Právní předpis byl sestaven k datu 31.07.2025.
Zobrazené znění právního předpisu je účinné od 28.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
82/2018 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení aktiv §4
Řízení rizik §5
Organizační bezpečnost §6
Bezpečnostní role §7
Řízení dodavatelů §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení změn §11
Řízení přístupu §12
Akvizice, vývoj a údržba §13
Zvládání kybernetických bezpečnostních událostí a incidentů §14
Řízení kontinuity činností §15
Audit kybernetické bezpečnosti §16
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §17
Bezpečnost komunikačních sítí §18
Správa a ověřování identit §19
Řízení přístupových oprávnění §20
Ochrana před škodlivým kódem §21
Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů §22
Detekce kybernetických bezpečnostních událostí §23
Sběr a vyhodnocování kybernetických bezpečnostních událostí §24
Aplikační bezpečnost §25
Kryptografické prostředky §26
Zajišťování úrovně dostupnosti informací §27
Průmyslové, řídicí a obdobné specifické systémy §28
Digitální služby §29
HLAVA III - BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní politika a bezpečnostní dokumentace §30
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Kategorizace kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ZÁVĚREČNÁ USTANOVENÍ
Přechodná ustanovení §35
Zrušovací ustanovení §36
Účinnost §37
Příloha č. 1 - Hodnocení aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Zranitelnosti a hrozby
Příloha č. 4 - Likvidace dat
Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace
Příloha č. 6 - Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role
Příloha č. 7 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy
Příloha č. 8 - Vzor Formuláře pro hlášení kontaktních údajů
82
XXXXXXXX
xx xxx 21. xxxxxx 2018
o bezpečnostních xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, reaktivních xxxxxxxxxx, xxxxxxxxxxxxx xxxxxx v xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx dat (xxxxxxxx x kybernetické xxxxxxxxxxx)
Xxxxxxx xxxx pro xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx stanoví podle §28 xxxx. 2 xxxx. x) až x) x f) xxxxxx x. 181/2014 Xx., x xxxxxxxxxxxx xxxxxxxxxxx x o xxxxx xxxxxxxxxxxxx xxxxxx (xxxxx o xxxxxxxxxxxx xxxxxxxxxxx), xx znění xxxxxx x. 104/2017 Xx. x xxxxxx x. 205/2017 Xx., (xxxx xxx "zákon"):
XXXX XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxx vyhláška zapracovává xxxxxxxxx xxxxxxx Xxxxxxxx xxxx1) x pro xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxx xxxxxxxxxx xxxxxx, informační xxxxxx xxxxxxxx xxxxxx xxxxx xxxxxxxxxx xxxxxx nebo xxx xxxxxxxxxxxxxx komunikací, xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, (dále xxx "informační a xxxxxxxxxxx xxxxxx") xxxxxxxx
x) xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) obsah x rozsah bezpečnostních xxxxxxxx,
x) typy, kategorie x xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
d) xxxxxxxxxxx a způsob xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx,
x) náležitosti oznámení x provedení reaktivního xxxxxxxx x jeho xxxxxxxx,
x) xxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxx xxxxx x
x) xxxxxx xxxxxxxxx xxx, xxxxxxxxxx xxxxx, xxxxxxxxx x jejich xxxxx.
§2
Xxxxxxxx xxxxx
Xxx účely xxxx xxxxxxxx se xxxxxx
x) xxxxxxxxxxxxxxx osoba xxxxxxxxxxx správu, xxxxxx, xxxxxxx, xxxxxx x xxxxxxxxxx xxxxxxxxxxx aktiva,
b) xxxxxxxxxxxxxxx rizikem xxxxxx, xxxxx xx xxxxxxxxxx xxx xxxxx xxxx xxxxx, xxxxx jsou xxxxxxx zavést xxxxxxxxxxxx xxxxxxxx xxxxx zákona, (xxxx xxx "xxxxxxx xxxxx") x xxxx xxxxx xxx zvládat xxxxxx dalších xxxxxxxxxxxxxx xxxxxxxx,
x) bezpečnostní xxxxxxxxx xxxxxx zásad a xxxxxxxx, xxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxx,
x) xxxxxxxxxx xxxxx xxxxxxx xxxxxx identifikace, xxxxxxx a xxxxxxxxxxx xxxxx,
x) hrozbou potenciální xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx nebo xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu, která xxxx xxxxxxxx škodu,
f) xxxxxxxxx xxxxxxx technické xxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xx xx xxxxxxx, xxxxxxx, xxxxxx nebo xxxxxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx nebo xxxxxx, xxxxxx zpracovává nebo xxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx systém,
h) xxxxxxx xxxxxxx, xx xxxxxx xxxxxx využije xxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxx,
x) xxxxxxx rizik xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx, xxxxx x xxxxxxxx xxxxxxxx xx xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx o xxxxxx x sledování x xxxxxxxxxxx xxxxx,
x) xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx systému řízení xxxxxxx xxxxx xxxxxxxx xx přístupu x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, která xxxxxxx způsob xxxxxxxx, xxxxxxxx, provozování, monitorování, xxxxxxxxxxx, xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxx,
x) technickým xxxxxxx takové technické xxxxxxxx, komunikační xxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxx, xx xxxxxxx jsou xxxx xxxxxxx umístěny, xxxxxxx selhání xxxx xxx xxxxx xx xxxxxxxxxx a komunikační xxxxxx,
x) xxxxxxxxxx fyzická xxxx xxxxxxxxx xxxxx xxxxx xxxxx veřejné xxxx, xxxxx využívají xxxxxx,
x) xxxxxxxxxx vedením xxxxx nebo skupina xxxx, xxxxx xxxx xxxxxxxx xxxxx, nebo xxxxxxxxxx orgán xxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx (xxxx xxx "xxxxxxxxxxxx") x xxxxx, kdo x xxxxxxxx xxxxxx xxxxxxxx xx xxxxxxxx vztahu, xxxxx xx xxxxxxxx x xxxxxxxx bezpečnosti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) významnou xxxxxx xxxxx, xxxxx xx xxxx xxxx xxx xxxx na xxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxx xxxxxx,
x) xxxxxxxxxxxxx xxxxx xxxxx xxxxxx xxxx xxxxx místo xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxx zneužito xxxxxx xxxx více xxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx x xxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx
x) xxxxxxx x xxxxxxx xx požadavky xxxxxxxxx xxxxx a organizační xxxxxxxxxx xxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xx kterém xxxx xxxxxxxxxxx xxxxx a xxxxxx, xxxxx se xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx,
x) xxxxxxx xxxx xxxxxxx řízení xxxxxxxxxxx informací,
c) xxx xxxxxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xx základě xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, bezpečnostních xxxxxx x xxxxxxxxx xxxxx xxxxxx přiměřená xxxxxxxxxxxx xxxxxxxx,
x) řídí rizika xxxxx §5,
e) vytvoří x xxxxxxx bezpečnostní xxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, která xxxxxxxx xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx ve xxxxxx x řízení xxxxxxxxxxx xxxxxxxxx, x xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx stanoví xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §30 x zavede xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx x komunikačního xxxxxxx (xxxx xxx "xxxxx kybernetické xxxxxxxxxxx") xxxxx §16,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxxx revize xxxxxxxxx xxxxx, posouzení xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxxxx xxxxxxxxxxxxxx bezpečnostních incidentů xx systém řízení xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx a následně xxxxx §11 xxxx xxxxxxxx změny, xxxxx xxxxx xx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxxxx informací x xxxxxxxxxx dokumentaci xx xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti, xxxxxxxx vyhodnocení xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x x xxxxxxxxxxx s prováděnými xxxxxxxxxx změnami x
x) xxxx xxxxxx x xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a xxxxxxxxxxx xxxxxxxx xxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxx informací x xxxxxxx xxxxx.
