Právní předpis byl sestaven k datu 15.09.2025.
Zobrazené znění právního předpisu je účinné od 28.05.2018 do 31.10.2025.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
82/2018 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení aktiv §4
Řízení rizik §5
Organizační bezpečnost §6
Bezpečnostní role §7
Řízení dodavatelů §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení změn §11
Řízení přístupu §12
Akvizice, vývoj a údržba §13
Zvládání kybernetických bezpečnostních událostí a incidentů §14
Řízení kontinuity činností §15
Audit kybernetické bezpečnosti §16
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §17
Bezpečnost komunikačních sítí §18
Správa a ověřování identit §19
Řízení přístupových oprávnění §20
Ochrana před škodlivým kódem §21
Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů §22
Detekce kybernetických bezpečnostních událostí §23
Sběr a vyhodnocování kybernetických bezpečnostních událostí §24
Aplikační bezpečnost §25
Kryptografické prostředky §26
Zajišťování úrovně dostupnosti informací §27
Průmyslové, řídicí a obdobné specifické systémy §28
Digitální služby §29
HLAVA III - BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní politika a bezpečnostní dokumentace §30
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Kategorizace kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ZÁVĚREČNÁ USTANOVENÍ
Přechodná ustanovení §35
Zrušovací ustanovení §36
Účinnost §37
Příloha č. 1 - Hodnocení aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Zranitelnosti a hrozby
Příloha č. 4 - Likvidace dat
Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace
Příloha č. 6 - Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role
Příloha č. 7 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy
Příloha č. 8 - Vzor Formuláře pro hlášení kontaktních údajů
82
XXXXXXXX
xx xxx 21. xxxxxx 2018
o bezpečnostních xxxxxxxxxx, kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx opatřeních, xxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx dat (xxxxxxxx o kybernetické xxxxxxxxxxx)
Xxxxxxx xxxx xxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx stanoví xxxxx §28 xxxx. 2 xxxx. x) až x) x x) xxxxxx x. 181/2014 Xx., x xxxxxxxxxxxx xxxxxxxxxxx x x xxxxx souvisejících xxxxxx (xxxxx x kybernetické xxxxxxxxxxx), ve xxxxx xxxxxx x. 104/2017 Xx. x xxxxxx x. 205/2017 Xx., (xxxx jen "xxxxx"):
XXXX PRVNÍ
ÚVODNÍ XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxx xxxxxxxx zapracovává xxxxxxxxx předpis Xxxxxxxx xxxx1) x xxx xxxxxxxxxx xxxxxx kritické xxxxxxxxxx infrastruktury, xxxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxx xxxxxxxxxx xxxxxx, informační xxxxxx xxxxxxxx xxxxxx xxxxx xxxxxxxxxx systém xxxx xxx elektronických xxxxxxxxxx, xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, (dále xxx "xxxxxxxxxx a xxxxxxxxxxx xxxxxx") upravuje
a) xxxxx a strukturu xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxx x rozsah xxxxxxxxxxxxxx xxxxxxxx,
x) xxxx, xxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx,
x) xxxxxxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx,
x) vzor xxxxxxxx xxxxxxxxxxx údajů x xxxx xxxxx a
g) xxxxxx xxxxxxxxx xxx, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx.
§2
Xxxxxxxx xxxxx
Xxx xxxxx xxxx vyhlášky xx xxxxxx
x) xxxxxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxxx, xxxxxx, xxxxxxx, xxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxxxx rizikem riziko, xxxxx je xxxxxxxxxx xxx xxxxx xxxx xxxxx, které xxxx xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx zákona, (xxxx xxx "xxxxxxx xxxxx") x xxxx xxxxx xxx xxxxxxx xxxxxx dalších bezpečnostních xxxxxxxx,
x) xxxxxxxxxxxx politikou xxxxxx xxxxx a xxxxxxxx, xxxxx xxxxxx xxxxxx zajištění ochrany xxxxx,
x) xxxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxxx, xxxxxxx x vyhodnocení xxxxx,
x) xxxxxxx potenciální xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxx kybernetického xxxxxxxxxxxxxx incidentu, která xxxx způsobit xxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, zaměstnanci x xxxxxxxxxx podílející xx xx provozu, xxxxxxx, xxxxxx nebo xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) primárním xxxxxxx xxxxxxxxx xxxx služba, xxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxx, že xxxxxx xxxxxx využije xxxxxxxxxxxxx xxxxxx x způsobí xxxxx,
x) řízením rizik xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx, xxxxx x xxxxxxxx opatření xx xxxxxxxx rizik, xxxxxxx xxxxxxxxx o xxxxxx x sledování x xxxxxxxxxxx xxxxx,
x) systémem xxxxxx xxxxxxxxxxx informací xxxx systému xxxxxx xxxxxxx xxxxx xxxxxxxx xx xxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému, která xxxxxxx xxxxxx ustavení, xxxxxxxx, xxxxxxxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx informací x xxx,
x) xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x programové vybavení xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x objekty, xx kterých xxxx xxxx xxxxxxx xxxxxxxx, xxxxxxx selhání může xxx dopad na xxxxxxxxxx a xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx osoba xxxxx xxxxx veřejné xxxx, které xxxxxxxxx xxxxxx,
x) xxxxxxxxxx vedením xxxxx xxxx xxxxxxx xxxx, xxxxx xxxx xxxxxxxx xxxxx, xxxx xxxxxxxxxx xxxxx xxxxxxx xxxxx,
x) významným dodavatelem xxxxxxxxxxxx informačního xxxx xxxxxxxxxxxxx systému (dále xxx "xxxxxxxxxxxx") x xxxxx, kdo x xxxxxxxx xxxxxx xxxxxxxx xx xxxxxxxx xxxxxx, xxxxx je xxxxxxxx x hlediska bezpečnosti xxxxxxxxxxxx x komunikačního xxxxxxx,
x) významnou změnou xxxxx, která xx xxxx xxxx xxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxx a představuje xxxxxx riziko,
p) xxxxxxxxxxxxx xxxxx místo xxxxxx xxxx xxxxx xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxx xxxxxxxx xxxxxx xxxx xxxx xxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx xxxxxx xxxxxxxxxxx informací
Povinná xxxxx x rámci xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx x ohledem xx požadavky xxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xx xxxxxx xxxx xxxxxxxxxxx xxxxx a xxxxxx, xxxxx se xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx týká,
b) xxxxxxx xxxx systému řízení xxxxxxxxxxx informací,
c) xxx xxxxxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxxxxx cílů xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxxxxxxxxxxx xxxxxx x xxxxxxxxx rizik xxxxxx přiměřená bezpečnostní xxxxxxxx,
x) xxxx rizika xxxxx §5,
x) vytvoří x schválí xxxxxxxxxxxx xxxxxxxx x oblasti xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, která obsahuje xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx potřeby, práva x povinnosti ve xxxxxx k řízení xxxxxxxxxxx xxxxxxxxx, a xx xxxxxxx xxxxxxxxxxxxxx xxxxxx a výsledků xxxxxxxxx rizik xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxx xxxxxxxxx podle §30 a xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx x komunikačního xxxxxxx (xxxx jen "xxxxx kybernetické xxxxxxxxxxx") xxxxx §16,
g) xxxxxxx xxxxxxxxxx xxxxxxxxxxxxx účinnosti xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx obsahuje xxxxxxxxx xxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx revize xxxxxxxxx xxxxx, xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx x dopadů xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx x následně xxxxx §11 xxxx xxxxxxxx změny, které xxxxx xx xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxxxx xxxxxx xxxxxx bezpečnosti informací x xxxxxxxxxx xxxxxxxxxxx xx xxxxxxx zjištění xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx xxxxxxxxxxx účinnosti xxxxxxx řízení bezpečnosti xxxxxxxxx x v xxxxxxxxxxx x prováděnými xxxxxxxxxx xxxxxxx x
x) xxxx provoz x xxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx činnosti xxxxxxx xx xxxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx.
§4
Xxxxxx aktiv
(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxx
x) stanoví xxxxxxxx pro xxxxxxxxxxxx xxxxx,
x) stanoví xxxxxxxx xxx xxxxxxxxx aktiv xxxxxxx x xxxxxxx xxxxxxxx x příloze č. 1 x xxxx xxxxxxxx,
x) xxxxxxxxxxxx x eviduje xxxxxx,
x) xxxx x xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx x xxxxxxx xxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxx, integrity x xxxxxxxxxxx x xxxxxx je xx xxxxxxxxxxxx xxxxxx xxxxx xxxxxxx x),
x) xxxx x eviduje xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx aktivy a xxxxxxx důsledky závislostí xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxxx xxxxxx a xxxxxxxxxx přitom zejména xxxxxxxx xxxxxxxxxx xxxxx xxxxxxx x),
x) xx xxxxxxx xxxxxxxxx xxxxx xxxxxxxxx x xxxxxx xxxxxxxx ochrany xxxxx xxx xxxxxxxxxxx jednotlivých xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx x pravidla xxx xxxxxxxxxx s xxxxxx s xxxxxxx xx xxxxxx aktiv, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx sdílení x xxxxxxx přenášení xxxxx, a
j) xxxx xxxxxx xxxxxxxxx xxx, xxxxxxxxxx xxxxx, informací x xxxxxx xxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxx x xxxxxxx xx úroveň xxxxx v xxxxxxx x přílohou č. 4 k xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx xxxxxxxxxxx primárních xxxxx xx xxxxx xxxxxxxx xxxxxxx
x) xxxxxx x xxxxxxxxxx xxxxxxxx xxxxx, zvláštních xxxxxxxxx xxxxxxxx údajů nebo xxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxx xxxxxxxx povinností xxxx xxxxxx xxxxxxx,
x) xxxxxx narušení xxxxxxxxx xxxxxxxx x kontrolních xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, xxxxxxxxxx xxxx ekonomických xxxxx x xxxxx xxxxxxxx xxxxxx,
x) xxxxxx xx poskytování důležitých xxxxxx,
x) rozsah xxxxxxxx xxxxxxx xxxxxxxx,
x) xxxxxx xx xxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx xxxxx xxxxxxx,
x) dopady xx xxxxxxxxxx x xxxxxx xxxx,
x) xxxxxx xx mezinárodní vztahy x
x) xxxxxx xx xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
§5
Řízení xxxxx
(1) Povinná xxxxx x xxxxx xxxxxx xxxxx v xxxxxxxxxx xx §4
x) xxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx, xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxxxxx xxxxx,
x) s xxxxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxxxxxxx; xxxxxx xxxxxxx zejména xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxxx x příloze č. 3 x této xxxxxxxx,
x) xxxxxxx hodnocení xxxxx x pravidelných intervalech xxxxx odstavce 2 x xxx xxxxxxxxxx xxxxxxx,
x) při hodnocení xxxxx zohlední xxxxxxxxxx xxxxxx a zranitelnosti x xxxxxxx xxxxx xxxxxx xx xxxxxx; xxxx xxxxxx xxxxxxx xxxxxxx x xxxxxxx přílohy č. 2 x xxxx xxxxxxxx,
x) xxxxxxxx zprávu x xxxxxxxxx xxxxx,
x) xxxxxxxx xx základě xxxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx obsahuje xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx, která
1. xxxxxx aplikována, včetně xxxxxxxxxx,
2. xxxx xxxxxxxxxx, xxxxxx xxxxxxx plnění,
g) xxxxxxxx x xxxxxx xxxx xxxxxxxx xxxxx, xxxxx xxxxxxxx xxxx x xxxxxxx bezpečnostních xxxxxxxx xxx zvládání xxxxxxxxxxxx xxxxx, určení xxxxx zajišťující xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, technické, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxx xxxxxx xxxxxxxx, xxxxx xxxxx mezi xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxx xxxxxxxxx xxxxx x x xxxxx xxxxxxxx rizik xxxxxxxx
1. významné xxxxx,
2. xxxxx rozsahu xxxxxxx xxxxxx bezpečnosti informací,
3. xxxxxxxx xxxxx §11 xxxxxx x
4. kybernetické xxxxxxxxxxxx xxxxxxxxx, včetně xxxxx řešených, a
i) x xxxxxxx x xxxxxx zvládání xxxxx xxxxxx xxxxxxxxxxxx opatření.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x x) xxxxxx xxxxxxx xxxxxxxxx xxxxx alespoň xxxxxx xxxxx a xxxxxxx xxxxx uvedená x §3 xxxx. x) xxxxxx alespoň xxxxxx za xxx xxxx.
