxxxxxxxx. |
|
Zkušenosti: |
a) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx x praxe: |
a) Xxxxxxx 3 xxxx xxxxx v xxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxx |
|
Relevantní xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxx Hacker (XXX), XxxxXXX Xxxxxxxx +, Xxxxxxxxx Xxxxxxxxxxx Xxxxxxxx Xxxxxxx (XXXX), Xxxxxxxxx xx Xxxx xxx Information Xxxxxxx Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Xxxxxxxx Xxxxxxxxxxxx (XXXXX), Xxxxxxx XX (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx podmínky: |
Role není xxxxxxxxxx x xxxxxx xxxxxxxxxxx za xxxxxx xxxxxxxxxxxx x komunikačních xxxxxxx. |
Xxx. 4: Auditor xxxxxxxxxxxx bezpečnosti
|
Role: |
Auditor kybernetické xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
Xxxxxxxxx auditu xxxxxxxxxxxx bezpečnosti. |
|
Znalosti: |
a) Xxxxxxxxxxx x rámce xxxxxx xxxxxxxxxx xxxxxxxxxxx. |
|
Zkušenosti: |
a) Xxxxxxxxx xxxxxx informační xxxx xxxxxxxxxxxx bezpečnosti. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 roky xxxxx v xxxxxxx xxxxxx informační xxxx xxxxxxxxxxxx bezpečnosti, xxxx |
|
Xxxxxxxxxx certifikace*: |
Certified Xxxxxxxxxxx Systems Xxxxxxx (XXXX), Certified Xxxxxxxx Xxxxxxx (XXX), Xxxxxxxxx xx Xxxx xxx Xxxxxxxxxxx Xxxxxxx Control (XXXXX), Xxxx Xxxxxxx Xxxxxxxxxxx Xxxxxxxx Xxxxxxxxxx Xxxxxx (Xxxx Auditor XXXX), Auditor XX (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
x) Role xxxx xxxxxxxxxx s xxxxxx |
Tab. 5: Xxxxxx xxxxxx
|
Xxxx: |
Xxxxxx aktiva |
|
Klíčové xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxxxxx rozvoje, xxxxxxx x bezpečnosti aktiva. |
|
Xxxxxxxx: |
x) Xxxxx znalost xxxxxx, xxxxx xx xxxxxxxx. |
* Xxxxxxxxxxx xxxx xxx x jiná xxx xxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx odbornou xxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx XXX 17 024.
Xxxxxxx x. 7 x xxxxxxxx x. 82/2018 Xx.
Xxxxxx dodavatelů - bezpečnostní xxxxxxxx xxx xxxxxxx xxxxxx
Xxxxx xxxxxxx uzavírané s xxxxxxxxxx xxxxxxxxxx:
x) xxxxxxxxxx x bezpečnosti xxxxxxxxx (x xxxxxxx důvěrnosti, xxxxxxxxxxx x xxxxxxxxx),
x) xxxxxxxxxx x oprávnění xxxxxx xxxx,
x) xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxx x xxxxxxxxxxxx licencích,
d) xxxxxxxxxx x xxxxxxxx x xxxxxx dodavatele (xxxxxxxx xxxxxxxxxxxx xxxxxx),
x) xxxxxxxxxx xxxxxxxxxx řetězení xxxxxxxxxx, xxxxxxx musí xxx xxxxxxxxx, že poddodavatelé xx zaváží xxxxxxxxx x xxxxx xxxxxxx xxxxxxxx mezi povinnou xxxxxx x xxxxxxxxxxx x nebudou x xxxxxxx x xxxxxxxxx xxxxxxx xxxxx xx xxxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx dodavatele xxxxxxxxx xxxxxxxxxxxx politiky xxxxxxx xxxxx nebo ustanovení x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxxxx x xxxxxx změn,
h) ustanovení x xxxxxxx xxxxx x obecně xxxxxxxxx xxxxxxxx xxxxxxxx,
x) ustanovení x xxxxxxxxxx dodavatele xxxxxxxxxx xxxxxxxx xxxxx x
1. kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxx,
2. xxxxxxx xxxxxx xxxxx xx xxxxxx xxxxxxxxxx x x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx s plněním xxxxxxx,
3. xxxxxxxx xxxxx xxxxxxxx tohoto dodavatele xxxxx zákona o xxxxxxxxxx xxxxxxxxxxx nebo xxxxx xxxxxxxxxxx xxxxxxxxx xxxxx, xxxxxxxxx xxxxx xxxxxxxxx xxxxxxxx s xxxxxx xxxxxx, xxxxxxxxxxx xxxxx xxxxxxxxxxx k xxxxxx xxxxx xxxxxxx xx xxxxxxxx,
x) specifikace xxxxxxxx z xxxxxxx xxxxxxxxxxx xxx xxxxxxxx xxxxxxx (například přechodné xxxxxx xxx xxxxxxxx xxxxxxxxxx, xxx je xxxxx xxxxx xxxxxxxx xxxxxx před xxxxxxxxx xxxxxx řešení, xxxxxxx xxx x xxxxxxx),
x) xxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxx činností x xxxxxxxxxxx x xxxxxxxxxx (xxxxxxxxx zahrnutí xxxxxxxxxx xx havarijních xxxxx, xxxxx dodavatelů xxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx),
x) specifikace xxxxxxxx xxx formát xxxxxxx dat, xxxxxxxxxx xxxxx a xxxxxxxxx xx vyžádání správcem,
m) xxxxxxxx xxx xxxxxxxxx xxx,
x) xxxxxxxxxx x xxxxx jednostranně xxxxxxxxx xx xxxxxxx v xxxxxxx xxxxxxxx změny xxxxxxxx nad xxxxxxxxxxx xxxx xxxxx kontroly xxx zásadními aktivy xxxxxxxxxxx xxxxxxxxxxx k xxxxxx podle xxxxxxx x
x) xxxxxxxxxx x xxxxxxxx za porušení xxxxxxxxxx.
Xxxxxxx č. 8 x xxxxxxxx x. 82/2018 Xx.
Xxxx Xxxxxxxxx xxx xxxxxxx kontaktních xxxxx
Xxxxxxxxx
Xxxxxx předpis č. 82/2018 Xx. xxxxx xxxxxxxxx xxxx 28.5.2018.
Ke xxx uzávěrky xxxxxx xxxxxxx xxxxx xxxxx xx xxxxxxxxx.
Xxxxxx xxxxxxx x. 82/2018 Sb. xxx zrušen xxxxxxx xxxxxxxxx č. 264/2025 Sb. x xxxxxxxxx xx 1.11.2025.
Xxxxx xxxxxxxxxxxx xxxxxxxx norem xxxxxx právních xxxxxxxx x xxxxxxxx není xxxxxxxxxxxxx, xxxxx se xxxx xxxxxx xxxxxxxxx xxxxx shora uvedeného xxxxxxxx xxxxxxxx.
1) Xxxxxxxx Evropského xxxxxxxxxx x Xxxx (XX) 2016/1148 xx xxx 6. xxxxxxxx 2016 x xxxxxxxxxx x xxxxxxxxx vysoké xxxxxxxx xxxxxx xxxxxxxxxxx xxxx x xxxxxxxxxxxx xxxxxxx x Xxxx.