§4
Řízení aktiv
(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) stanoví xxxxxxxx xxx xxxxxxxxx xxxxx xxxxxxx x rozsahu xxxxxxxx x příloze č. 1 x této xxxxxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxx,
x) xxxx x xxxxxxx xxxxxxx aktiv,
e) xxxxxxx x eviduje xxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxx, integrity x dostupnosti x xxxxxx xx xx xxxxxxxxxxxx úrovní podle xxxxxxx x),
x) určí x xxxxxxx vazby xxxx primárními x xxxxxxxxxx aktivy x xxxxxxx důsledky xxxxxxxxxx xxxx xxxxxxxxxx a xxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxx přitom xxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxx f),
h) na xxxxxxx xxxxxxxxx xxxxx xxxxxxxxx x xxxxxx xxxxxxxx xxxxxxx xxxxx xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx a pravidla xxx xxxxxxxxxx s xxxxxx s xxxxxxx xx xxxxxx aktiv, xxxxxx xxxxxxxx xxx xxxxxxxx elektronické sdílení x xxxxxxx xxxxxxxxx xxxxx, x
x) xxxx xxxxxx likvidace dat, xxxxxxxxxx xxxxx, informací x jejich xxxxx xxxx likvidaci technických xxxxxx xxx x xxxxxxx xx xxxxxx xxxxx x xxxxxxx x přílohou č. 4 x xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx xxxxxxxxxxx primárních xxxxx xx třeba xxxxxxxx xxxxxxx
x) xxxxxx x xxxxxxxxxx osobních xxxxx, xxxxxxxxxx kategorií xxxxxxxx xxxxx nebo xxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxx právních xxxxxxxxxx xxxx xxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx a xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx veřejných, xxxxxxxxxx xxxx ekonomických xxxxx a xxxxx xxxxxxxx ztráty,
e) xxxxxx xx poskytování důležitých xxxxxx,
x) xxxxxx narušení xxxxxxx xxxxxxxx,
x) xxxxxx xx xxxxxxxxx xxxxxxx xxxxx nebo xxxxxxx xxxxx pověsti,
h) xxxxxx xx bezpečnost x xxxxxx xxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx x
x) xxxxxx xx xxxxxxxxx informačního a xxxxxxxxxxxxx xxxxxxx.
§5
Xxxxxx xxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxx v xxxxxxxxxx xx §4
x) xxxxxxx metodiku pro xxxxxxxxx rizik, xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxxxxx xxxxx,
x) s xxxxxxx xx aktiva xxxxxxxxxxxx xxxxxxxxxx hrozby x zranitelnosti; xxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxx x zranitelností xxxxxxxxx x příloze č. 3 x xxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 2 x při xxxxxxxxxx xxxxxxx,
x) xxx hodnocení xxxxx xxxxxxxx xxxxxxxxxx xxxxxx x zranitelnosti x xxxxxxx xxxxx xxxxxx xx aktiva; xxxx rizika xxxxxxx xxxxxxx x rozsahu přílohy č. 2 x xxxx xxxxxxxx,
x) xxxxxxxx xxxxxx x xxxxxxxxx xxxxx,
x) xxxxxxxx na xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx o aplikovatelnosti, xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxx opatření xxxxxxxxxxxx xxxxx vyhláškou, xxxxx
1. xxxxxx aplikována, xxxxxx xxxxxxxxxx,
2. xxxx aplikována, xxxxxx xxxxxxx plnění,
g) xxxxxxxx x zavede xxxx zvládání xxxxx, xxxxx xxxxxxxx cíle x xxxxxxx bezpečnostních xxxxxxxx pro zvládání xxxxxxxxxxxx xxxxx, určení xxxxx xxxxxxxxxxx prosazování xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, potřebné xxxxxxxx, xxxxxxxxx, xxxxxx x xxxxxxxxxx zdroje, xxxxxx jejich xxxxxxxx, xxxxx vazeb xxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx opatřeními x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxx xxxxxxxxx xxxxx a x xxxxx zvládání xxxxx xxxxxxxx
1. významné xxxxx,
2. xxxxx xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
3. xxxxxxxx xxxxx §11 xxxxxx x
4. kybernetické xxxxxxxxxxxx incidenty, xxxxxx xxxxx xxxxxxxx, x
x) x xxxxxxx x xxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 písm. x), x) x x) xxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx ročně x xxxxxxx xxxxx xxxxxxx x §3 písm. x) zákona alespoň xxxxxx za xxx xxxx.
(3) Řízení rizik xxxx být xxxxxxxxx x xxxxxx způsoby, xxx xxx xx xxxxxxxxx x xxxxxxxx 1 písm. x), xxxxx povinná xxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx xxxxxxx stejnou xxxx xxxxx úroveň xxxxxxx řízení xxxxx.
§6
Xxxxxxxxxxx xxxxxxxxxx
(1) Xxxxxxx xxxxx x ohledem xx systém řízení xxxxxxxxxxx xxxxxxxxx
x) zajistí xxxxxxxxx bezpečnostní xxxxxxxx x xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx §3 xxxxxxxxxxxx xx strategickým xxxxxxxxxx xxxxxxx osoby,
b) zajistí xxxxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxx osoby,
c) xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx xxx xxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxx zaměstnance x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací x xxxxxxx xxxxxxxx xxxxx x jeho xxxxxxxxx xx xxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací,
f) xxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxx xx při xxxxx xxxxxxxxx,
x) prosazuje xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxx zastávající xxxxxxxxxxxx xxxx při xxxxxxxxxxx kybernetické xxxxxxxxxxx x oblastech xxxxxx xxxxxxxxxxxx,
x) zajistí stanovení xxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx a osob, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxxx, xxx byla zachována xxxxxxxxxxx xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxx příslušné pravomoci x xxxxxx včetně xxxxxxxxxxxx xxxxxxxxxx k xxxxxxxxxx xxxxxx rolí x plnění xxxxxxxxxxxxx xxxxx a
l) xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx, xxxxxx a xxxxxxx xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx x xxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxxxxxxxxxx xxxx x xxxxxx xxxxx a povinnosti xxxxxxxxxxx se xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(3) Xxxxxxx osoba xxxxxxx x §3 xxxx. x), x) a x) xxxxxx xxxx xxxxx, xxxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxx
x) xxxxxxxx kybernetické xxxxxxxxxxx,
x) xxxxxxxxxx kybernetické xxxxxxxxxxx,
x) xxxxxxx xxxxxx x
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxx osoba xxxxxxx x §3 xxxx. x) xxxxxx určí xxxx manažera xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxx. Xxxxxxx xxxxxxxxxxxx xxxx xxxxx xxxxxxxx 3 xxxx přiměřeně xxxxxxxx x xxxxxxx x xxxxxxxx systému xxxxxx xxxxxxxxxxx informací.
(5) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) a x) xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx x xxxxxxxx 3 xxxx. x) x x).
(6) Xxxxxxx xxxxx uvedená v §3 xxxx. e) xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxxxx bezpečnosti.
(7) Xxxxx xxx řízení kybernetické xxxxxxxxxxx je xxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxxx a odbornou xxxxxxxxxxxx xxx xxxxxxx xxxxxx a xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x osobami xxxxxxxx xx podílejícími xx xxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx, xxxxx členem xxxx xxx alespoň xxxxx xxxxxxxx xxxxxxxxxxx vedení xxxx xxx pověřená xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx. Povinná xxxxx x xxxxxx xxx xxxxxx kybernetické xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx x příloze č. 6 x xxxx xxxxxxxx.
§7
Xxxxxxxxxxxx xxxx
(1) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxxxxxxxxxx xxxx odpovědná xx systém xxxxxx xxxxxxxxxxx xxxxxxxxx, přičemž xxxxxxx této xxxx xxxx být xxxxxxxx xxxxx, xxxxx xx xxx xxxx činnost xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x řízením kybernetické xxxxxxxxxxx xxxx x xxxxxxx bezpečnosti xxxxxxxxx
1. xx xxxx xxxxxxx xxx let, xxxx
2. xx xxxx xxxxxxx xxxx, xxxxx xxxxxxxxxxx xxxxxxx xx vysoké xxxxx,
x) odpovídá xx xxxxxxxxxx informování xxxxxxxxxxx xxxxxx x
1. xxxxxxxxxx xxxxxxxxxxxxx x xxxxxxx xxxx xxxxxxxxxxxx x
2. xxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací x
x) xxxxx být xxxxxxx xxxxxxx xxxx xxxxxxxxxxx xx provoz xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxxxx kybernetické xxxxxxxxxxx xx bezpečnostní role xxxxxxxxx xx zajištění xxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx tak, aby xxxx zajištěna bezpečná xxxxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx, xxxxxxx xxxxxxx této xxxx xxxx xxx xxxxxxxx xxxxx, xxxxx xx xxx xxxx činnost xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx praxí x xxxxxxxxxxx implementace xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xx dobu xxxxxxx xxx xxx, xxxx
x) xx dobu jednoho xxxx, xxxxx xxxxxxxxxxx xxxxxxx na xxxxxx xxxxx.
(3) Garant aktiva xx xxxxxxxxxxxx xxxx xxxxxxxxx xx xxxxxxxxx xxxxxxx, xxxxxxx x xxxxxxxxxx xxxxxx.
(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxxxxxxxxxx role odpovědná xx provádění auditu xxxxxxxxxxxx xxxxxxxxxxx, přičemž xxxxxxx této xxxx xxxx xxx xxxxxxxx xxxxx, xxxxx xx xxx tuto činnost xxxxxxxxx x xxxxxxx xxxxxxxx způsobilost xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací
1. xx xxxx xxxxxxx xxx xxx, xxxx
2. po xxxx xxxxxxx xxxx, xxxxx xxxxxxxxxxx studium xx xxxxxx škole,
b) xxxxxxxx, že provedení xxxxxx kybernetické xxxxxxxxxxx xx xxxxxxxxx, x
x) xxxxx xxx pověřen xxxxxxx xxxxxx bezpečnostních xxxx.