(3) Řízení rizik xxxx xxx xxxxxxxxx x xxxxxx xxxxxxx, xxx jak xx xxxxxxxxx v odstavci 1 písm. x), xxxxx povinná xxxxx xxxxxxxxx, xx použitá xxxxxxxx zajistí xxxxxxx xxxx xxxxx xxxxxx xxxxxxx xxxxxx rizik.
§6
Xxxxxxxxxxx xxxxxxxxxx
(1) Xxxxxxx xxxxx x ohledem xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx xxxxxxxxx bezpečnostní xxxxxxxx x xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx §3 xxxxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx informací xx xxxxxxx povinné xxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx pro systém xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxx o xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx dosažení shody x xxxx xxxxxxxxx xx všemi xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxx x xxxxxxxx zamýšlených xxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxxxxx x rozvíjení xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx informací x xxxxxxxxx xx xxx xxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxxxxx zlepšování systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx osoby xxxxxxxxxxx xxxxxxxxxxxx xxxx xxx xxxxxxxxxxx kybernetické xxxxxxxxxxx x xxxxxxxxx jejich xxxxxxxxxxxx,
x) zajistí xxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx a xxxx, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx role,
j) xxxxxxx, xxx byla xxxxxxxxx xxxxxxxxxxx administrátorů x xxxx zastávajících xxxxxxxxxxxx xxxx,
x) xxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx role xxxxxxx příslušné pravomoci x xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx jejich xxxx x plnění souvisejících xxxxx x
x) zajistí xxxxxxxxx xxxxx kontinuity xxxxxxxx, xxxxxx x xxxxxxx spojených xx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx x xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx xxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxx a jejich xxxxx x xxxxxxxxxx xxxxxxxxxxx se xxxxxxxx xxxxxx xxxxxxxxxxx informací.
(3) Xxxxxxx xxxxx uvedená x §3 písm. x), d) x x) zákona xxxx xxxxx, xxxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx kybernetické bezpečnosti,
c) xxxxxxx xxxxxx x
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxx osoba xxxxxxx x §3 xxxx. x) zákona xxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxxxxx xxxxxx. Xxxxxxx xxxxxxxxxxxx xxxx podle odstavce 3 určí xxxxxxxxx xxxxxxxx x rozsahu x potřebám systému xxxxxx bezpečnosti informací.
(5) Xxxxxxx osoba xxxxxxx x §3 xxxx. x), x) a x) zákona xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx rolí xxxxxxxxx v xxxxxxxx 3 písm. x) x b).
(6) Xxxxxxx xxxxx xxxxxxx x §3 písm. x) xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxx role xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(7) Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxx xxxxxxx x příslušnými xxxxxxxxxxx a odbornou xxxxxxxxxxxx xxx xxxxxxx xxxxxx x rozvoj xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xx xxxxxxxxxxxx xx xxxxxx x xxxxxxxxxx xxxxxxxx spojených x xxxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxx musí xxx alespoň xxxxx xxxxxxxx vrcholového xxxxxx xxxx xxx xxxxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx bezpečnosti. Xxxxxxx xxxxx x výboru xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx přihlédne x xxxxxxxxxxx xxxxxxxx v příloze č. 6 x této xxxxxxxx.
§7
Xxxxxxxxxxxx role
(1) Xxxxxxx xxxxxxxxxxxx bezpečnosti
a) je xxxxxxxxxxxx xxxx xxxxxxxxx xx systém xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxx xxxx xxxx být xxxxxxxx xxxxx, která je xxx xxxx xxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxx způsobilost xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx x xxxxxxx bezpečnosti xxxxxxxxx
1. xx dobu nejméně xxx let, xxxx
2. xx xxxx xxxxxxx xxxx, xxxxx xxxxxxxxxxx xxxxxxx xx xxxxxx xxxxx,
x) xxxxxxxx xx xxxxxxxxxx informování xxxxxxxxxxx xxxxxx o
1. činnostech xxxxxxxxxxxxx x xxxxxxx xxxx xxxxxxxxxxxx x
2. xxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx a
c) xxxxx xxx xxxxxxx xxxxxxx rolí xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx.
(2) Xxxxxxxxx kybernetické xxxxxxxxxxx xx xxxxxxxxxxxx xxxx xxxxxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx, xxx xxxx zajištěna xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx, přičemž xxxxxxx xxxx role xxxx xxx xxxxxxxx xxxxx, která xx xxx tuto xxxxxxx xxxxxxxxx a prokáže xxxxxxxx způsobilost praxí x navrhováním implementace xxxxxxxxxxxxxx opatření a xxxxxxxxxxxx xxxxxxxxxxxx bezpečnosti
a) xx xxxx xxxxxxx xxx xxx, xxxx
x) xx xxxx jednoho xxxx, xxxxx xxxxxxxxxxx xxxxxxx xx xxxxxx xxxxx.
(3) Xxxxxx xxxxxx xx xxxxxxxxxxxx role xxxxxxxxx xx xxxxxxxxx xxxxxxx, použití x xxxxxxxxxx aktiva.
(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxxxxxxxxxx xxxx odpovědná xx provádění xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx této role xxxx xxx xxxxxxxx xxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxxx praxí x xxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx nebo xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací
1. xx xxxx nejméně tří xxx, xxxx
2. po xxxx xxxxxxx xxxx, xxxxx xxxxxxxxxxx xxxxxxx xx xxxxxx xxxxx,
x) xxxxxxxx, xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxx, x
x) xxxxx být xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxx.
(5) Xxxxxxx xxxxx xxx určování xxxx xxxxxxxxxxxxx bezpečnostní xxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx v příloze č. 6 x této vyhlášce.
§8
Řízení xxxxxxxxxx
(1) Povinná xxxxx
x) stanoví xxxxxxxx xxx xxxxxxxxxx, xxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxx xxxxx xxxxxxxxxx dodavatelů,
c) prokazatelně xxxxxxx xxxxxxxxx xxx xxxxxxxx xxxxxxxxxx o xxxxxx evidenci podle xxxxxxx b),
d) xxxxxxxxx xxx dodavatele x xxxxxxxx podle xxxxxxx x) x vyžaduje xxxxxx xxxxxx pravidel,
e) xxxx rizika xxxxxxx x xxxxxxxxxx,
x) x xxxxxxxxxxx x xxxxxxx xxxxx xxxxxxxxx s xxxxxxxxxx xxxxxxxxxx xxxxxxx, xxx smlouvy xxxxxxxxx x významnými dodavateli xxxxxxxxxx xxxxxxxxxx oblasti xxxxxxx x příloze č. 7 x této xxxxxxxx, x
x) pravidelně xxxxxxxxxxx xxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx x významných xxxxxxxxxx dále
a) v xxxxx xxxxxxxxxx xxxxxx x xxxx xxxxxxxxx xxxxxxx xxxxxxx hodnocení xxxxx xxxxxxxxxxxxx s xxxxxxx xxxxxxxx výběrového xxxxxx xxxxxxxxx podle přílohy č. 2 x xxxx xxxxxxxx,
x) v xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x určí xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xx xxxxxxxx x xxxxxxxx bezpečnostních xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxx kontrolu xxxxxxxxxx xxxxxxxxxxxxxx opatření x xxxxxxxxxxxxx xxxxxx pomocí xxxxxxxxx zdrojů xxxx xxxxxx xxxxx strany x
x) x xxxxxx xx rizika x xxxxxxxx xxxxxxxxxx zajistí xxxxxx xxxxxx.
(3) Xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 1 xxxx. x) jsou
a) xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) identifikace xxxxxxxxxx dodavatele,
d) vyrozumění x xxxxxxxxxxx, xx xxxxxxxxx xx xxx xxxxxxx xxxxxxxxx dodavatelem, x xxxxxxxxx xxxx x xxx, xx xxxxxxxx dodavatel je xxxxxxx provozovatelem, a
e) xxxxx pravidel podle xxxxxxxx 1 xxxx. x).
(4) Povinná xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona, xxxxx xx xxxxxxxxxxxxxx x xxxx prokazatelně xxxxxxxxxxx xxxxx odstavce 1 xxxx. x), hlásí xxxxxxxxx xxxxx formou xxxxxxxx v §34.
§9
Bezpečnost xxxxxxxx xxxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx bezpečnosti xxxxxxxx zdrojů
a) x xxxxxxx xx stav x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx plán rozvoje xxxxxxxxxxxxxx xxxxxxxx, jehož xxxxx je xxxxxxxx xxxxxxxxxxxx vzdělávání a xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x který obsahuje xxxxx, xxxxx x xxxxxx
1. xxxxxxx uživatelů, xxxxxxxxxxxxxx, osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx a xxxxxxxxxx o xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx xxxxxxxx x
2. xxxxxxxxxx xxxxxxxxxxxx i xxxxxxxxxxx školení uživatelů, xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx bezpečnostní xxxx,
x) xxxx osoby odpovědné xx realizaci xxxxxxxxxxxx xxxxxxxx, které xxxx x xxxxx xxxxxxx,
x) x xxxxxxx x xxxxxx xxxxxxx bezpečnostního xxxxxxxx zajistí xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x dodavatelů x xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx politice xxxxxx xxxxxxxxx a xxxxxxxxxxxx xxxxxxx,
x) xxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx x souladu x plánem rozvoje xxxxxxxxxxxxxx xxxxxxxx zajistí xxxxxxxxxx xxxxxxx xxxxxxx, xxxxxxx vychází z xxxxxxxxxx potřeb xxxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx bezpečnosti,
e) v xxxxxxx x xxxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxx x ověřování xxxxxxxxxxxxxx xxxxxxxx zaměstnanců x xxxxxxx x xxxxxx xxxxxxxx náplní,
f) xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx strany xxxxxxxxx, administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) x případě xxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxxx a xxxxxxx xxxxxxxxxxxxx bezpečnostní xxxx zajistí xxxxxxx xxxxxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxxxxx školení x xxxxxxx činností xxxxxxxxx se xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
x) xxxx xxxxxxxx a xxxxxxx xxx xxxxxx xxxxxxx porušení xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx ze xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx role.
(2) Povinná xxxxx vede o xxxxxxx xxxxx odstavce 1 přehledy, xxxxx xxxxxxxx xxxxxxx xxxxxxx x xxxxxx osob, xxxxx školení absolvovaly.
§10
Xxxxxx xxxxxxx x xxxxxxxxxx
(1) Povinná xxxxx x xxxxx řízení xxxxxxx x komunikací xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx a xxxxxxx, xxxxx xxxxxxxx xxxxxxx
x) xxxxx x xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) postupy xxx xxxxxxxx a xxxxxxxx xxxxx xxxxxxx, xxx xxxxxxx nebo xxxxxxxx xxxxx xxxxxxx xx xxxxxxx x xxx ošetření chybových xxxxx nebo xxxxxxxxxxx xxxx,
x) postupy pro xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x opatření xxx ochranu xxxxxxxx x záznamům x xxxxxx xxxxxxxxxx,
x) pravidla x postupy xxx xxxxxxx před škodlivým xxxxx,
x) řízení xxxxxxxxxxx xxxxxxxxxxxxx,
x) spojení xx xxxxxxxxx xxxxx, xxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxx x technické xxxxxxx,
x) xxxxxxx řízení x xxxxxxxxxxx provozních xxxx,
x) postupy xxx xxxxxxxxx, xxxxxxxxx a xxxxxx xxxxxxxx lidských x xxxxxxxxxxx zdrojů,
i) xxxxxxxx a xxxxxxx xxx xxxxxxx informací x dat x xxxxxxx celého xxxxxxxxx xxxxx,
x) pravidla a xxxxxxx xxx instalaci xxxxxxxxxxx aktiv,
k) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxx x
x) xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx.
(2) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxx pravidla x xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 1 x xxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx v xxxxxxxxxxx s xxxxxxxxxxx xxxx plánovanými xxxxxxx.
(3) Xxxxxxx osoba xxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxx.
§11
Xxxxxx xxxx
(1) Povinná xxxxx v xxxxx xxxxxx xxxx u xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) přezkoumává xxxxx xxxxxx změn x
x) xxxxxx významné xxxxx.
(2) Xxxxxxx xxxxx x xxxxxxxxxx změn
a) xxxxxxxxxxx xxxxxx řízení,
b) xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxx za xxxxxx xxxxxxx xxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxx změnami,
d) xxxxxxxxxxx xxxxxxxxxxxx politiku x xxxxxxxxxxxx xxxxxxxxxxx,
x) zajistí xxxxxx xxxxxxxxx a
f) xxxxxxx xxxxxxx xxxxxxxxx xx xxxxxxxxx xxxxx.
(3) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) a x) xxxxxx na xxxxxxx výsledků analýzy xxxxx xxxxx odstavce 2 xxxx. b) xxxxxxxxx o xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx zranitelností; xxxxx xxxxxxxx o xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxxxx, postupuje xxxxx §25 xxxx. 1 a xxxxxxx xx zjištěné xxxxxxxxxx.
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx se xxxx xxxxxxxxx podle xxxxxxxx 3 přiměřeně.
§12
Řízení xxxxxxxx
(1) Povinná xxxxx na xxxxxxx xxxxxxxxxx a xxxxxxxxxxxxxx xxxxxx řídí přístup x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxx, která xxxxxx x xxxxxxxxx xxxxxxx údajů, xxxxx xxxx používány xxx xxxxxxxxxx xxxxx §19 x 20, x xxxxx xxxxx xx xxxxxxxx těchto xxxxx xxxxxxxxxxxx xxxxxx.
(2) Povinná xxxxx xxxx v xxxxx xxxxxx xxxxxxxx x xxxxxxxxxxxx a xxxxxxxxxxxxx systému
a) xxxx xxxxxxx na xxxxxxx xxxxxx x rolí,
b) xxxxxxx každému uživateli x administrátorovi přistupujícímu x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxx a xxxxxxxxx x jedinečný xxxxxxxxxxxxx,
x) xxxx xxxxxxxxxxxxxx, xxxxxxxxxx xxxxx x xxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxxx pro xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
e) zavádí xxxxxxxxxxxx opatření potřebná xxx xxxxxxxx xxxxxxxxx xxxxxxxxx zařízení a xxxxxx technických zařízení, xxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxx s xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx povinná osoba xxxx xx xxx xxxxxx,
x) omezí přidělování xxxxxxxxxxxxxxx oprávnění xx xxxxxx xxxxxxxx nutnou x výkonu xxxxxx xxxxx,
x) omezí x xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxx xxx xxxxxxx překonat xxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx x souladu x xxxxxxxxx xxxxxx xxxxxxxx,
x) xxxxxxx pravidelné xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx rozdělení xx xxxxxxxxxxxx skupin x xxxx,
x) xxxxxxx xxxxxxx pro xxxxxx x ověřování identity xxxxx §19 x xxxxxxx pro řízení xxxxxxxxxxxx xxxxxxxxx xxxxx §20,
x) xxxxxxxxx, aby xxxxxxxxx při xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx,
x) xxxxxxx odebrání nebo xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxx xxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) xxxxxxx odebrání nebo xxxxx xxxxxxxxxxxx oprávnění xxx ukončení nebo xxxxx xxxxxxxxx vztahu x
x) xxxxxxxxxxx přidělování x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx.
§13
Xxxxxxxx, xxxxx a xxxxxx
Xxxxxxx xxxxx x xxxxxxxxxxx s plánovanou xxxxxxxx, vývojem x xxxxxxx informačního x xxxxxxxxxxxxx systému
a) xxxx xxxxxx podle §5,
b) xxxx významné změny xxxxx §11,
x) xxxxxxx xxxxxxxxxxxx požadavky,
d) zahrne xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxx xxxxxxxx, vývoje x xxxxxx,
x) zajistí xxxxxxxxxx vývojového x xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxx,
x) provádí xxxxxxxxxxxx xxxxxxxxx významných xxxx xxxx xxxxxx xxxxxxxxx xx xxxxxxx x
x) xxxx xxxxxxxxx xxxxx §19 xxxx. 3, xx-xx xxxxx xxxxxxxxx xxxxxxxx xxxx xxxxxx xxxxxxx xxx xxxxxx a xxxxxxxxx xxxxxxxx.
§14
Xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx a incidentů
(1) Xxxxxxx xxxxx x xxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) zavede xxxxxx xxxxxxx x vyhodnocování xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxxx kybernetických xxxxxxxxxxxxxx incidentů,
b) přidělí xxxxxxxxxxxx x xxxxxxx xxxxxxx pro
1. xxxxxxx x xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí x xxxxxxxxx a
2. xxxxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
c) xxxxxxxx x aplikuje xxxxxxx xxx identifikaci, xxxx, xxxxxxx a xxxxxxxx xxxxxxxxxxx podkladů xxxxxxxxxx xxx analýzu xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) při xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxx řídí §22 x 23,
f) xxxxxxx, že xxxxxxxxx, xxxxxxxxxxxxxx, osoby xxxxxxxxxxx xxxxxxxxxxxx role, xxxxx xxxxxxxxxxx x dodavatelé xxxxx oznamovat xxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx a xxxxxxxxx na xxxxxxxxx xxxxxxxxxxxxx,
x) xxxxxxx posuzování xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxx kterém xxxx xxx rozhodnuto, xxx xxxx xxx klasifikovány xxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx podle §31,
h) xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xxxxx xxxxxxxxxxx postupů,
i) přijímá xxxxxxxx xxx odvrácení x xxxxxxxx dopadu xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx,
x) xxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxx §32,
x) xxxx záznamy x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx x x xxxxxx xxxxxxxx,
x) prošetří x xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu x
x) xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx x na xxxxxxx xxxxxxxxxxx xxxxxxx nutná xxxxxxxxxxxx xxxxxxxx, popřípadě xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x zamezení xxxxxxxxx xxxxxxxx kybernetického xxxxxxxxxxxxxx incidentu.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x x) xxxxxx xxxx xxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx používá xxxxxxx xxxxx §24.
§15
Xxxxxx xxxxxxxxxx xxxxxxxx
Xxxxxxx xxxxx x xxxxx xxxxxx xxxxxxxxxx xxxxxxxx
x) xxxxxxx xxxxx a xxxxxxxxxx xxxxxxxxxxxxxx x xxxx zastávajících bezpečnostní xxxx,
x) xxxxxx hodnocení xxxxx x xxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxx dopady xxxxxxxxxxxxxx bezpečnostních incidentů x xxxxxxx xxxxx xxxxxx související x xxxxxxxxx kontinuity činností,
c) xx základě xxxxxxx xxxxxxxxx xxxxx x xxxxxxx xxxxxx xxxxx xxxxxxx x) xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx, xxxxx xx xxxxxxxxxx pro xxxxxxx, xxxxxx x xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
2. xxxx xxxxxxxx xxxxx, během které xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, x
3. xxxx obnovení xxx xxxx xxxxxx xxxxxx, xx xxxxx xxxx xxx zpětně xxxxxxxx xxxx po xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxx xx selhání,
d) xxxxxxx xxxxxxxx řízení kontinuity xxxxxxxx, která xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx c),
e) xxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxx související x xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxxxxxxxx služeb x
x) xxxxxxxxx opatření xxx xxxxxxx odolnosti xxxxxxxxxxxx x komunikačního systému xxxx kybernetickým xxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxxxxxx x vychází xxx tom z xxxxxxxxx xxxxx §27.
§16
Audit kybernetické xxxxxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx auditu kybernetické xxxxxxxxxxx
x) xxxxxxx a xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx, x xxxxxxxx xxxxxx xxxxxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx povědomí x xxxxx xxxxxxxx xxxxx a
b) posuzuje xxxxxx bezpečnostních opatření x xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, vnitřními xxxxxxxx, xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxxx xx k xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x určí xxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.
(2) Xxxxx xxxxx xxxxxxxx 1 xx xxxxxxxx
x) xxx významných změnách, x xxxxx xxxxxx xxxxxxx,
x) x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xx 3 xxxxxx x xxxxxxx xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) zákona x
x) v pravidelných xxxxxxxxxxx xxxxxxx xx 2 xxxxxx x xxxxxxx xxxxxxx xxxxx xxxxxxxxx v xxxxxxx x).
(3) Xxxx-xx x xxxxxxxxxxxx xxxxxxxxx možné xxxxxxx xxxxx x xxxxxxxxxxx podle xxxxxxxx 2 xxxx. b) x x) v xxxxx xxxxxxx, je xxxxx xxxxx xxxxxxxx xxxxxxxx xx systematických xxxxxxx. X takovém xxxxxxx xx xxxxx xxxxx v celém xxxxxxx xxxxxxx nejpozději xx 5 let.
(4) Xxxxx xxxxxxxxxxxx bezpečnosti xxxx xxx xxxxxxxx xxxxxx vyhovující xxxxxxxxx xxxxxxxxxx x §7 xxxx. 4, která xxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(5) Xxxxxxx xxxxx, xxxxx je xxxxxxxx provozovatelem, předkládá xxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx daného xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
XXXXX XX
XXXXXXXXX XXXXXXXX
§17
Xxxxxxx xxxxxxxxxx
Xxxxxxx xxxxx x xxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxxxxx poškození, xxxxxxx xxxx xxxxxxxx aktiv xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) stanoví xxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxxx xxxxxx, xx xxxxx jsou xxxxxxxxxx x zpracovávány xxxxxxxxx x xxxxxxxx technická xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx systému, a
c) x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx podle xxxxxxx x) xxxxxx xxxxxxxx opatření x xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx
1. x zamezení xxxxxxxxxxxxx xxxxxx,
2. k xxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x
3. xxx xxxxxxxxx xxxxxxx xx xxxxxx objektů x x xxxxx xxxxxxx.
§18
Xxxxxxxxxx komunikačních sítí
Povinná xxxxx xxx ochranu xxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxx x xxxxxxx xxxxx §3 písm. x)
x) zajistí xxxxxxxxxx xxxxxxxxxxx xxxx,
x) zajistí xxxxxx xxxxxxxxxx x xxxxx komunikační sítě x xxxxxxxxx xxxxxxxxxxx xxxx,
x) pomocí kryptografie xxxxxxx xxxxxxxxx x xxxxxxxxx xxx xxx xxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxx xxxx xxx xxxxxxxx xx komunikační xxxx pomocí xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxx x
x) xxx zajištění xxxxxxxxxx xxxx x xxx xxxxxx xxxxxxxxxx mezi xxxxxx xxxxxxxx xxxxxxx xxxxxxx, xxxxx zajistí xxxxxxx integrity xxxxxxxxxxx xxxx.
§19
Xxxxxx a xxxxxxxxx xxxxxxx
(1) Povinná xxxxx xxxxxxx xxxxxxx pro xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx informačního x xxxxxxxxxxxxx systému.
(2) Xxxxxxx pro xxxxxx x ověření identity xxxxxxxxx, administrátorů x xxxxxxxx zajišťuje
a) xxxxxxx xxxxxxxx před zahájením xxxxxxx x xxxxxxxxxxx x xxxxxxxxxxxx systému,
b) xxxxxx xxxxx xxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxxxx,
x) odolnost uložených xxxx xxxxxxxxxxx autentizačních xxxxx xxxxx neoprávněnému xxxxxxxx a xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxxxx xxxxx xx xxxxx xxxxxx xxxxx xxxxxxx útokům,
e) xxxxxxxx xxxxxxx xxxxxxxx xx xxxxxx době xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxx xxxxxx xxxxxxxx x
x) xxxxxxxxxxxxxxx xxxxxx xxxxxxx.
(3) Xxxxxxx osoba xxx xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxx autentizační xxxxxxxxxxx, xxxxx xxxx založený xxxxx xx použití xxxxxxxxxxxxxx xxxx x xxxxx, nýbrž xx xxxxxxxxxxxxx xxxxxxxxxxx s xxxxxxx xxxxx xxxxxxx xxxx xxxxxxx.