(5) Xxxxxxx xxxxx xxx určování osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx x příloze č. 6 x xxxx vyhlášce.
§8
Xxxxxx xxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxx pravidla xxx dodavatele, xxxxx xxxxxxxxxx požadavky systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxx svých xxxxxxxxxx dodavatelů,
c) xxxxxxxxxxxx xxxxxxx informuje xxx xxxxxxxx xxxxxxxxxx x xxxxxx evidenci xxxxx xxxxxxx b),
d) xxxxxxxxx xxx xxxxxxxxxx x xxxxxxxx xxxxx písmene x) a xxxxxxxx xxxxxx těchto pravidel,
e) xxxx xxxxxx spojená x xxxxxxxxxx,
x) v xxxxxxxxxxx x řízením xxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx zajistí, xxx xxxxxxx xxxxxxxxx x xxxxxxxxxx dodavateli xxxxxxxxxx relevantní xxxxxxx xxxxxxx x příloze č. 7 x xxxx vyhlášce, x
x) xxxxxxxxxx přezkoumává xxxxxx smluv x xxxxxxxxxx dodavateli z xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx x významných xxxxxxxxxx xxxx
x) x xxxxx výběrového xxxxxx x xxxx xxxxxxxxx xxxxxxx xxxxxxx hodnocení xxxxx souvisejících s xxxxxxx předmětu xxxxxxxxxx xxxxxx xxxxxxxxx xxxxx přílohy č. 2 k této xxxxxxxx,
x) x xxxxx xxxxxxxxxxx smluvních xxxxxx xxxxxxx způsoby x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxx xxxxx vzájemné xxxxxxx xxxxxxxxxxxx xx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxx rizik x xxxxxxxxxxx xxxxxxxx zavedených xxxxxxxxxxxxxx opatření x xxxxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxx xxxx xxxxxx xxxxx strany x
x) v xxxxxx xx xxxxxx x xxxxxxxx nedostatky zajistí xxxxxx řešení.
(3) Náležitosti xxxxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 1 xxxx. x) jsou
a) identifikace xxxxxxx xxxx provozovatele,
b) xxxxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxxx, xx xxxxxxxxx xx xxx xxxxxxx významným xxxxxxxxxxx, x popřípadě xxxx x xxx, xx xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx, x
x) xxxxx xxxxxxxx xxxxx xxxxxxxx 1 písm. x).
(4) Povinná xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx, xxxxx xx provozovatelem a xxxx prokazatelně xxxxxxxxxxx xxxxx odstavce 1 xxxx. c), xxxxx xxxxxxxxx údaje xxxxxx xxxxxxxx x §34.
§9
Xxxxxxxxxx lidských xxxxxx
(1) Xxxxxxx xxxxx x xxxxx řízení xxxxxxxxxxx xxxxxxxx xxxxxx
x) x xxxxxxx xx xxxx x potřeby xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxxxx xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, jehož xxxxx xx zajistit xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxxxx bezpečnostního povědomí x xxxxx obsahuje xxxxx, obsah x xxxxxx
1. xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxx o xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx xxxxxxxx a
2. xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxx xxxxxxx uživatelů, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) xxxx xxxxx odpovědné xx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, které xxxx x xxxxx xxxxxxx,
x) x xxxxxxx s xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx poučení xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x dodavatelů x xxxxxx xxxxxxxxxxxx a x xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx a xxxxxxxxxxxx xxxxxxx,
x) xxx xxxxx xxxxxxxxxxx bezpečnostní xxxx x souladu x plánem xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx odborná školení, xxxxxxx vychází z xxxxxxxxxx potřeb xxxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) x xxxxxxx s plánem xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx zaměstnanců x xxxxxxx s xxxxxx xxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx bezpečnostní xxxxxxxx ze xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) v xxxxxxx xxxxxxxx smluvního xxxxxx x xxxxxxxxxxxxxx x xxxxxxx zastávajícími xxxxxxxxxxxx xxxx xxxxxxx xxxxxxx xxxxxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx rozvoje bezpečnostního xxxxxxxx, provedených xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx se xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
x) xxxx xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx ze xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Povinná xxxxx xxxx o xxxxxxx xxxxx odstavce 1 xxxxxxxx, xxxxx xxxxxxxx předmět xxxxxxx x xxxxxx osob, xxxxx xxxxxxx xxxxxxxxxxx.
§10
Xxxxxx xxxxxxx x xxxxxxxxxx
(1) Povinná xxxxx x xxxxx řízení xxxxxxx x xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx x xxxxxxx xxxxxxxx pravidla x xxxxxxx, které xxxxxxxx xxxxxxx
x) práva x xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxx x xxxxxxxx chodu systému, xxx xxxxxxx xxxx xxxxxxxx xxxxx systému xx xxxxxxx x xxx ošetření xxxxxxxxx xxxxx xxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxx xxx ochranu xxxxxxxx x záznamům x xxxxxx xxxxxxxxxx,
x) xxxxxxxx x xxxxxxx xxx xxxxxxx xxxx škodlivým xxxxx,
x) xxxxxx technických xxxxxxxxxxxxx,
x) xxxxxxx xx xxxxxxxxx osoby, které xxxx xxxxxxxx výkonem xxxxxxxxx x technické xxxxxxx,
x) postupy řízení x xxxxxxxxxxx xxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxxx, xxxxxxxxx x xxxxxx xxxxxxxx lidských x xxxxxxxxxxx xxxxxx,
x) xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxx x dat x xxxxxxx xxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx aktiv,
k) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx provedených xxxxx x
x) xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx.
(2) Xxxxxxx xxxxx x rámci xxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 1 a xxxx pravidla x xxxxxxx xxxxxxxxxxx x xxxxxxxxxxx s prováděnými xxxx plánovanými xxxxxxx.
(3) Xxxxxxx xxxxx zajistí xxxxxxxx vývojového, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxx.
§11
Řízení xxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxx x xxxxxxxxxxxx a komunikačního xxxxxxx
x) xxxxxxxxxxx možné xxxxxx xxxx a
b) xxxxxx xxxxxxxx xxxxx.
(2) Xxxxxxx xxxxx u xxxxxxxxxx xxxx
x) dokumentuje xxxxxx xxxxxx,
x) xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxx za xxxxxx xxxxxxx všech xxxxxxxxxxxx xxxxxx spojených x xxxxxxxxxx změnami,
d) xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx,
x) zajistí xxxxxx testování x
x) xxxxxxx xxxxxxx navrácení xx xxxxxxxxx xxxxx.
(3) Xxxxxxx osoba xxxxxxx x §3 xxxx. x), x) x x) xxxxxx xx xxxxxxx xxxxxxxx analýzy xxxxx xxxxx xxxxxxxx 2 xxxx. x) xxxxxxxxx o xxxxxxxxx xxxxxxxxxxxx testování xxxx xxxxxxxxx xxxxxxxxxxxxx; pokud xxxxxxxx o provedení xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxxxx, postupuje xxxxx §25 xxxx. 1 a reaguje xx xxxxxxxx nedostatky.
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) zákona xx xxxx xxxxxxxxx podle xxxxxxxx 3 xxxxxxxxx.
§12
Xxxxxx přístupu
(1) Povinná xxxxx xx xxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxx xxxx přístup x xxxxxxxxxxxx a xxxxxxxxxxxxx systému x xxxxxxx xxxxxxxx, která xxxxxx x xxxxxxxxx xxxxxxx xxxxx, xxxxx xxxx používány pro xxxxxxxxxx podle §19 x 20, x xxxxx xxxxx xx xxxxxxxx xxxxxx údajů xxxxxxxxxxxx xxxxxx.
(2) Xxxxxxx xxxxx dále v xxxxx xxxxxx xxxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) xxxx xxxxxxx xx xxxxxxx xxxxxx a xxxx,
x) xxxxxxx xxxxxxx xxxxxxxxx x administrátorovi přistupujícímu x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx přístupová xxxxx a oprávnění x xxxxxxxxx xxxxxxxxxxxxx,
x) xxxx identifikátory, xxxxxxxxxx xxxxx a oprávnění xxxxxxxx x xxxxxxxxxxx xxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxxx pro xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx informačního a xxxxxxxxxxxxx systému,
e) xxxxxx xxxxxxxxxxxx opatření potřebná xxx xxxxxxxx xxxxxxxxx xxxxxxxxx zařízení x xxxxxx technických zařízení, xxxxxxxxx i xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx povinná osoba xxxx xx xxx xxxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx nezbytně xxxxxx x xxxxxx xxxxxx xxxxx,
x) omezí a xxxxxxxxxx xxxxxxxxx programových xxxxxxxxxx, xxxxx xxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx nebo xxxxxxxxx xxxxxxxx,
x) xxxxxxxxx a xxxxxxx přístupová oprávnění x xxxxxxx x xxxxxxxxx řízení xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx rozdělení xx přístupových xxxxxx x rolí,
j) xxxxxxx xxxxxxx pro xxxxxx x ověřování identity xxxxx §19 x xxxxxxx pro xxxxxx xxxxxxxxxxxx oprávnění xxxxx §20,
x) xxxxxxxxx, aby xxxxxxxxx xxx xxxxxxxxx xxxxxxxxxx autentizačních xxxxxxxxx xxxxxxxxxx xxxxxxxxx postupy,
l) xxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxx xxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx xxxx osob xxxxxxxxxxxxx xxxxxxxxxxxx role,
m) xxxxxxx xxxxxxxx nebo xxxxx xxxxxxxxxxxx xxxxxxxxx xxx ukončení xxxx xxxxx xxxxxxxxx xxxxxx x
x) dokumentuje přidělování x odebírání přístupových xxxxxxxxx.