(4) Xx xxxx splnění xxxxxxxxx xxxxx odstavce 3 xxxx xxxxxxx pro xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x aplikací, xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxx a xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx.
(5) Xx xxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx 4 musí nástroj xxx xxxxxxx identity xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx, který xxxxxxx x xxxxxxxxxxx identifikátor xxxx x xxxxx, xxxxxxxxx xxxxxxxx
x) xxxxx xxxxx xxxxxxx
1. 12 xxxxx x uživatelů x
2. 17 xxxxx x administrátorů x xxxxxxxx,
x) umožňující xxxxx xxxxx o délce xxxxxxx 64 xxxxx,
x) xxxxxxxxxxx xxxxxxx malých x xxxxxxx xxxxxx, xxxxxx a speciálních xxxxx,
x) xxxxxxxxxx xxxxxxxxxx xxxxx xxxxx, xxxxxxx xxxxxx xxxx xxxxx xxxxxxx xxxxx nesmí xxx kratší než 30 xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxxx
1. xxxxxx xx xxxxxxxxxx xxxxxxxxx xxxxx,
2. xxxxxx xxxxx xx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx se xxxxx, přihlašovacího jména, x-xxxxx, xxxxx xxxxxxx xxxx xxxxxxxx způsobem x
3. xxxxxxxx xxxxxxx xxxxx xxxxxxxxxxx xxxxx x xxxxxx xxxxxxx 12 předchozích xxxxx x
x) pro povinnou xxxxx xxxxx v xxxxxxxxx xxxxxxxxx po 18 xxxxxxxx, přičemž xxxx xxxxxxxx xx xxxxxxxxxx na účty xxxxxxxx x obnově xxxxxxx v xxxxxxx xxxxxxx.
(6) Xxxxxxx osoba x xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxx x xxxxxx xxxx
x) xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxx xx xxxx xxxxxx použití,
b) xxxxxxxxxxx xxxxxxxxx heslo xxxxxxxx x xxxxxxxx xxxxxxxx xx xxxx xxxxxx xxxxxxx xxxx xxxxxxxxx xxxxxxx 60 xxxxx xx xxxx xxxxxxxxx x
x) xxxxxxx xxxxxx pravidla tvorby xxxxxxxxxx xxxxx xx xxxxx xxxxxxx bezpečnostního xxxxxxxx podle §9.
§20
Xxxxxx xxxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx xxxxxx xxxxxxxxx
x) xxx xxxxxxx x xxxxxxxxxxx xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx x
x) xxx čtení xxx, zápis dat x xxxxx oprávnění.
§21
Ochrana xxxx škodlivým xxxxx
(1) Povinná xxxxx xxxxxxx v §3 xxxx. c), x) x f) xxxxxx x xxxxx xxxxxxx xxxx škodlivým xxxxx
x) x xxxxxxx xx xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxx nástroje xxx xxxxxxxxxxxx automatickou xxxxxxx
1. xxxxxxxxx xxxxxx,
2. xxxxxxxxx xxxxxxxx,
3. serverů,
4. xxxxxxxx xxxxxxx a xxxxxxxxx xxxxxxxx nosičů,
5. komunikační xxxx a xxxxx xxxxxxxxxxx xxxx x
6. xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x řídí používání xxxxxxxxx zařízení x xxxxxxxx nosičů,
c) xxxx xxxxxxxxxxx xxxxxxxxx obsahu xxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx,
x) xxxx xxxxxxxxx xx xxxxxxxxx xxxx x
x) xxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxxxxxx nástroje xxx xxxxxxx před xxxxxxxxx xxxxx.
(2) Povinná osoba xxxxxxx x §3 xxxx. x) xxxxxx xxxxxxxxx podle odstavce 1 xxxxxxxxx.
§22
Zaznamenávání xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, xxxx xxxxxxxxx x xxxxxxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxxxxxx bezpečnostní a xxxxxxxx provozní xxxxxxxx xxxxxxxxxx aktiv xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x
x) na xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxxx xxxxx, x xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx událostí xxxxxxxxx.
(2) Xxxxxxx xxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxxx
x) xxxxxxxxxxxx síťovou xxxxxxxxxxxx xxxxxxxx původce, xx-xx x komunikační xxxx xxxxxx xxxxxxx, xxxxx xxxx xxxx síťovou xxxxxxxxxxxx,
x) xxxx informací x bezpečnostních a xxxxxxxxxx xxxxxxxxxx; xxxxxxx xxxxxxxxxxx
1. datum a xxx xxxxxx xxxxxxxxxxx xxxxxxxx pásma,
2. xxx xxxxxxxx,
3. identifikaci xxxxxxxxxxx xxxxxx, xxxxx xxxxxxx xxxxxxxxxxx,
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxx, pod xxxxxx xxxx činnost xxxxxxxxx,
5. xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx x
6. xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxxx podle písmen x) x b) xxxx xxxxxxxxxxxx xxxxxx x jakoukoli změnou,
d) xxxxxxxxxxxxx
1. xxxxxxxxxxxx a xxxxxxxxxxx xx xxxx xxxxx, a xx xxxxxx xxxxxxxxxxx xxxxxx,
2. xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx,
3. xxxxxxx x neúspěšné xxxxxxxxxx x xxxx, xxxxxxxxxxx x xxxxx,
4. xxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxx,
5. xxxxxxxx xxxxxxxxx, xxxxx xxxxx xxx xxxx xx xxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx,
6. xxxxxxxx x ukončení xxxxxxxx xxxxxxxxxxx xxxxx,
7. xxxxxxxxxx x xxxxxxxxx xxxxxxx technických xxxxx x
8. přístupů x xxxxxxxx x událostech, xxxxxx x manipulaci xx xxxxxxx x xxxxxxxxxx x xxxxx xxxxxxxxx nástrojů pro xxxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxxxxxxx jednotného času xxxxxxxxxxx xxxxx xxxxxxx xxxxxx xx 24 xxxxx.
(3) Povinná osoba xxxxxxx v §3 xxxx. x), x) x f) zákona xxxxxxxx xxxxxxx událostí xxxxxxxxxxxxx podle odstavce 2 nejméně xx xxxx 18 měsíců.
(4) Xxxxxxx osoba xxxxxxx x §3 písm. x) xxxxxx uchovává xxxxxxx xxxxxxxx zaznamenaných xxxxx xxxxxxxx 2 xxxxxxx po xxxx 12 měsíců.
§23
Xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxxxxxxx xxxx, xxxxx xxxxxxxx xx informační a xxxxxxxxxxx systém, xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx x kontrolu xxxxxxxxxxx xxx x xxxxx xxxxxxxxxxx xxxx a xxxx xxxxxxxxxxxxx xxxxxx,
x) xxxxxxx x kontrolu xxxxxxxxxxx xxx na xxxxxxxxx xxxxxxxxxxx xxxx x
x) blokování xxxxxxxxx xxxxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. x), d) x x) zákona xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxx x ohledem na xxxxxxxxxx xxxxx x xxxxx
x) xxxxxxxxx stanic,
b) xxxxxxxxx zařízení,
c) xxxxxxx,
x) xxxxxxxx úložišť x xxxxxxxxx xxxxxxxx nosičů,
e) xxxxxxxx xxxxxxxxx xxxxx x
x) obdobných xxxxx.
§24
Sběr x vyhodnocování xxxxxxxxxxxxxx bezpečnostních událostí
Povinná xxxxx uvedená x §3 xxxx. x), x) a x) xxxxxx xxxxxxx xxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx
x) xxxx x xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx §22 x 23,
x) vyhledávání x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxx xxxxxx bezpečnostní role x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx,
x) vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx identifikace xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxx varování xxxxxxxx bezpečnostních xxxx,
x) xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx nastavení pravidel xxx
1. vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x
2. xxxxxx varování x
x) xxxxxxxxx xxxxxxxxx získaných xxxxxxxxx xxx xxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx informačního x xxxxxxxxxxxxx systému.
§25
Xxxxxxxxx xxxxxxxxxx
(1) Xxxxxxx xxxxx provádí xxxxxxxxxx xxxxx informačního x xxxxxxxxxxxxx xxxxxxx xx xxxxxxxxx xx xxxxxxxx xxxxxx, x xx
x) xxxx xxxxxx xxxxxxxx xx provozu x
x) x souvislosti x xxxxxxxxx xxxxxx xxxxx §11 xxxx. 3.
(2) Xxxxxxx xxxxx xxxx x rámci xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx xxxxxxxx, xxxxxxxxx x transakcí před
a) xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxx provedených činností.
§26
Xxxxxxxxxxxxxx prostředky
Povinná osoba xxx xxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) používá xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x kryptografické klíče,
b) xxxxxxx xxxxxx xxxxxx xxxxx x xxxxxxxxxxx, xxxxx
1. xxxxxxx xxxxxxxxxx, xxxxxxxxxx, xxxxxxxx, změny, xxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxx x
2. xxxxxx xxxxxxxx x xxxxx,
x) xxxxxxxxx xxxxxxxx nakládání x xxxxxxxxxxxxxxxx prostředky x
x) xxxxxxxxxx xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx vydaná Xxxxxx, xxxxxxxxxx xx xxxx xxxxxxxxxxxxx xxxxxxxxx.
§27
Xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
Xxxxxxx osoba xxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému xxx xxxxxxx xxxx xxxxx §15,
x) xxxxxxxx xxxxxxxxxxxx a komunikačního xxxxxxx xxxx kybernetickým xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx xxxxx xxxxxx xxxx dostupnost,
c) xxxxxxxxxx xxxxxxxxxx technických xxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x
x) redundanci xxxxx xxxxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx informačního x xxxxxxxxxxxxx systému.
§28
Xxxxxxxxxx, xxxxxx a xxxxxxx xxxxxxxxxx xxxxxxx
Xxxxxxx xxxxx xxx zajištění xxxxxxxxxxxx bezpečnosti průmyslových, xxxxxxxx x obdobných xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxx x opatření, xxxxx zajistí
a) xxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx, které jsou xxxxxx xx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxx xxxxxxx x xx xxxxxxxxxxx síti,
c) xxxxxxxxx komunikační xxxx xxxxxx pro xxxx xxxxxxx xx xxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxx a xxxxxx xxxxxxxxxx přístupu x xxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx xxxxxxx xxxx využitím xxxxxxx xxxxxxxxxxxxx a
f) obnovení xxxxx xxxxxx xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
§29
Xxxxxxxxx xxxxxx
(1) Xxxxxxx xxxxx xxxxxxx x §3 písm. h) xxxxxx xxxxxx bezpečnostní xxxxxxxx xxxxx prováděcího xxxxxxxx Xxxxxx (XX) 2018/151 xx dne 30. xxxxx 2018, xxxxxx xx xxxxxxx xxxxxxxx pro xxxxxxxxxxx xxxxxxxx Evropského parlamentu x Xxxx (XX) 2016/1148, pokud xxx x bližší xxxxxxxxx xxxxx, xxxxx musí xxxxxxxxxxxxx digitálních xxxxxx xxxxxxxxxxx xxx řízení xxxxxxxxxxxxxx xxxxx, jimiž xxxx xxxxxxxxx xxxx x xxxxxxxxxx systémy, x xxxxxxxxx pro xxxxxxxxxx xxxx, zda xx xxxxx xxxxxxxxx xxxxxxxx; xxxxxxxxxx §3 xx 28 xx xx xxxx xxxxxxxx xxxxx xxxxxxxxx.
(2) Povinná xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxx xxxxxxxxx xxxxx podle §34 xxxx. 2.
(3) Povinná xxxxx uvedená x §3 xxxx. x) xxxxxx xxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx podle §32 xxxx. 2 x 3.
HLAVA III
BEZPEČNOSTNÍ XXXXXXXX X XXXXXXXXXXXX DOKUMENTACE
§30
Bezpečnostní xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxx xxxxxxxxxxxx xxxxxxxx x vede xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx x příloze č. 5,
x) xxxxxxxxxx přezkoumává xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx a
c) zajistí, xxx xxxx xxxxxxxxxxxx xxxxxxxx a bezpečnostní xxxxxxxxxxx xxxxxxxx.
(2) Xxxxxxxxxxxx xxxxxxxx a bezpečnostní xxxxxxxxxxx musí xxx
x) xxxxxxxx v listinné xxxx elektronické podobě,
b) xxxxxxxxxxxx x rámci xxxxxxx osoby,
c) přiměřeně xxxxxxxx xxxxxxxx stranám,
d) xxxxxx,
x) xxxxxxxx z xxxxxxx xxxxxxxxxx, integrity x xxxxxxxxxxx x
x) xxxxxx xxx, xxx xxxxxxxxx v xxxx xxxxxxxx xxxx úplné, xxxxxxx, xxxxxx identifikovatelné x xxxxxx vyhledatelné.
XXXX XXXXX
XXXXXXXXXXXX BEZPEČNOSTNÍ XXXXXXXX
§31
Xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx incidenty se xxxxxxxxxxxx podle xxxxxxxxxxx xxx xxxxxxxxxx
x) xxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, podle xxxxxxx xxxx xxxxxxx xxxxx xxxxxx,
x) xxxxx xxxxxxxxx xxxxxxxxx,
x) způsobené xxxx předpokládané xxxxx,
x) xxxxxxxxxxx dotčených xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) dopadů xx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx na služby xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxx trvání incidentu,
h) xxxxxxxxxxx xxxxxxx dotčené xxxxxxx x
x) dalších xxxxxx.
(2) Pro potřeby xxxxxxx a zvládání xxxxxxxxxxxxxx bezpečnostních incidentů xx xx xxxxxxx xxxxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - xxxxx xxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx kterém xx přímo x xxxxxxxx narušena xxxxxxxxxx xxxxxxxxxxxxx služeb nebo xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx zásahy xxxxxxx x tím, xx xxxx xxx xxxxx dostupnými prostředky xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace xxxxxxxxx x xxxxxxxxxxxxx xxxx,
x) Xxxxxxxxx XX - xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, při kterém xx narušena bezpečnost xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx neprodlené xxxxxx xxxxxxx s xxx, xx xxxx xxx xxxxxxxx prostředky xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxxxxx vzniklých xxxx, xxxx
x) Xxxxxxxxx X - xxxx významný xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx kterém xxxxxxx x xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxx poskytovaných xxxxxx xxxx aktiv. Xxxx řešení xxxxxxxx xxxxxx obsluhy s xxx, xx xxxx xxx xxxxxxxx prostředky xxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx vzniklých xxxx.
(3) Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů podle xxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxx xxxxxxxxxx aktiv,
b) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx způsobující xxxxxxxx xxxxxxxxxxx xxxxx, nebo
d) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxxx dopadů xxxxxxxxx x xxxxxxxxx x) xx x).
(4) Xxxx ustanovení xx xxxxxxxxxx xx kybernetické xxxxxxxxxxxx xxxxxxxxx x xxxxxxx osoby xxxxxxx x §3 xxxx. x) xxxxxx.
§32
Forma x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Kybernetický bezpečnostní xxxxxxxx xx Xxxxx xxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx xxxxxxxx
x) xx adresu xxxxxxxxxxxx pošty Xxxxx xxxxxxx xxx příjem xxxxxxx kybernetických bezpečnostních xxxxxxxxx, xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Úřadu,
b) xx xxxxxx xxxxxxxx Xxxxx, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx, pokud xx xxxxxxxxx, xxxxx xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Kybernetický xxxxxxxxxxxx xxxxxxxx se xxxxxxxxxxxxx xxxxxxxxx CERT xxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxx xxx příjem xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxxxxxxx xx xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx datové xxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX, xxxx
x) xxxxxxxxxxxxxxx internetových xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.
(3) Xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx je xxxxx zaslat i x listinné xxxxxx, xxxxx xxxxx x xxxxxxxxx, kdy xxxxx xxxxxx xxxxx xx xxxxxxx xxxxxxxxx v xxxxxxxxxx 1 x 2.
(4) Xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního incidentu xxxx
x) identifikace odesilatele,
b) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxx x xxx zjištění xxxxxxxxx x
x) xxxxx xxxxxxxxx.
ČÁST XXXXXX
XXXXXXXXX OPATŘENÍ X KONTAKTNÍ ÚDAJE
§33
Reaktivní xxxxxxxx
(1) Xxxxxxx xxxxx, xxxxx Úřad xxxxxx xxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx na xxxxxxxxxx x xxxxxxxxxxx xxxxxx a na xxxxxxxx bezpečnostní xxxxxxxx x vyhodnotí xxxxx xxxxxxxxx xxxxxx a
b) xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx tohoto xxxxxxxx, xxxxx xxxxxxxxxxxx jeho xxxxx negativní xxxxxx, x určí xxxxxx xxxx jeho provedení.
(2) Xxxxxxx xxxxx, xxxxx Xxxx xxxxxx xxxxxxx xxxxxxxxx xxxxxxxx, xxxxxx xxxxxx xxxxxxxxx reaktivního xxxxxxxx x xxxx xxxxxxxx xx xxxxx xxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
§34
Xxxxxxxxx údaje
(1) Xxxxxxxxx xxxxx xx Xxxxx xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx zveřejněném xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx xxxxxxxx
x) na xxxxxx xxxxxxxxxxxx xxxxx Úřadu xxxxxxx xxx příjem xxxxxxxx kontaktních údajů, xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
x) xx xxxxxx xxxxxxxx Úřadu, xxxx
x) xxxxxxxxxxxxxxx datového xxxxxxxx, xxxxx je xxxxxxxxx, xxxxx xxxxx xx zveřejněn na xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxxxx údaje se xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx národního XXXX určenou pro xxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxxxxxx xx xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx datové schránky xxxxxxxxxxxxx xxxxxxxxx XXXX, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx provozovatele xxxxxxxxx XXXX.
(3) Xxxxxxx kontaktních xxxxx xx možné xxxxxx i v xxxxxxxx podobě, avšak xxxxx v xxxxxxxxx, xxx nelze xxxxxx xxxxx xx xxxxxxx xxxxxxxxx x xxxxxxxxxx 1 x 2.
(4) Xxxx oznámení kontaktních xxxxx xx xxxxxx x příloze č. 8 x xxxx vyhlášce.
(5) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. x) xx f) xxxxxx, xxxxx xx xxxxxxxxxxxxxx, xxxx x xxxxxxx xxxxxxxxxxx xxxxx podle xxxxxxxx 1 přikládá xxxxxxxx, kterým xx xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §8 odst. 1 xxxx. x).
XXXX XXXX
XXXXXXXXX XXXXXXXXXX
§35
Xxxxxxxxx xxxxxxxxxx
(1) V xxxxxxx xxxxxxxxxxxx systémů xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx xxxx určeny přede xxxx xxxxxx xxxxxxxxx xxxx vyhlášky, a x případě xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x xxxxxxx došlo x xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx dnem xxxxxx xxxxxxxxx xxxx xxxxxxxx, xx xx xxxxxxx xxxx ode xxx xxxxxx xxxxxxxxx xxxx xxxxxxxx xxx obsah x xxxxxxxxx bezpečnostní xxxxxxxxxxx a obsah x rozsah zavedených xxxxxxxxxxxxxx xxxxxxxx použijí xxxxxxxxxx xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx opatřeních, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x x xxxxxxxxx xxxxxxxxxxx xxxxxx v oblasti xxxxxxxxxxxx bezpečnosti (vyhláška x xxxxxxxxxxxx xxxxxxxxxxx).
(2) X xxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxx byly xxxxxx přede xxxx xxxxxx účinnosti této xxxxxxxx, x x xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x xxxxxxx xxxxx x naplnění xxxxxxxxxx xxxxxxxx přede xxxx nabytí účinnosti xxxx vyhlášky, se xx xxxxxxx xxxx xxx xxx xxxxxx xxxxxxxxx xxxx vyhlášky xxx způsob xxxxxxxxx xxx, provozních xxxxx, xxxxxxxxx x jejich xxxxx tato xxxxxxxx xxxxxxxxx.
§36
Xxxxxxxxx ustanovení
Zrušuje xx xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, kybernetických xxxxxxxxxxxxxx incidentech, xxxxxxxxxxx xxxxxxxxxx x x xxxxxxxxx náležitostí xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx o xxxxxxxxxxxx bezpečnosti).
§37
Účinnost
Tato xxxxxxxx nabývá xxxxxxxxx dnem xxxxxxxxx.
Xxxxxxx:
Xxx. Xxxxxxxx x. r.
Xxxxxxx x. 1 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxx aktiv
(1) Xxx xxxxxxxxx xxxxxxxxxxx xxxxx jsou x xxxxx xxxxxxx použity xxxxxxxx x xxxxxxx xxxxxxxx x xxxxxxxx xx, xxxx xxxxx xx xxxx xxxxxxxx xxxxxxxxxxx informací x xxxxxxxxxxxx xxxxx. Xxxxxxx xxxxx xxxx používat xxxxxxx počet xxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxx xxxx xx xxxxxx x xxxx příloze, xxxxxx-xx xxxxxxxxxxx xxxxx mezi xxxx používaným xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx x stupnicemi a xxxxxxxx xxx hodnocení xxxxxxxxxxx aktiv, xxxxx xxxx xxxxxxx v xxxx xxxxxxx.
(2) Xx xxxxxxxxxx, xxx xx xxxxx povinná xxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxx svým xxxxxxxx.
Xxx. 1: Stupnice xxx xxxxxxxxx důvěrnosti
|
Úroveň |
Popis |
Příklady xxxxxxxxx xx xxxxxxx aktiva |
|
Nízká |
Aktiva xxxx veřejně xxxxxxxxx xxxx xxxx xxxxxx xx xxxxxxxxxx. Xxxxxxxx xxxxxxxxxx aktiv xxxxxxxxxx xxxxxxxxx xxxxx povinné xxxxx. X případě xxxxxxx xxxxxxxx xxxxxx x xxxxxxx stranami a xxxxxxx klasifikace podle xxx. xxxxxxx xxxxx xxxxxxxxx (xxxx jen "XXX") xx xxxxxxxxx xxxxxxxx TLP:WHITE. |
Není vyžadována xxxxx xxxxxxx. |
|
Střední |
Aktiva xxxxxx xxxxxxx přístupná x tvoří know-how xxxxxxx xxxxx, ochrana xxxxx xxxx xxxxxxxxxx xxxxxx právním xxxxxxxxx xxxx xxxxxxxx ujednáním. V xxxxxxx xxxxxxx takového xxxxxx x xxxxxxx xxxxxxxx a xxxxxxx xxxxxxxxxxx podle XXX xx využíváno zejména xxxxxxxx XXX:XXXXX xxxx XXX:XXXXX. |
Xxx xxxxxxx důvěrnosti xxxx xxxxxxxxx xxxxxxxxxx xxx řízení xxxxxxxx. |
|
Xxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxxx xxxxxxx xx vyžadována xxxxxxxx xxxxxxxx, jinými xxxxxxxx nebo smluvními xxxxxxxxxx (xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxx xxxxx). X xxxxxxx xxxxxxx takového xxxxxx x xxxxxxx xxxxxxxx a použití xxxxxxxxxxx xxxxx XXX xx xxxxxxxxx zejména xxxxxxxx TLP:AMBER. |
Pro xxxxxxx xxxxxxxxxx jsou xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx jsou xxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
|
Kritická |
Aktiva nejsou xxxxxxx přístupná a xxxxxxxx nadstandardní xxxx xxxxxxx xxx rámec xxxxxxxxx xxxxxxxxx (xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxx kategorie xxxxxxxx xxxxx). X xxxxxxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxx stranami x xxxxxxx xxxxxxxxxxx xxxxx XXX je xxxxxxxxx xxxxxxx xxxxxxxx TLP:RED xxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx využívány xxxxxxxxxx, které xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Dále xxxxxx xxxxxxx zabraňující zneužití xxxxx xx strany xxxxxxxxxxxxxx. Přenosy xxxxxxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Tab. 2: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx požadavků xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx aktiva xxxxxxxxxx xxxxxxxxx xxxxx povinné xxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx xxxxxxxxx xxxxxxx z hlediska xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx může xxxx x xxxxxxxxx oprávněných xxxxx xxxxxxx xxxxx x xxxx xx xxxxxxxx méně xxxxxxxxx xxxxxx xx primární xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány xxxxxxxxxx xxxxxxxx (xxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxx pro xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx x poškození xxxxxxxxxxx xxxxx xxxxxxx xxxxx x xxxxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx integrity xxxx využívány xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxxxxx provedených xxxx x xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx komunikačními xxxxxx xx zajištěna xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx ochranu z xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx xxxx x xxxxx vážnému xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx x přímými x xxxxx xxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx speciální xxxxxxxxxx xxxxxxxxxxx identifikace xxxxx xxxxxxxxxxx xxxxx (xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx). |
Xxx. 3: Xxxxxxxx pro hodnocení xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx požadavků xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx není důležité x x xxxxxxx xxxxxxx xx xxxxx xxxxxxxxxx delší xxxxxx xxxxxx xxx nápravu (xxx do 1 xxxxx). |
Xxx xxxxxxx dostupnosti xx postačující pravidelné xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx dostupnosti xxxxxx xx nemělo xxxxxxxxx xxxx pracovního xxx, xxxxxxxxxxxxx xxxxxxx xxxx x možnému ohrožení xxxxxxxxxxx xxxxx povinné xxxxx. |
Xxx xxxxxxx dostupnosti xxxx využívány běžné xxxxxx xxxxxxxxxx x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx dostupnosti xxxxxx xx xxxxxx překročit xxxx několika hodin. Xxxxxxxx xxxxxxx xx xxxxx xxxxx xxxxxxxxxx, xxxxxxx vede x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx. Xxxxxx jsou považována xx xxxxx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx xxxxxxx x obnova xxxxxxxxxxx xxxxxx může xxx xxxxxxxxx xxxxxx obsluhy xxxx xxxxxxx xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx dostupnosti aktiva xxxx xxxxxxxxx x x krátkodobá xxxxxxxxxxxx (x xxxx xxxxxxxx xxxxx) xxxx x xxxxxxx xxxxxxxx oprávněných xxxxx povinné osoby. Xxxxxx xxxx xxxxxxxxxx xx xxxxxxxx. |
Xxx ochranu xxxxxxxxxxx xxxx využívány xxxxxxx xxxxxxx a xxxxxx xxxxxxxxxxx xxxxxx xx xxxxxxxxxx x xxxxxxxxxxxxxx. |
Xxxxxxx x. 2 x vyhlášce x. 82/2018 Sb.