§13
Xxxxxxxx, xxxxx a xxxxxx
Xxxxxxx xxxxx x xxxxxxxxxxx s xxxxxxxxxx xxxxxxxx, xxxxxxx a xxxxxxx informačního x xxxxxxxxxxxxx systému
a) řídí xxxxxx xxxxx §5,
x) xxxx významné xxxxx xxxxx §11,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) zahrne xxxxxxxxxxxx požadavky xx xxxxxxxx akvizice, vývoje x údržby,
e) xxxxxxx xxxxxxxxxx vývojového a xxxxxxxxxxx prostředí x xxxxxxx ochranu xxxxxxxxxxx xxxxxxxxxxx xxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx významných xxxx před xxxxxx xxxxxxxxx do provozu x
x) plní požadavek xxxxx §19 xxxx. 3, xx-xx xxxxx xxxxxxxxx akvizice xxxx xxxxxx nástroj xxx xxxxxx x ověřování xxxxxxxx.
§14
Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
(1) Xxxxxxx xxxxx v xxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxx
x) xxxxxx proces xxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x zvládání kybernetických xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx x stanoví xxxxxxx pro
1. xxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx x
2. xxxxxxxxxx x zvládání kybernetických xxxxxxxxxxxxxx xxxxxxxxx,
x) definuje x xxxxxxxx postupy xxx identifikaci, xxxx, xxxxxxx x uchování xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxx řídí §22 x 23,
f) xxxxxxx, že xxxxxxxxx, xxxxxxxxxxxxxx, osoby xxxxxxxxxxx xxxxxxxxxxxx xxxx, další xxxxxxxxxxx a dodavatelé xxxxx oznamovat xxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx a xxxxxxxxx xx jakékoliv xxxxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí, xxx xxxxxx musí xxx rozhodnuto, xxx xxxx být klasifikovány xxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx xxxxx §31,
x) xxxxxxx zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle xxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx pro xxxxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §32,
x) xxxx xxxxxxx x xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx x x xxxxxx xxxxxxxx,
x) prošetří a xxxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx a
m) xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx x xx xxxxxxx xxxxxxxxxxx stanoví xxxxx xxxxxxxxxxxx opatření, popřípadě xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx řešeného xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. c), x) x x) xxxxxx xxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxxx §24.
§15
Xxxxxx kontinuity činností
Povinná xxxxx x xxxxx xxxxxx kontinuity xxxxxxxx
x) xxxxxxx xxxxx x xxxxxxxxxx administrátorů x xxxx zastávajících xxxxxxxxxxxx xxxx,
x) xxxxxx hodnocení xxxxx a xxxxxxx xxxxxx xxxxxxxxx a xxxxxxxxxxx možné dopady xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů x xxxxxxx xxxxx xxxxxx xxxxxxxxxxx s xxxxxxxxx xxxxxxxxxx xxxxxxxx,
x) xx xxxxxxx xxxxxxx xxxxxxxxx rizik a xxxxxxx dopadů xxxxx xxxxxxx b) xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxx formou xxxxxx
1. xxxxxxxxx úrovně xxxxxxxxxxxxx xxxxxx, která je xxxxxxxxxx xxx užívání, xxxxxx a xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
2. xxxx obnovení xxxxx, xxxxx xxxxx xxxx po xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému, a
3. xxxx xxxxxxxx xxx xxxx xxxxxx období, xx které xxxx xxx xxxxxx xxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxx xx xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx c),
e) xxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxx xxxxxxxxxxx x xxxxxxxxxxxx informačního a xxxxxxxxxxxxx systému x xxxxxxxxxxxxx xxxxxx x
x) xxxxxxxxx opatření xxx xxxxxxx odolnosti informačního x xxxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx x omezením xxxxxxxxxxx x xxxxxxx xxx xxx z xxxxxxxxx xxxxx §27.
§16
Xxxxx xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxxxx osoba x xxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx
x) xxxxxxx x xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx, x xxxxxxxx auditu xxxxxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x plánu xxxxxxxx xxxxx x
x) posuzuje xxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx, jinými xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxxx xx k xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x xxxx xxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxxx souladu.
(2) Xxxxx podle xxxxxxxx 1 je xxxxxxxx
x) xxx xxxxxxxxxx xxxxxxx, x rámci xxxxxx xxxxxxx,
x) x pravidelných xxxxxxxxxxx alespoň xx 3 xxxxxx x xxxxxxx xxxxxxx xxxxx xxxxxxx v §3 xxxx. x) zákona x
x) x pravidelných xxxxxxxxxxx alespoň xx 2 xxxxxx x xxxxxxx xxxxxxx xxxxx xxxxxxxxx x xxxxxxx x).
(3) Není-li x xxxxxxxxxxxx případech xxxxx xxxxxxx audit x xxxxxxxxxxx podle odstavce 2 písm. x) x c) x xxxxx xxxxxxx, xx xxxxx audit xxxxxxxx xxxxxxxx xx xxxxxxxxxxxxxx xxxxxxx. V xxxxxxx xxxxxxx xx xxxxx xxxxx x celém xxxxxxx xxxxxxx nejpozději xx 5 xxx.
(4) Xxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx x §7 xxxx. 4, xxxxx xxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx.
(5) Xxxxxxx xxxxx, xxxxx xx xxxxxxxx provozovatelem, xxxxxxxxx xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
XXXXX XX
XXXXXXXXX XXXXXXXX
§17
Xxxxxxx xxxxxxxxxx
Xxxxxxx xxxxx v xxxxx fyzické xxxxxxxxxxx
x) xxxxxxxxx xxxxxxxxx, xxxxxxx xxxx xxxxxxxx xxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
b) stanoví xxxxxxx xxxxxxxxxxxx perimetr xxxxxxxxxxxx xxxxxx, xx xxxxx xxxx uchovávány x zpracovávány xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému, a
c) x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx podle xxxxxxx x) přijme xxxxxxxx xxxxxxxx a xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx
1. x zamezení xxxxxxxxxxxxx xxxxxx,
2. x xxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x
3. xxx xxxxxxxxx xxxxxxx xx xxxxxx objektů x x xxxxx xxxxxxx.
§18
Xxxxxxxxxx xxxxxxxxxxxxx sítí
Povinná xxxxx xxx ochranu xxxxxxxxxxx komunikační xxxx xxxxxxxx x rozsahu xxxxx §3 xxxx. x)
x) zajistí xxxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxx komunikace x xxxxx komunikační xxxx x xxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxx a xxxxxxxxx dat při xxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxx xxxx při xxxxxxxx do komunikační xxxx pomocí xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx blokuje xxxxxxxxx komunikaci a
e) xxx xxxxxxxxx segmentace xxxx a xxx xxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxxx xxxxxxx xxxxxxx, xxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx.
§19
Správa x xxxxxxxxx xxxxxxx
(1) Povinná xxxxx xxxxxxx xxxxxxx xxx xxxxxx x ověření xxxxxxxx xxxxxxxxx, administrátorů x aplikací informačního x xxxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxx xxx správu x xxxxxxx identity xxxxxxxxx, administrátorů x xxxxxxxx xxxxxxxxx
x) ověření xxxxxxxx xxxx xxxxxxxxx xxxxxxx x informačním x xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxx xxxxxxx xxxxxxxxxxx pokusů x xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxx přenášených xxxxxxxxxxxxxx xxxxx xxxxx xxxxxxxxxxxxx xxxxxxxx x zneužití,
d) xxxxxxxx xxxxxxxxxxxxxx xxxxx xx formě odolné xxxxx xxxxxxx xxxxxx,
x) xxxxxxxx ověření xxxxxxxx xx xxxxxx xxxx xxxxxxxxxx,
x) xxxxxxxx důvěrnosti xxxxxxxxxxxxxx xxxxx xxx xxxxxx xxxxxxxx x
x) xxxxxxxxxxxxxxx xxxxxx xxxxxxx.
(3) Xxxxxxx osoba xxx xxxxxxx identity xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxx xxxxxxxx xxxxx xx použití xxxxxxxxxxxxxx xxxx x xxxxx, nýbrž xx xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxx různými xxxx faktorů.
(4) Xx xxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx xxxxxxx pro xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxx x xxxxxxx xxxxxxxx úroveň xxxxxxxxxxx.
(5) Xx doby xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx 4 xxxx nástroj xxx xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx, xxxxx xxxxxxx x xxxxxxxxxxx identifikátor xxxx a xxxxx, xxxxxxxxx xxxxxxxx
x) xxxxx xxxxx alespoň
1. 12 xxxxx x xxxxxxxxx x
2. 17 xxxxx x xxxxxxxxxxxxxx x xxxxxxxx,
x) xxxxxxxxxx zadat xxxxx x xxxxx xxxxxxx 64 xxxxx,
x) xxxxxxxxxxx xxxxxxx malých x xxxxxxx xxxxxx, xxxxxx x speciálních xxxxx,
x) xxxxxxxxxx uživatelům xxxxx xxxxx, xxxxxxx xxxxxx mezi xxxxx xxxxxxx xxxxx nesmí xxx xxxxxx xxx 30 minut,
e) xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxxx
1. xxxxxx xx nejčastěji xxxxxxxxx xxxxx,
2. tvořit xxxxx xx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx, xxxxxxxxxxxxxx jména, x-xxxxx, xxxxx systému xxxx obdobným xxxxxxxx x
3. xxxxxxxx xxxxxxx xxxxx používaných xxxxx x xxxxxx alespoň 12 xxxxxxxxxxx xxxxx x
x) xxx xxxxxxxx xxxxx xxxxx x xxxxxxxxx xxxxxxxxx po 18 měsících, xxxxxxx xxxx xxxxxxxx se xxxxxxxxxx na účty xxxxxxxx x xxxxxx xxxxxxx x xxxxxxx xxxxxxx.
(6) Xxxxxxx xxxxx x xxxxxxx používání xxxxxxxxxxx pouze xxxxx x heslem xxxx
x) xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx hesla po xxxx xxxxxx použití,
b) xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx x obnovení xxxxxxxx po xxxx xxxxxx použití xxxx xxxxxxxxx xxxxxxx 60 xxxxx xx xxxx xxxxxxxxx a
c) xxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxx xx xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx xxxxx §9.
§20
Xxxxxx přístupových oprávnění
Povinná xxxxx xxxxxxx centralizovaný xxxxxxx pro xxxxxx xxxxxxxxxxxx oprávnění, kterým xxxxxxx xxxxxx oprávnění
a) xxx xxxxxxx k xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx x
x) xxx xxxxx xxx, xxxxx dat x xxxxx oprávnění.
§21
Ochrana xxxx škodlivým xxxxx
(1) Povinná osoba xxxxxxx x §3 xxxx. x), d) x x) xxxxxx x xxxxx xxxxxxx xxxx xxxxxxxxx xxxxx
x) x xxxxxxx xx xxxxxxxxxx xxxxx zajišťuje xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxxx ochranu
1. xxxxxxxxx xxxxxx,
2. mobilních xxxxxxxx,
3. xxxxxxx,
4. xxxxxxxx xxxxxxx x výměnných xxxxxxxx xxxxxx,
5. komunikační xxxx a xxxxx xxxxxxxxxxx sítě x
6. xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x xxxx používání xxxxxxxxx zařízení x xxxxxxxx xxxxxx,
x) xxxx xxxxxxxxxxx xxxxxxxxx obsahu xxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx,
x) řídí xxxxxxxxx xx spouštění xxxx x
x) xxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxx škodlivým xxxxx.
(2) Povinná osoba xxxxxxx x §3 xxxx. x) xxxxxx xxxxxxxxx podle xxxxxxxx 1 xxxxxxxxx.
§22
Zaznamenávání xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému, xxxx uživatelů x xxxxxxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxxx události xxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému x
x) na základě xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxxx xxxxx, x xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxx xxxxxxxxx.
(2) Xxxxxxx osoba pro xxxxxxxxxxxxx bezpečnostních x xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx 1 zajišťuje
a) xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx, xx-xx x xxxxxxxxxxx síti xxxxxx xxxxxxx, který xxxx jeho síťovou xxxxxxxxxxxx,
x) xxxx xxxxxxxxx x xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxx; zejména xxxxxxxxxxx
1. xxxxx x xxx včetně specifikace xxxxxxxx xxxxx,
2. typ xxxxxxxx,
3. xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, které činnost xxxxxxxxxxx,
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxx xxxxxx xxxx xxxxxxx xxxxxxxxx,
5. xxxxxxxxxxxx síťovou xxxxxxxxxxxx xxxxxxxx xxxxxxx x
6. xxxxxxxxx xxxx neúspěšnost xxxxxxxx,
x) xxxxxxx informací xxxxxxxxx podle xxxxxx x) a x) xxxx neoprávněným xxxxxx x xxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxx
1. xxxxxxxxxxxx x xxxxxxxxxxx ke xxxx xxxxx, x xx xxxxxx xxxxxxxxxxx xxxxxx,
2. xxxxxxxx provedených xxxxxxxxxxxxxx,
3. xxxxxxx x xxxxxxxxx xxxxxxxxxx x xxxx, xxxxxxxxxxx a xxxxx,
4. xxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxx,
5. xxxxxxxx xxxxxxxxx, xxxxx xxxxx xxx xxxx xx xxxxxxxxxx informačního x xxxxxxxxxxxxx systému,
6. xxxxxxxx a xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx,
7. xxxxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx x
8. xxxxxxxx k xxxxxxxx x xxxxxxxxxx, xxxxxx o xxxxxxxxxx xx xxxxxxx x xxxxxxxxxx a změny xxxxxxxxx nástrojů xxx xxxxxxxxxxxxx událostí a
e) xxxxxxxxxxxxx jednotného xxxx xxxxxxxxxxx aktiv nejméně xxxxxx xx 24 xxxxx.
(3) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. x), d) x x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxx podle odstavce 2 xxxxxxx po xxxx 18 xxxxxx.
(4) Xxxxxxx osoba xxxxxxx x §3 písm. x) xxxxxx uchovává xxxxxxx xxxxxxxx zaznamenaných xxxxx xxxxxxxx 2 xxxxxxx xx xxxx 12 měsíců.
§23
Xxxxxxx kybernetických bezpečnostních xxxxxxxx
(1) Povinná xxxxx x xxxxx xxxxxxxxxxx xxxx, xxxxx součástí xx xxxxxxxxxx x xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxx xxx detekci xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxxxx zajistí
a) xxxxxxx x kontrolu xxxxxxxxxxx xxx x xxxxx xxxxxxxxxxx xxxx a xxxx xxxxxxxxxxxxx xxxxxx,
x) xxxxxxx x kontrolu xxxxxxxxxxx dat xx xxxxxxxxx xxxxxxxxxxx xxxx x
x) xxxxxxxxx xxxxxxxxx xxxxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x x) xxxxxx xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí přiměřeně x xxxxxxx xx xxxxxxxxxx xxxxx x xxxxx
x) xxxxxxxxx xxxxxx,
x) xxxxxxxxx zařízení,
c) xxxxxxx,
x) xxxxxxxx xxxxxxx a xxxxxxxxx datových xxxxxx,
x) xxxxxxxx xxxxxxxxx prvků x
x) xxxxxxxxx xxxxx.
§24
Sběr x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x f) xxxxxx xxxxxxx xxxxxxx xxx xxxx x xxxxxxxxxxx vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx
x) sběr x xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx §22 x 23,
x) xxxxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx pro xxxxxx bezpečnostní xxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních incidentů, xxxxxx xxxxxxxx xxxxxxxx xxxxxxxx bezpečnostních xxxx,
x) xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx událostí pravidelnou xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx
1. xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x
2. xxxxxx xxxxxxxx x
x) xxxxxxxxx informací xxxxxxxxx xxxxxxxxx xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx.
§25
Aplikační xxxxxxxxxx
(1) Xxxxxxx xxxxx xxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xx xxxxxxxxx xx xxxxxxxx xxxxxx, a xx
x) xxxx xxxxxx xxxxxxxx xx provozu a
b) x souvislosti s xxxxxxxxx xxxxxx xxxxx §11 xxxx. 3.
(2) Xxxxxxx xxxxx dále x xxxxx xxxxxxxxx xxxxxxxxxxx zajistí xxxxxxx xxxxxxx xxxxxxxx, informací x transakcí před
a) xxxxxxxxxxxx xxxxxxxx a
b) xxxxxxxx xxxxxxxxxxx činností.