Hodnocení rizik
(1) Xxxxxxxxxxx xxxxxxxxx funkce xxx xxxxxx xxxxxx xx nezbytnou xxxxxxxx xxxxxxxx pro xxxxxxxxx xxxxx xxxxx §5.
(2) Xxxxxxx xxxxxx xx xxxxxxxxxx vyjádřena xxxx xxxxxx, xxxxxx ovlivňuje xxxxx, xxxxxx a xxxxxxxxxxxx.
(3) Xxx xxxxxxxxx xxxxx xxx xxxxxx xxxxxxxxx xxxx funkci:
Riziko = xxxxx x xxxxxx x xxxxxxxxxxxx.
(4) Xxxxx xx x xxxxx xxxxxxx odvozen x xxxxxxxxx xxxxx xxxxx přílohy č. 1.
(5) V xxxxxxx, že xxxxxxx xxxxx využívá metodu xxx hodnocení rizik, xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx x zranitelnosti, xx xxxxx stupnice xxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx stupnic xx xxxxxx xxxx xx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx x xxxxxxxxxxxxx. Xx tímto xxxxxx xxx xxxxxx xxxxxxxxx komentář, xxxxx xxxxxxxx vyjádří xxx xxxxxx hrozby, tak x xxxxxx xxxxxxxxxxxxx. Xxxxxxx se xxxxxxxxx x x xxxxxxxxx, xxx xxxxxxx xxxxx xxxxxxx jiný počet xxxxxx pro xxxxxxxxx xxxxxx, xxxxxx, xxxxxxxxxxxxx x xxxxx.
Xxx. 1: Xxxxxxxx xxx xxxxxxxxx xxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx xxxx xx málo xxxxxxxxxxxxx. |
|
Střední |
Hrozba xx xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx je xxxxxxxxxxxxx xx xxxxx pravděpodobná. |
|
Xxxxxxxx |
Xxxxxx je xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. |
Xxx. 2: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx nebo je xxxxxxxx zranitelnosti xxxx xxxxxxxxxxxxx. Xxxx xxxxxxxx xxxxxxxxxxxx opatření, xxxxx xxxx schopna xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx xxxxxxxx xxxxxx x jejich xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxxxxxxxxxx xx pravděpodobné. Xxxx zavedena bezpečnostní xxxxxxxx, jejichž xxxxxxxx xx pravidelně kontrolována. Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxx detekovat xxxxx xxxxxxxxxxxxx xxxx případné xxxxxx o překonání xxxxxxxx xx omezena. Xxxxxx xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx xx velmi xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxx, xxx xxxxxx xxxxxxxx xxxxxxxxx všechny xxxxxxxx aspekty a xxxx xxxxxxxxxx xxxxxxxxxxxx. Xxxx xxxxx dílčí xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx je velmi xxxxxxxxxxxxx až víceméně xxxxx. Bezpečnostní xxxxxxxx xxxxxx xxxxxxxxxxx xxxx xx xxxxxx xxxxxxxx xxxxxx xxxxxxx. Neprobíhá xxxxxxxx účinnosti xxxxxxxxxxxxxx xxxxxxxx. Xxxx známé xxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření. |
Tab. 3: Xxxxxxxx pro xxxxxxxxx xxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx xx xxxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx může xxx xxxxxxx xxxx xxxxxxxxx xxxxxxxxxx nebo x xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx je xxxxxx akceptovatelné. |
|
Vysoké |
Riziko xx xxxxxxxxxx xxxxxxxxxxx x xxxx xxx xxxxxxxx xxxxxxxxxxxx kroky x xxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxxxxxxxx a xxxx xxx neprodleně xxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
Xxxxxxx x. 3 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxxxxxx a xxxxxx
Xxxxxxxxxx: Xxxx xxxxxxx xxxxxxxx jen vybrané xxxxxxxxx xxxxxxxxxxxxx a xxxxxx. Identifikace xxxxxxxxxxx xxxxxxxxxxxxx a xxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxx.
Xxxxxxxxxxxxx
1. nedostatečná xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
2. xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
3. xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx,
4. xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
5. xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
6. xxxxxxxx nastavení xxxxxxxxxxxx oprávnění,
7. xxxxxxxxxxxx xxxxxxx při xxxxxxxxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx jevů, kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
8. xxxxxxxxxxxx xxxxxxxxxxxx činnosti xxxxxxxxx x xxxxxxxxxxxxxx x neschopnost xxxxxxx xxxxxx nevhodné nebo xxxxxxx způsoby xxxxxxx,
9. xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, nepřesné nebo xxxxxxxxxxxxx xxxxxxxx práv x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx,
10. xxxxxxxxxxxx ochrana xxxxx,
11. nevhodná xxxxxxxxxxxx xxxxxxxxxxxx,
12. nedostatečná xxxx xxxxxxxxx xxxxxxxx,
13. xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxx zaměstnanců.
Hrozby
1. xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx neoprávněných činností, xxxxxxxx oprávnění xx xxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
2. xxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
3. zneužití xxxxxxxx,
4. xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx x licenčními xxxxxxxxxx,
5. xxxxxxxx kód (například xxxx, spyware, xxxxxxx xxxx),
6. narušení xxxxxxx xxxxxxxxxxx,
7. přerušení poskytování xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxx xxxxxxx,
8. zneužití xxxx xxxxxxxxxxx xxxxxxxxxx xxxxx,
9. xxxxxx, xxxxxxxx nebo xxxxxxxxx xxxxxx,
10. nedodržení xxxxxxxxx xxxxxxx ze xxxxxx xxxxxxxxxx,
11. xxxxxxxxx xx strany xxxxxxxxxxx,
12. xxxxxxxx vnitřních xxxxxxxxxx, xxxxxxx,
13. dlouhodobé přerušení xxxxxxxxxxx xxxxxx elektronických xxxxxxxxxx, xxxxxxx elektrické xxxxxxx xxxx jiných xxxxxxxxxx xxxxxx,
14. xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
15. cílený xxxxxxxxxxxx útok xxxxxx xxxxxxxxxx inženýrství, xxxxxxx xxxxxxxxxxx technik,
16. xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx nosičů xxx,
17. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx (odposlech, modifikace).
Xxxxxxx x. 4 x vyhlášce č. 82/2018 Sb.
Likvidace xxx
(1) Xxxx xxxxxxx udává xxxxxxxxxx správce xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x definování xxxxxxx xxxxxx xxx a xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx informace, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx.
(2) Xxxxxxxxxx xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx xx xxxxxxx xxxxxxxx xxx xxxxxx dat x xxxxxxxxx xxxxxxxxxxx xxxxxx xxx v souladu x xxxxx xxxxxxxx. Xxx xxxxxx xxxxxxx xxxxxxxxxx podle xxxxxx xxxxxxxx xxxxxxxx. Xx xxxxx xxxxxx xxxxxxxxx xxxxxx xxxxxx nabízející xxxxxxxxx bezpečnostní xxxxxxxx, xxxxxx adekvátních pravidel xxx xxxxxx xxx x xxxxxxxxx technických xxxxxx xxx, xxxxxxxx x xxxxxxx x xxxxxxxxxxx xxxxx.
(3) Pravidla xxx xxxxxxxxx xxx xx xxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxx x xxxx xx xxxxxxx xxxxxxxxxxx
x) xxxxxxx xxxxxx (xxxxxxx x xxxxxxx xxxxxxxxxx),
x) xxxxxxxxxxx (xxxx x xxxxxxxx xxxxxx xxxxxxxxx),
x) xxx xx xxxxx informace xxxxxxx pod xxxxxxxxx xxxxxxxxxx xx xxxxxxx,
x) xxx xxxx data xxxxxxxx dedikovaného xxxx xxxxxxxxxxxxxxx xxxxxxxxx,
x) kdo xxxx likvidaci xxx xxxxxxxx (xxxxxxx xxxxxxxxxxx, xxxx xxxxxxxxx),
x) xxxxxxxxxx xxxxxxxx x nástrojů xxx xxxxxxxxx,
x) kapacitu xxxxxxxxxxxxx nosičů,
h) zda xx x xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx likvidace,
j) xxxx xxxxxxxxx x ohledem xx xxxxxxxx, xxxxxxx, xxxxxxxx, xxxxxxxx xxxxxxx xxxxxx informace
k) možné xxxxxxx xxxxxxxxx xxx (xxxxxxxxx xxxxxxxx nosiče, xxxxxxxxxxxxxxxx xxxxxxxxx nosiče xxx, znečitelněním xxx xxxxxx xxxxxxxxxx x xxxxxxx),
x) použitelné xxxxxxx xxxxxxxxx xxx vzhledem xx stavu xxxxxx xxxxxxxxx (xxxxxxxxx při xxxxxxxxx xxxxxxxx nebude xxxxx xxxxxx xxxxxxxx xxxxxxx informace, ale xxxxxxx xx xxxxxxx xxxxxxx xxxxxxxxx).
(4) Xxxxxxx xxxxxxxxx technických xxxxxx xxxxxxxxx, xxxxxxxxxx xxxxx, xxxxxxxxx a xxxxxx xxxxx:
x) Odstranění
1. Xxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxxx xxx tak, xxx byla pro xxxxxx nedostupná (například xxxxxxxxxx xxxxxxxx xxxxxxx, xxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxx).
2. Xxx x xxxxxxx bezpečný xxxxxx xxxxxxxxx xxx. X xxxxxxx xxxxxxx xxxxxx xxxxxxxxx xx xxxxx s vynaložením xxxxxxxx xxxxx informace xxxxxxx.