§26
Xxxxxxxxxxxxxx xxxxxxxxxx
Xxxxxxx osoba xxx xxxxxxx xxxxx xxxxxxxxxxxx x komunikačního xxxxxxx
x) xxxxxxx xxxxxxxx xxxxxx kryptografické xxxxxxxxx x xxxxxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxx xxxxxx xxxxx x xxxxxxxxxxx, xxxxx
1. zajistí generování, xxxxxxxxxx, xxxxxxxx, změny, xxxxxxx xxxxxxxxx, zneplatnění xxxxxxxxxxx x xxxxxxxxx xxxxx a
2. xxxxxx xxxxxxxx x xxxxx,
x) xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxxx prostředky x
x) xxxxxxxxxx doporučení x oblasti xxxxxxxxxxxxxxxx xxxxxxxxxx vydaná Xxxxxx, xxxxxxxxxx na xxxx xxxxxxxxxxxxx stránkách.
§27
Xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx xxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxx dostupnosti, xxxxxxx xxxxxxx
x) xxxxxxxxxx informačního x xxxxxxxxxxxxx systému xxx xxxxxxx xxxx xxxxx §15,
x) xxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx xxxxx snížit xxxx xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx a komunikačního xxxxxxx a
d) redundanci xxxxx xxxxxxxxxx pro xxxxxxxxx dostupnosti xxxxxxxxxxxx x xxxxxxxxxxxxx systému.
§28
Xxxxxxxxxx, xxxxxx a xxxxxxx xxxxxxxxxx xxxxxxx
Xxxxxxx xxxxx pro zajištění xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx, xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxx a opatření, xxxxx xxxxxxx
x) xxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxx xxxxxx do specifického xxxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxx systémů a xx xxxxxxxxxxx xxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxx xxxxxx pro xxxx xxxxxxx xx xxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxx x xxxxxx vzdáleného přístupu x xxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx technických xxxxx xxxxxx systémů xxxx využitím známých xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx těchto xxxxxxx xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx.
§29
Xxxxxxxxx služby
(1) Povinná xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxxx bezpečnostní xxxxxxxx podle xxxxxxxxxxx xxxxxxxx Xxxxxx (XX) 2018/151 xx xxx 30. xxxxx 2018, xxxxxx xx xxxxxxx xxxxxxxx pro xxxxxxxxxxx xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Xxxx (EU) 2016/1148, pokud xxx x xxxxxx xxxxxxxxx xxxxx, které musí xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx při xxxxxx xxxxxxxxxxxxxx rizik, xxxxx xxxx vystaveny sítě x xxxxxxxxxx systémy, x parametrů xxx xxxxxxxxxx xxxx, zda xx xxxxx incidentu xxxxxxxx; xxxxxxxxxx §3 xx 28 se xx xxxx xxxxxxxx xxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx uvedená x §3 písm. x) xxxxxx hlásí xxxxxxxxx xxxxx xxxxx §34 xxxx. 2.
(3) Xxxxxxx xxxxx uvedená v §3 písm. x) xxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx podle §32 xxxx. 2 x 3.
XXXXX XXX
XXXXXXXXXXXX POLITIKA X XXXXXXXXXXXX DOKUMENTACE
§30
Bezpečnostní xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
(1) Povinná xxxxx
x) xxxxxxx xxxxxxxxxxxx politiku x vede xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx x příloze č. 5,
x) xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x bezpečnostní xxxxxxxxxxx x
x) zajistí, xxx xxxx xxxxxxxxxxxx xxxxxxxx a bezpečnostní xxxxxxxxxxx xxxxxxxx.
(2) Xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx
x) xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxx podobě,
b) xxxxxxxxxxxx x rámci xxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxx dotčeným xxxxxxx,
x) xxxxxx,
x) xxxxxxxx z xxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x
x) xxxxxx tak, aby xxxxxxxxx x nich xxxxxxxx xxxx xxxxx, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx x xxxxxx xxxxxxxxxxxx.
ČÁST XXXXX
XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX
§31
Xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx incidenty se xxxxxxxxxxxx podle xxxxxxxxxxx xxx xxxxxxxxxx
x) xxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxx povinné xxxxx xxxxxx,
x) xxxxx xxxxxxxxx uživatelů,
c) xxxxxxxxx xxxx předpokládané xxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) dopadů na xxxxxxxxxxx služby xxxxxxxxxxxx x komunikačního xxxxxxx,
x) xxxxxx xx služby xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxx xxxxxx xxxxxxxxx,
x) xxxxxxxxxxx rozsahu xxxxxxx xxxxxxx x
x) xxxxxxx xxxxxx.
(2) Pro xxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx xx základě xxxxxxxxxx xxxxx xxxxxxxx 1 kybernetické bezpečnostní xxxxxxxxx zařadí xx xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - xxxxx xxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx kterém xx přímo a xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx řešení xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx s xxx, xx musí být xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxx,
x) Xxxxxxxxx II - xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, při kterém xx xxxxxxxx bezpečnost xxxxxxxxxxxxx služeb xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx s tím, xx musí xxx xxxxxxxx prostředky xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx vzniklých xxxx, xxxx
x) Xxxxxxxxx I - xxxx významný xxxxxxxxxxxx xxxxxxxxxxxx incident, xxx xxxxxx xxxxxxx x méně xxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx. Xxxx řešení xxxxxxxx xxxxxx xxxxxxx x xxx, xx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx šíření xxxxxxxxxxxxxx bezpečnostního incidentu xxxxxx xxxxxxxxxxxx vzniklých xxxx.
(3) Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xxxxx xxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx důvěrnosti xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx narušení xxxxxxxxx xxxxx,
x) kybernetický bezpečnostní xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, nebo
d) xxxxxxxxxxxx bezpečnostní incident xxxxxxxxxxx kombinaci dopadů xxxxxxxxx x xxxxxxxxx x) xx c).
(4) Xxxx xxxxxxxxxx xx xxxxxxxxxx xx kybernetické xxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) zákona.
§32
Xxxxx a xxxxxxxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx se Úřadu xxxxx xx xxxxxxxxxxxxx xxxxxxxxx zveřejněném xx xxxxxxxxxxxxx stránkách Xxxxx xxxxxxxx
x) xx adresu xxxxxxxxxxxx pošty Xxxxx xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Úřadu,
b) xx xxxxxx schránky Xxxxx, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xx používáno, jehož xxxxx xx xxxxxxxxx xx internetových xxxxxxxxx Xxxxx.
(2) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx CERT xxxxx xx elektronickém xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxx xxx příjem xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xx xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx xxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx národního XXXX.
(3) Xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xx xxxxx xxxxxx x x xxxxxxxx xxxxxx, xxxxx xxxxx v xxxxxxxxx, xxx nelze xxxxxx xxxxx ze xxxxxxx xxxxxxxxx x xxxxxxxxxx 1 x 2.
(4) Náležitosti xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
c) datum x xxx xxxxxxxx xxxxxxxxx x
x) xxxxx xxxxxxxxx.
ČÁST ČTVRTÁ
REAKTIVNÍ XXXXXXXX X XXXXXXXXX XXXXX
§33
Xxxxxxxxx xxxxxxxx
(1) Xxxxxxx xxxxx, xxxxx Xxxx xxxxxx xxxxxxx reaktivní xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx na xxxxxxxxxx a komunikační xxxxxx a xx xxxxxxxx xxxxxxxxxxxx opatření x xxxxxxxxx xxxxx xxxxxxxxx xxxxxx a
b) xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxx, xxxxx xxxxxxxxxxxx xxxx xxxxx xxxxxxxxx xxxxxx, x xxxx xxxxxx xxxx xxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx, xxxxx Xxxx xxxxxx xxxxxxx xxxxxxxxx xxxxxxxx, xxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx a xxxx xxxxxxxx xx xxxxx xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
§34
Kontaktní xxxxx
(1) Xxxxxxxxx xxxxx se Xxxxx xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx stránkách Úřadu xxxxxxxx
x) xx adresu xxxxxxxxxxxx xxxxx Xxxxx xxxxxxx xxx xxxxxx xxxxxxxx kontaktních xxxxx, xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
x) xx xxxxxx xxxxxxxx Úřadu, xxxx
x) prostřednictvím xxxxxxxx xxxxxxxx, xxxxx xx xxxxxxxxx, xxxxx xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Úřadu.
(2) Xxxxxxxxx xxxxx xx xxxxxxxxxxxxx národního XXXX xxxxxxxx xx elektronickém xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx CERT xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx národního XXXX xxxxxxx xxx xxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxxxxxx xx xxxx internetových xxxxxxxxx,
x) xx xxxxxx schránky xxxxxxxxxxxxx xxxxxxxxx XXXX, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx provozovatele xxxxxxxxx XXXX.
(3) Xxxxxxx kontaktních xxxxx xx možné xxxxxx i x xxxxxxxx xxxxxx, avšak xxxxx x xxxxxxxxx, xxx xxxxx využít xxxxx ze xxxxxxx xxxxxxxxx x odstavcích 1 x 2.
(4) Xxxx xxxxxxxx kontaktních xxxxx xx xxxxxx x příloze č. 8 x xxxx xxxxxxxx.