3. Xxxx xxxxxx xxxx xxxxxxxxxx xxx xxxxxx xxxxxxxxxxx xxx xxxxxxxxxxxx xxxxxxxx xxxxx.
4. Xxxxxxxxxx xxxxxx pro xxxxxx xxxxxxxxxx aktiva (xxxxxxx x přílohy č. 1): xxxxx.
x) Xxxxxxxx
1. Xxxxxx xxxxxxxxx spočívá x xxxxxxxx chráněné informace xxxxxxxxxx hodnotami.
2. Xxx x xxxxxxx xxxxxxxx xxxxxx likvidace xxx. Xxxxx xxxxxxxx nástroje xxxxxxxxxx xxxxxxxx přepsaných xxxxxxxxx.
3. Xxxxxxxx xxxx xxx xxxxxxxxx xxxx xxxxxxxxxxx bezpečnou xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx k xxxxxxxxxxx informaci.
4. Tato xxxxxx není vhodná xxx xxxxxxxxx xxxxx, xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx, xxxxxxxx xxx xxxxx s xxxxxx xxxxxxxxx.
5. Xxxxxxxxxx způsob xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1): xxxxx xx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx
1. Xxxxxx xxxxxxxxx spočívající ve xxxxxxx xxxxxx xxxxxxxxx, xxxxxxxxx v xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx nosiče xxxxxxxxx (xxxxxxxxxxx, xxxxxxxxx xx xxxxxxxx xxxxxxxxx).
2. Xxx x xxxxxxxxxxxxxx xxxxxx xxxxxxxxx xxx. Nosič xxxxxxxxx xx xxxxxxx xxxxxxxxx xxxxx xxxxx xxxxxx xxx xxxxxxx xxxx. Xxxxxxx informace xxxx xxxxx xxxxxxx xxx xxx vynaložení xxxxxxx xxxxxxxx prostředků x xxxxx.
3. Xxxxxxxxxx xxxxxx xxxxxxxxx xxx xxxxxx xxxxxxxxxx aktiva (xxxxxxx x přílohy č. 1): xxxxxxx xx kritická.
Příklad xxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx xxxxxx (vychází z přílohy č. 1)
|
Xxxxxxxxx způsob likvidace xxxxx xxxxxx xxxxxxxxxxx xxxxxx |
|||||
|
Xxxxx xxxxxxxxx |
1. Nízká |
2. Xxxxxxx |
3. Xxxxxx |
4. Kritická |
|
|
Informace xx xxxxxx xxxxxxxx xxxxxx (xxxxxxx xxxxxxxxx, xxxxxxxx a podobně) |
Odstranění: Xxxxxxxx xx xxxxxx. |
Xxxxxxxx: Xxxxxxxxx. |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxxx xxxxxxxxx: |
|||||
|
Mobilní xxxxxxxx (xxxxxxx xxxxxxxx, xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxx likvidace: |
||
|
Xxxxxx zařízení (xxxxxx, xxxxxx, xxxxx x xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
|||
|
Xxxxxxxxxxx xxxxxxxx (xxxxxxx, xxxxxxxx, xxx) |
|||||
|
Xxxxxxxxxx média (xxxxxxxxxx xxxxx, disky, XXX [Xxxx Disk Xxxxx]) |
Xxxxxxxxxx: |
Xxxxxxxx: |
|||
|
Xxxxxxx média (XX, XXX, HD-DVD, XXX-XXX) |
Xxxxxxx xxxxxxxxx: |
||||
|
Xxxxxxx xxxxxxxxx. |
|||||
|
Xxxxxxxxxxxx xxxxx (xxxxx xxxxxx) |
|||||
|
Xxxxxxxxxxx a xxxxx |
Xxxxxxxxx xxxxxx xxxxxxxxx dat xx měl být xxxxxxxx xxxxxxxx xxxxxxxxx. |
||||
|
Xxxxxxxxxx: |
Přepsání: |
Přepsání: |
Xxxxxxxx/xxxxxxx xxxxxxxxx: |
||
|
Xxxxxxxxxxxx x xxxxxxx dedikovaného paměťového xxxxx je xxxxx xxxx xx ukončení xxxxxx xxxxxxx. |
|||||
Příloha x. 5 x vyhlášce x. 82/2018 Xx.
Xxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
1. Xxxxxxxxxxxx politika
1.1. Xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) Cíle, xxxxxxxx x xxxxxxx xxxxxx bezpečnosti informací.
b) Xxxxxx a hranice xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxx xxxxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxx xxxxxx x xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx nápravná opatření x xxxxxxxxxx xxxxxxx xxxxxx bezpečnosti informací.
1.2. Xxxxxxxx řízení aktiv
a) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x evidence xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx aktiv z xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Identifikace, xxxxxxxxx a evidence xxxxxxxxxx xxxxx
1. určení x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxx xxxxx xxxx xxxxxxxxxx x podpůrnými xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx xxx xxxxxxxxxx a xxxxxxxx xxxxx podle xxxxxx xxxxx,
3. xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxxx xxxxxx xxxx ničení xxxxxxxxxxx xxxxxx xxx, xxxxxxxxx, xxxxxxxxxx xxxxx a xxxxxx kopií.
1.3. Xxxxxxxx xxxxxxxxxxx bezpečnosti
a) Xxxxxx xxxxxxxxxxxxxx xxxx a xxxxxx xxxx x xxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx rolí.
c) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxx.
1.4. Xxxxxxxx xxxxxx xxxxxxxxxx
x) Pravidla x xxxxxxxx pro xxxxx xxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx rizik xxxxxxxxxxxxx s dodavateli.
c) Xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxx x xxxxxxx a úrovní xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x x xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx.
x) Xxxxxxxx xxx provádění xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx.
1.5. Xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x způsoby xxxx xxxxxxxxx
1. xxxxxxx x xxxxx poučení xxxxxxxxx,
2. způsoby a xxxxx xxxxxxx xxxxxxx xxxxx,
3. způsoby x xxxxx xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx a xxxxx xxxxxxx xxxx zastávajících xxxxxxxxxxxx role.
b) Xxxxxxxxxxxx xxxxxxx nových zaměstnanců.
c) Xxxxxxxx pro xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx ukončení xxxxxxxxxx xxxxxx xxxx změnu xxxxxxxx pozice
1. xxxxxxx xxxxxxxxx xxxxx a xxxxxxxx práv xxx xxxxxxxx pracovního xxxxxx,
2. xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxx xxxxxx.
1.6. Politika řízení xxxxxxx a xxxxxxxxxx
x) Xxxxxxxxx x xxxxxxxxxxxx xxxxxxx s xxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Požadavky x xxxxxxxxx bezpečného xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxxxxxxxxxxxx xxxxx.
1.7. Xxxxxxxx xxxxxx přístupu
a) Xxxxxxx xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (xxxx xx xxxx).
x) Xxxxxxxxx na řízení xxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxx xxxxxxxx.
x) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxxxxx pro mimořádné xxxxxxx.
x) Xxxxxxxxxx přezkoumání xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx jednotlivých xxxxxxxxx x přístupových xxxxxxxxx.
1.8. Xxxxxxxx xxxxxxxxxx chování xxxxxxxxx
x) Pravidla xxx xxxxxxxx xxxxxxxxx x xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx hesla.
c) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx x xxxxxxxx xx xxxxxxxx.
x) Bezpečný vzdálený xxxxxxx.
x) Xxxxxxxx xxxxxxx xx xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx xx xxxxxx x xxxxxxxx xxxxxxxxx.
1.9. Xxxxxxxx zálohování a xxxxxx x xxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxxx xx xxxxxxxxxx x obnovu.
b) Xxxxxxxx a xxxxxxx xxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxxx ukládání xxxxxxxxx.
x) Pravidla x xxxxxxx xxxxxx.
x) Xxxxxxxx x postupy xxxxxxxxx xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx xxxxxxxx x xxxxxxx, ukládaným informacím.
1.10. Xxxxxxxx bezpečného xxxxxxxxx x xxxxxx informací
a) Xxxxxxxx x xxxxxxx xxx ochranu předávaných xxxxxxxxx.
x) Xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx informací.
c) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx ochrany.
1.11. Xxxxxxxx xxxxxx xxxxxxxxxxx zranitelností
a) Xxxxxxxx xxx xxxxxxx xxxxxxxxx programového xxxxxxxx.
x) Xxxxxxxx x postupy xxxxxxxxxxx opravných xxxxxxxxxxxx xxxxxxx.
x) Pravidla a xxxxxxx testování xxxxx xxxxxxxxxxxx vybavení.
d) Pravidla x postupy xxxxxxxx xxxxx programového xxxxxxxx.
1.12. Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx
x) Xxxxxxxx x postupy xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro zajištění xxxxxxxxxxx zařízení, která xxxxxxx xxxxx xxxx xx své xxxxxx.
1.13. Xxxxxxxx akvizice, vývoje x xxxxxx
x) Xxxxxxxxxxxx xxxxxxxxx xxx akvizici, xxxxx x údržbu.
b) Xxxxxx xxxxxxxxxxxxx.
x) Politika xxxxxxxxxxx a xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x informací
1. pravidla x xxxxxxx xxxxxxxx xxxxxxxxxxxx vybavení x xxxx xxxxxxxx,
2. xxxxxxxx x postupy xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
1.14. Xxxxxxxx ochrany xxxxxxxx údajů
a) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx osobních xxxxx.
x) Popis xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx pro ochranu xxxxxxxx údajů.
1.15. Xxxxxxxx xxxxxxx xxxxxxxxxxx
x) Xxxxxxxx xxx xxxxxxx xxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxx xxxx.
x) Pravidla xxx xxxxxxx xxxxxxxx.
x) Xxxxxxx narušení fyzické xxxxxxxxxxx.
1.16. Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxx
x) Pravidla x postupy xxx xxxxxxxxx bezpečnosti xxxx.
x) Xxxxxx xxxx a xxxxxxxxxx xx xxxxxxxx xxxxxx sítě.
c) Xxxxxxxx x postupy xxx xxxxxx xxxxxxxx x xxxxx xxxx.
x) Xxxxxxxx x postupy xxx xxxxxxx vzdáleného přístupu x xxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxxxxx sítě a xxxxxxxxxxxxx provozních xxxxxxx.
1.17. Xxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx
x) Pravidla x xxxxxxx xxx xxxxxxx síťové xxxxxxxxxx.
x) Xxxxxxxx a postupy xxx xxxxxxx serverů x xxxxxxxxx datových xxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxxxxxx xxxxxx.
1.18. Xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxx x xxxxxxx xxxxxxxx nástroje pro xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Provozní xxxxxxx xxx xxxxxxxxxxxxx a xxxxxxxxx na xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx události.
c) Xxxxxxxx x postupy xxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx pro detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
1.19. Xxxxxxxx xxxxxxx x xxxxxx xxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
a) Xxxxxxxx x postupy xxx xxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx pro vyhodnocení xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx a postupy xxx xxxxxxxxx nastavení xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxx sběr a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
1.20. Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx ochrany
a) Xxxxxx ochrany s xxxxxxx na typ x xxxx kryptografického xxxxxxxxx.
x) Pravidla xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx
1. při xxxxxxx po komunikačních xxxxxx,
2. při uložení xx mobilní zařízení xxxx xxxxxxxxxxx xxxxxxxxx xxxxx dat.
c) Systém xxxxxx xxxxx.
1.21. Xxxxxxxx xxxxxx xxxx
x) Xxxxxx x principy řízení xxxxxxxxxx xxxx x xxxxx povinné osoby, xxxxxx xxxxxxxxx, xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxxxxxxx xxxxxx xxxxxxxxxx xxxx.
x) Xxxxxx vedení xxxxxxxx x xxxxxxxxx xxxxxxxxxx změn.
1.22. Politika xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
x) Definování xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu.
b) Xxxxxxxx a xxxxxxx xxx xxxxxxxxxxxx, evidenci x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxx.
1.23. Xxxxxxxx řízení xxxxxxxxxx xxxxxxxx
x) Práva x xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxx řízení xxxxxxxxxx xxxxxxxx
1. minimální xxxxxx xxxxxxxxxxxxx služeb,
2. xxxx xxxxxxxx xxxxx,
3. xxx xxxxxxxx dat.
c) Xxxxxxxx xxxxxx kontinuity xxxxxxxx xxx xxxxxxxx xxxx kontinuity.
d) Způsoby xxxxxxxxx dopadů xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxx xxxxx.
x) Xxxxxx x obsah xxxxxxxxxx xxxxx xxxxxxxxxx a xxxxxxxxxxx plánů.
f) Postupy xxx xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx.