(5) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx, xxxxx je xxxxxxxxxxxxxx, xxxx x xxxxxxx xxxxxxxxxxx xxxxx podle xxxxxxxx 1 xxxxxxxx xxxxxxxx, kterým ji xxxxxxx prokazatelně informuje xxxxx §8 xxxx. 1 xxxx. x).
ČÁST XXXX
XXXXXXXXX XXXXXXXXXX
§35
Xxxxxxxxx xxxxxxxxxx
(1) V případě xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, které xxxx xxxxxx xxxxx xxxx xxxxxx xxxxxxxxx xxxx vyhlášky, a x případě xxxxxxxxxx xxxxxxxxxxxx systémů, x xxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, xx do xxxxxxx xxxx xxx dne xxxxxx xxxxxxxxx xxxx xxxxxxxx pro xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x obsah x xxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx opatřeních, xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x x stanovení xxxxxxxxxxx xxxxxx x oblasti xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx).
(2) X xxxxxxx informačních xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x komunikačních xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx xxxx xxxxxx xxxxx dnem xxxxxx xxxxxxxxx xxxx xxxxxxxx, x x xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x xxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, se xx xxxxxxx xxxx xxx dne xxxxxx xxxxxxxxx xxxx vyhlášky xxx způsob xxxxxxxxx xxx, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx tato xxxxxxxx xxxxxxxxx.
§36
Xxxxxxxxx xxxxxxxxxx
Xxxxxxx se xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentech, xxxxxxxxxxx xxxxxxxxxx x o xxxxxxxxx náležitostí podání x oblasti kybernetické xxxxxxxxxxx (vyhláška x xxxxxxxxxxxx xxxxxxxxxxx).
§37
Xxxxxxxx
Xxxx vyhláška xxxxxx xxxxxxxxx xxxx xxxxxxxxx.
Xxxxxxx:
Xxx. Xxxxxxxx x. r.
Xxxxxxx x. 1 x xxxxxxxx x. 82/2018 Sb.
Hodnocení xxxxx
(1) Xxx hodnocení xxxxxxxxxxx xxxxx xxxx x xxxxx xxxxxxx xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxx x xxxxxxxx xx, jaký xxxxx xx xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx u xxxxxxxxxxxx xxxxx. Xxxxxxx xxxxx xxxx xxxxxxxx xxxxxxx xxxxx xxxxxx xxx hodnocení xxxxxxxxxxx xxxxx, xxx jaký xx xxxxxx x xxxx xxxxxxx, dodrží-li xxxxxxxxxxx xxxxx mezi xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx aktiv x stupnicemi x xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, které xxxx uvedeny x xxxx xxxxxxx.
(2) Xx xxxxxxxxxx, xxx xx xxxxx povinná osoba xxxx dopadové xxxxxx xxxxxxxxxxxx xxxx potřebám.
Tab. 1: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx požadavků xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxx xxxx veřejně přístupná xxxx xxxx určena xx zveřejnění. Narušení xxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx zájmy povinné xxxxx. X xxxxxxx sdílení xxxxxxxx aktiva x xxxxxxx xxxxxxxx a xxxxxxx xxxxxxxxxxx xxxxx xxx. traffic xxxxx xxxxxxxxx (dále xxx "XXX") xx využíváno xxxxxxxx TLP:WHITE. |
Není xxxxxxxxxx xxxxx xxxxxxx. |
|
Střední |
Aktiva xxxxxx xxxxxxx přístupná x xxxxx xxxx-xxx xxxxxxx xxxxx, ochrana xxxxx není vyžadována xxxxxx právním předpisem xxxx xxxxxxxx xxxxxxxxx. X xxxxxxx xxxxxxx xxxxxxxx xxxxxx x třetími xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx XXX xx xxxxxxxxx xxxxxxx xxxxxxxx XXX:XXXXX xxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxx xxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx a jejich xxxxxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxx, jinými xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx (například xxxxxxxx xxxxxxxxx, xxxxxx údaje). V xxxxxxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxx xxxxxxxx a xxxxxxx xxxxxxxxxxx xxxxx XXX xx využíváno xxxxxxx xxxxxxxx TLP:AMBER. |
Pro ochranu xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, které xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Přenosy informací xxxxxxxxxxx xxxx xxxx xxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xxxxxx xxxxxxx přístupná x xxxxxxxx xxxxxxxxxxxxx míru xxxxxxx nad rámec xxxxxxxxx xxxxxxxxx (xxxxxxxxx xxxxxxxxxxx xxxxxxxx tajemství, xxxxxxxx xxxxxxxxx xxxxxxxx xxxxx). X xxxxxxx sdílení xxxxxxxx aktiva s xxxxxxx stranami a xxxxxxx xxxxxxxxxxx xxxxx XXX xx xxxxxxxxx xxxxxxx xxxxxxxx TLP:RED xxxx TLP:AMBER. |
Pro ochranu xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, xxxxx zajistí xxxxxx a xxxxxxxxxxxxx xxxxxxxx. Dále xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xx xxxxxx xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx xxxx chráněny xxxxxx xxxxxxxxxxxxxxxx prostředků. |
Tab. 2: Xxxxxxxx xxx xxxxxxxxx integrity
|
Úroveň |
Popis |
Příklady xxxxxxxxx xx ochranu aktiva |
|
Nízká |
Aktivum xxxxxxxxxx ochranu x xxxxxxxx integrity. Narušení xxxxxxxxx aktiva xxxxxxxxxx xxxxxxxxx zájmy xxxxxxx xxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx vyžadovat xxxxxxx z xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx xxxxxx může vést x poškození oprávněných xxxxx xxxxxxx osoby x xxxx xx xxxxxxxx méně xxxxxxxxx xxxxxx na xxxxxxxx xxxxxx. |
Xxx xxxxxxx integrity xxxx využívány xxxxxxxxxx xxxxxxxx (xxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxx xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx k xxxxxxxxx xxxxxxxxxxx zájmů xxxxxxx xxxxx x podstatnými xxxxxx xx primární xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány speciální xxxxxxxxxx, xxxxx dovolují xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx a xxxxxxxxxx xxxxxxxx xxxxx provádějící xxxxx. Xxxxxxx integrity xxxxxxxxx přenášených komunikačními xxxxxx je zajištěna xxxxxx kryptografických xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx z xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx vede x xxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx x xxxxxxx x velmi xxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx integrity xxxx využívány speciální xxxxxxxxxx xxxxxxxxxxx identifikace xxxxx xxxxxxxxxxx xxxxx (xxxxxxxxx xxxxxx technologie xxxxxxxxxxx xxxxxxx). |
Xxx. 3: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx na xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx není xxxxxxxx x x xxxxxxx xxxxxxx xx xxxxx xxxxxxxxxx delší xxxxxx xxxxxx xxx nápravu (xxx xx 1 xxxxx). |
Xxx xxxxxxx xxxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx dostupnosti aktiva xx xxxxxx překročit xxxx pracovního xxx, xxxxxxxxxxxxx xxxxxxx vede x xxxxxxx xxxxxxxx xxxxxxxxxxx zájmů xxxxxxx xxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx využívány xxxxx xxxxxx xxxxxxxxxx x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx dostupnosti xxxxxx xx nemělo xxxxxxxxx xxxx několika hodin. Xxxxxxxx xxxxxxx xx xxxxx xxxxx neprodleně, xxxxxxx xxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx. Xxxxxx xxxx považována xx velmi xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx záložní xxxxxxx x xxxxxx poskytování xxxxxx xxxx být xxxxxxxxx zásahy xxxxxxx xxxx xxxxxxx technických xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx dostupnosti xxxxxx xxxx xxxxxxxxx x x xxxxxxxxxx nedostupnost (x řádu xxxxxxxx xxxxx) xxxx k xxxxxxx xxxxxxxx oprávněných xxxxx xxxxxxx osoby. Xxxxxx xxxx považována xx kritická. |
Pro ochranu xxxxxxxxxxx jsou xxxxxxxxx xxxxxxx systémy a xxxxxx xxxxxxxxxxx xxxxxx xx krátkodobá x xxxxxxxxxxxxxx. |
Xxxxxxx x. 2 x xxxxxxxx x. 82/2018 Sb.
Hodnocení xxxxx
(1) Xxxxxxxxxxx stanovení funkce xxx xxxxxx rizika xx xxxxxxxxx součástí xxxxxxxx pro hodnocení xxxxx podle §5.
(2) Xxxxxxx xxxxxx xx xxxxxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxx xxxxx, hrozba a xxxxxxxxxxxx.
(3) Xxx xxxxxxxxx xxxxx xxx xxxxxx xxxxxxxxx xxxx xxxxxx:
Xxxxxx = xxxxx x xxxxxx x xxxxxxxxxxxx.
(4) Xxxxx xx x xxxxx případě xxxxxxx x xxxxxxxxx xxxxx xxxxx přílohy č. 1.