2. Xxxxx xxxxxxxxxxxx dokumentace
2.1. Zpráva x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) Xxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx xxxx xxxxxxxx x xxxx, xxxxx xx auditu xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx.
x) Xxxxx x xxxxx, xxx byly xxxxxxxxx xxxxxxxx při xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Zjištění x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxx auditu xxxxxxxxxxxx bezpečnosti.
2.2. Xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti informací
a) Xxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.
b) Xxxxxxxxxxxx změn a xxxxxxxxx, které mohou xxx xxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx vazba x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x xxxxxxxx opatření,
2. xxxxxxxx xxxxxxxxxxxx a xxxxxx,
3. výsledky xxxxxx,
4. xxxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.
d) Xxxxxxxx xxxxxxxxx xxxxx x xxxx xxxxx xxxxxxxx xxxxx.
x) Xxxxxxxxxxxx xxxxxxxx xxx neustálé xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx opatření x xxxx xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
2.3. Xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx aktiv x xxx hodnocení xxxxx
x) Určení xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx hodnocení úrovní xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxx,
3. xxxxxx stupnice xxx xxxxxxxxx xxxxxx dostupnosti xxxxx.
x) Xxxxxx xxxxxxxx xxx hodnocení xxxxx
1. xxxxxx stupnice xxx xxxxxxxxx xxxxxx dopadu,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx hrozby,
3. xxxxxx stupnice xxx xxxxxxxxx úrovní zranitelnosti,
4. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxx.
x) Xxxxxx x xxxxxxxx xxx zvládání xxxxx.
x) Xxxxxxx schvalování xxxxxxxxxxxxxxxx xxxxx.
2.4. Zpráva x xxxxxxxxx xxxxx x xxxxx
x) Přehled xxxxxxxxxx xxxxx
1. identifikace x xxxxx primárních xxxxx,
2. xxxxxx garantů primárních xxxxx,
3. xxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, integrity x xxxxxxxxxxx.
x) Xxxxxxx podpůrných xxxxx
1. xxxxxxxxxxxx a xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx podpůrných xxxxx,
3. xxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.
x) Hodnocení xxxxx
1. xxxxxxxxx xxxxxxx xxxxxx xx xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx zranitelností, xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
4. xxxxxxxxx úrovně xxxxxx, xxxxxxxxx xxxx xxxxxx x kritérii pro xxxxxxxxxxxxxxxx xxxxx,
5. xxxxxx x schválení xxxxxxxxxxxxxxxx xxxxx.
x) Xxxxxxxx rizik
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. xxxxx xxxxxxxx x xxxxxx realizace.
2.5. Xxxxxxxxxx x xxxxxxxxxxxxxxxx
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxx xxxxxxxxxx, xxxx xxxxxx aplikována.
b) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx včetně xxxxxxx xxxxxx implementace.
2.6. Plán xxxxxxxx xxxxx
x) Obsah x xxxx xxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx rizik xxxxxx xxxxx na xxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Osoby xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
d) Xxxxxxx xxxxxxxx jednotlivých xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxx xxxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxx hodnocení xxxxxxxxxx xxxxxxxx jednotlivých bezpečnostních xxxxxxxx pro zvládání xxxxx.
2.7. Xxxx rozvoje xxxxxxxxxxxxxx povědomí
a) Xxxxx x xxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx zastávajících bezpečnostní xxxx.
x) Xxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Přehledy, které xxxxxxxx předmět jednotlivých xxxxxxx a xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
x) Formy x xxxxxxx xxxxxxxxx xxxxx.
2.8. Xxxxxxxx změn
a) Xxxxxxxx xxxxxxxxx cyklu xxxxxxxxxx xxxx.
x) Záznamy o xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx.
2.9. Xxxxxxx kontaktní xxxxx
Xxxxxxx xxxxxxxxx kontaktních xxxxx.
2.10. Přehled obecně xxxxxxxxx právních předpisů, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx
x) Přehled xxxxxx xxxxxxxxx právních xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxx x jiných xxxxxxxx.
x) Xxxxxxx smluvních xxxxxxx.
2.11. Další xxxxxxxxxx xxxxxxxxxxx
x) Xxxxxxxxx xxxxxxxxxxxxxx.
x) Xxxxxxx síťových zařízení.
Xxxxxxx č. 6 x xxxxxxxx č. 82/2018 Xx.
Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx role
Tato xxxxxxx obsahuje xxxxx xxxxxxxxxxxx xxxxxxxxx pro xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx role xxxxxxx x §6 x 7.
Xxx. 1: Výbor xxx xxxxxx kybernetické xxxxxxxxxxx
|
Xxxx: |
Xxxxx pro xxxxxx xxxxxxxxxxxx bezpečnosti |
|
Klíčové činnosti: |
a) Xxxxxxxxxxx xx xxxxxxx xxxxxx a rozvoj xxxxxxxxxxxx bezpečnosti v xxxxx xxxxxxx xxxxx. |
|
Další podmínky: |
a) Xxxx xxxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti xxxx xxx xxxxxxx |
Xxx. 2: Manažer xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx činnosti: |
a) Xxxxxxxxxxx xx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací. |
|
Znalosti: |
a) Xxxxx řady ISO/IEC 27000 a xxxxxxx xxxxx x xxxxxxx xxxxxxxxxxx x XXX. |
|
Xxxxxxxxxx: |
x) Prosazování xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx. |
|
Xxxxxxxx a xxxxx: |
x) Xxxxxxx 3 roky xxxxx x xxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxx |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Information Xxxxxxxx Xxxxxxx (CISM), Certified xx Risk xxx Xxxxxxxxxxx Systems Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Xxxxxxxx Professional (XXXXX), Manažer BI (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
x) Xxxx není xxxxxxxxxx x xxxxxx xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx a s xxxxxxx xxxxxxxxxx či xxxxxxxx xxxxxx. |
Tab. 3: Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxxxx xxxxxxxxxxxx bezpečnosti |
|
Klíčové xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxxx informačních x xxxxxxxxxxxxx xxxxxxx x xxxx xxxxxxxxxx. |
|
Zkušenosti: |
a) Xxxxxxxxxx implementace xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx a xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx x xxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxx |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxx Hacker (XXX), XxxxXXX Xxxxxxxx +, Xxxxxxxxx Information Xxxxxxxx Xxxxxxx (CISM), Xxxxxxxxx xx Xxxx xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (CRISC), Certified Xxxxxxxxxxx Xxxxxxx Xxxxxxxx Xxxxxxxxxxxx (XXXXX), Manažer XX (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx podmínky: |
Role není xxxxxxxxxx x xxxxxx xxxxxxxxxxx xx provoz xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx. |
Xxx. 4: Auditor xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
Xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti. |
|
Znalosti: |
a) Xxxxxxxxxxx x xxxxx auditu xxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxx xxxxxx informační xxxx xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx v xxxxxxx xxxxxx informační xxxx xxxxxxxxxxxx bezpečnosti, nebo |
|
Relevantní xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXX), Xxxxxxxxx Internal Xxxxxxx (XXX), Certified xx Xxxx xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Lead Auditor Xxxxxxxxxxx Xxxxxxxx Xxxxxxxxxx Xxxxxx (Xxxx Xxxxxxx XXXX), Xxxxxxx XX (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
x) Role není xxxxxxxxxx x xxxxxx |
Xxx. 5: Xxxxxx aktiva
|
Role: |
Garant xxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Odpovědnost xx xxxxxxxxx xxxxxxx, xxxxxxx x xxxxxxxxxxx aktiva. |
|
Xxxxxxxx: |
x) Dobrá znalost xxxxxx, jehož xx xxxxxxxx. |
* Xxxxxxxxxxx může xxx x xxxx xxx xxxxxxx, xxxxxxxx certifikace xxxxxxxxxxx xxxxxxxx způsobilost xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx ISO 17 024.
Xxxxxxx x. 7 x vyhlášce x. 82/2018 Sb.
Řízení xxxxxxxxxx - xxxxxxxxxxxx xxxxxxxx xxx xxxxxxx vztahy
Obsah xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx:
x) xxxxxxxxxx x bezpečnosti informací (x xxxxxxx xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxx),
x) xxxxxxxxxx x oprávnění xxxxxx xxxx,
x) xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxx o xxxxxxxxxxxx licencích,
d) xxxxxxxxxx x xxxxxxxx x xxxxxx dodavatele (xxxxxxxx xxxxxxxxxxxx auditu),
e) xxxxxxxxxx xxxxxxxxxx xxxxxxxx dodavatelů, xxxxxxx xxxx být xxxxxxxxx, xx xxxxxxxxxxxxx xx xxxxxx xxxxxxxxx x xxxxx xxxxxxx xxxxxxxx xxxx povinnou xxxxxx a dodavatelem x xxxxxxx v xxxxxxx s xxxxxxxxx xxxxxxx osoby xx xxxxxxxxxx,
x) ustanovení x xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx politiky povinné xxxxx xxxx ustanovení x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxx povinnou xxxxxx,
x) ustanovení o xxxxxx xxxx,
x) xxxxxxxxxx x xxxxxxx xxxxx x obecně závaznými xxxxxxxx xxxxxxxx,
x) ustanovení x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx povinnou osobu x
1. xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx s xxxxxxx smlouvy,
2. xxxxxxx xxxxxx rizik xx xxxxxx dodavatele x x zbytkových xxxxxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxx,
3. xxxxxxxx xxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxx xxxxxx x xxxxxxxxxx korporacích xxxx xxxxx xxxxxxxxxxx zásadních xxxxx, xxxxxxxxx xxxxx xxxxxxxxx nakládat x xxxxxx xxxxxx, xxxxxxxxxxx xxxxx xxxxxxxxxxx x xxxxxx xxxxx xxxxxxx xx správcem,
j) specifikace xxxxxxxx x xxxxxxx xxxxxxxxxxx xxx ukončení xxxxxxx (například xxxxxxxxx xxxxxx xxx ukončení xxxxxxxxxx, xxx je xxxxx xxxxx udržovat xxxxxx před xxxxxxxxx xxxxxx řešení, xxxxxxx xxx a podobně),
k) xxxxxxxxxxx podmínek pro xxxxxx kontinuity xxxxxxxx x xxxxxxxxxxx x xxxxxxxxxx (xxxxxxxxx xxxxxxxx xxxxxxxxxx do xxxxxxxxxxx xxxxx, xxxxx dodavatelů xxx aktivaci řízení xxxxxxxxxx xxxxxxxx),
x) specifikace xxxxxxxx pro xxxxxx xxxxxxx xxx, xxxxxxxxxx xxxxx a informací xx vyžádání správcem,
m) xxxxxxxx xxx xxxxxxxxx xxx,
x) xxxxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxx x xxxxxxx xxxxxxxx xxxxx xxxxxxxx nad dodavatelem xxxx xxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxx dodavatelem k xxxxxx podle xxxxxxx x
x) xxxxxxxxxx o xxxxxxxx xx xxxxxxxx xxxxxxxxxx.
Xxxxxxx x. 8 x xxxxxxxx x. 82/2018 Xx.
Xxxx Formuláře xxx xxxxxxx xxxxxxxxxxx xxxxx
Informace
Právní xxxxxxx x. 82/2018 Xx. xxxxx xxxxxxxxx dnem 28.5.2018.
Xx xxx xxxxxxxx xxxxxx xxxxxxx xxxxx xxxxx xx xxxxxxxxx.
Xxxxxx xxxxxxx x. 82/2018 Xx. xxx zrušen xxxxxxx xxxxxxxxx č. 264/2025 Sb. s xxxxxxxxx xx 1.11.2025.
Xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx x odkazech xxxx xxxxxxxxxxxxx, xxxxx se xxxx xxxxxx xxxxxxxxx xxxxx shora uvedeného xxxxxxxx předpisu.
1) Směrnice Evropského xxxxxxxxxx x Rady (XX) 2016/1148 xx xxx 6. xxxxxxxx 2016 x xxxxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx úrovně xxxxxxxxxxx xxxx a xxxxxxxxxxxx xxxxxxx x Xxxx.