(5) V xxxxxxx, xx xxxxxxx xxxxx xxxxxxx xxxxxx xxx xxxxxxxxx xxxxx, xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx, xx xxxxx xxxxxxxx xxx xxxxxxxxx hrozeb x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxx xx xxxxxx vést ke xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx a xxxxxxxxxxxxx. Xx xxxxx xxxxxx xxx použít xxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx vyjádří xxx xxxxxx hrozby, tak x úroveň xxxxxxxxxxxxx. Xxxxxxx xx postupuje x x případech, xxx povinná xxxxx xxxxxxx xxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxx, hrozeb, xxxxxxxxxxxxx x rizik.
Tab. 1: Xxxxxxxx xxx xxxxxxxxx xxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx xxxx xx xxxx xxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xx xxxx xxxxxxxxxxxxx xx pravděpodobná. |
|
Xxxxxx |
Xxxxxx je xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx jistá. |
Xxx. 2: Stupnice xxx xxxxxxxxx zranitelností
|
Úroveň |
Popis |
|
Nízká |
Zranitelnost xxxxxxxxxx xxxx xx xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxxx. Xxxx zavedena xxxxxxxxxxxx opatření, xxxxx xxxx schopna včas xxxxxxxxx xxxxx zranitelnosti xxxx případné xxxxxx x xxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx je xxxx xxxxxxxxxxxxx xx pravděpodobné. Xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, jejichž xxxxxxxx xx pravidelně xxxxxxxxxxxx. Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxx detekovat xxxxx xxxxxxxxxxxxx nebo xxxxxxxx xxxxxx o xxxxxxxxx xxxxxxxx xx omezena. Xxxxxx xxxxx žádné xxxxxxx xxxxxx x xxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx pravděpodobné xx xxxxx pravděpodobné. Xxxxxxxxxxxx opatření jsou xxxxxxxx, xxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx aspekty x xxxx pravidelně xxxxxxxxxxxx. Xxxx známé xxxxx xxxxxxx xxxxxx o xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx je xxxxx xxxxxxxxxxxxx xx víceméně xxxxx. Bezpečnostní xxxxxxxx xxxxxx xxxxxxxxxxx xxxx xx xxxxxx xxxxxxxx xxxxxx omezena. Xxxxxxxxx xxxxxxxx účinnosti xxxxxxxxxxxxxx xxxxxxxx. Xxxx xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
Xxx. 3: Xxxxxxxx xxx xxxxxxxxx xxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx je xxxxxxxxxx xx xxxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx může xxx sníženo xxxx xxxxxxxxx xxxxxxxxxx nebo x xxxxxxx vyšší xxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxx xxxxxxxxxxx x xxxx být zahájeny xxxxxxxxxxxx kroky k xxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx je xxxxxxxxxxx x xxxx xxx xxxxxxxxxx xxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
Příloha x. 3 x xxxxxxxx č. 82/2018 Sb.
Zranitelnosti a xxxxxx
Xxxxxxxxxx: Xxxx příloha xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxxx x xxxxxx. Identifikace xxxxxxxxxxx xxxxxxxxxxxxx a hrozeb xx odpovědností xxxxxxx xxxxx.
Xxxxxxxxxxxxx
1. xxxxxxxxxxxx údržba xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
2. zastaralost xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
3. xxxxxxxxxxxx xxxxxxx vnějšího xxxxxxxxx,
4. nedostatečné bezpečnostní xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
5. xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
6. xxxxxxxx nastavení xxxxxxxxxxxx xxxxxxxxx,
7. xxxxxxxxxxxx xxxxxxx xxx identifikování x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxxxx bezpečnostních incidentů,
8. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx nevhodné xxxx xxxxxxx způsoby xxxxxxx,
9. xxxxxxxxxxxx stanovení xxxxxxxxxxxxxx xxxxxxxx, nepřesné xxxx xxxxxxxxxxxxx xxxxxxxx práv x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxxxxxxxx xxxx,
10. xxxxxxxxxxxx ochrana xxxxx,
11. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,
12. nedostatečná míra xxxxxxxxx xxxxxxxx,
13. xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxxx.
Xxxxxx
1. xxxxxxxx bezpečnostní xxxxxxxx, xxxxxxxxx neoprávněných xxxxxxxx, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
2. xxxxxxxxx xxxx xxxxxxx technického anebo xxxxxxxxxxxx xxxxxxxx,
3. xxxxxxxx xxxxxxxx,
4. xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx x xxxxxxxxxx podmínkami,
5. xxxxxxxx xxx (xxxxxxxxx xxxx, spyware, xxxxxxx xxxx),
6. xxxxxxxx xxxxxxx xxxxxxxxxxx,
7. přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx komunikací xxxx xxxxxxx elektrické xxxxxxx,
8. xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxx xxxxx,
9. xxxxxx, odcizení xxxx xxxxxxxxx xxxxxx,
10. nedodržení xxxxxxxxx závazku xx xxxxxx dodavatele,
11. xxxxxxxxx xx xxxxxx xxxxxxxxxxx,
12. xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,
13. xxxxxxxxxx přerušení xxxxxxxxxxx xxxxxx elektronických xxxxxxxxxx, dodávky elektrické xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxx,
14. nedostatek xxxxxxxxxxx x xxxxxxxxx xxxxxxxx úrovní,
15. xxxxxx xxxxxxxxxxxx xxxx xxxxxx xxxxxxxxxx inženýrství, xxxxxxx xxxxxxxxxxx xxxxxxx,
16. zneužití xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxx,
17. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx (odposlech, xxxxxxxxxx).
Xxxxxxx č. 4 x xxxxxxxx č. 82/2018 Xx.
Xxxxxxxxx xxx
(1) Xxxx xxxxxxx udává xxxxxxxxxx správce informačního x xxxxxxxxxxxxx xxxxxxx x definování xxxxxxx xxxxxx xxx x xxxxxxx likvidace technických xxxxxx informace, provozních xxxxx, informací a xxxxxx kopií.
(2) Jednotliví xxxxxxx informačního x xxxxxxxxxxxxx systému xx xxxxxxx xxxxxxxx xxx xxxxxx xxx x xxxxxxxxx xxxxxxxxxxx xxxxxx xxx v souladu x xxxxx xxxxxxxx. Xxx nejsou xxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxxxx předpisů. Xx xxxxx xxxxxx xxxxxxxxx xxxxxx služby xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxxxxx pravidel xxx xxxxxx xxx x xxxxxxxxx xxxxxxxxxxx xxxxxx dat, vzhledem x xxxxxxx x xxxxxxxxxxx xxxxx.
(3) Xxxxxxxx xxx xxxxxxxxx xxx xx xxxx být xxxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxx x xxxx by xxxxxxx xxxxxxxxxxx
x) xxxxxxx xxxxxx (xxxxxxx x xxxxxxx důvěrnosti),
b) xxxxxxxxxxx (xxxx a xxxxxxxx xxxxxx informace),
c) zda xx xxxxx xxxxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxxxx xx nikoliv,
d) xxx xxxx xxxx xxxxxxxx dedikovaného xxxx xxxxxxxxxxxxxxx xxxxxxxxx,
x) xxx xxxx xxxxxxxxx dat xxxxxxxx (xxxxxxx zaměstnanec, xxxx xxxxxxxxx),
x) xxxxxxxxxx xxxxxxxx x xxxxxxxx xxx xxxxxxxxx,
x) kapacitu xxxxxxxxxxxxx nosičů,
h) xxx xx x dispozici xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx likvidace,
j) xxxx xxxxxxxxx s xxxxxxx xx xxxxxxxx, xxxxxxx, xxxxxxxx, opětovné xxxxxxx xxxxxx informace
k) xxxxx xxxxxxx xxxxxxxxx xxx (xxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxx, xxxxxxxxxxxxx xxx xxxxxx xxxxxxxxxx x xxxxxxx),
x) xxxxxxxxxx způsoby xxxxxxxxx xxx vzhledem xx xxxxx nosiče xxxxxxxxx (například xxx xxxxxxxxx xxxxxxxx xxxxxx xxxxx použít xxxxxxxx xxxxxxx xxxxxxxxx, xxx xxxxxxx xx xxxxxxx xxxxxxx xxxxxxxxx).
(4) Xxxxxxx xxxxxxxxx xxxxxxxxxxx nosičů xxxxxxxxx, xxxxxxxxxx xxxxx, xxxxxxxxx a jejich xxxxx:
x) Xxxxxxxxxx
1. Xxxxxx xxxxxxxxx spočívá v xxxxxxxxxx xxx tak, xxx xxxx pro xxxxxx nedostupná (například xxxxxxxxxx xxxxxxxx xxxxxxx, xxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxx).
2. Jde x xxxxxxx bezpečný xxxxxx likvidace xxx. X xxxxxxx xxxxxxx xxxxxx xxxxxxxxx xx xxxxx x xxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxx xxxxxxx.
3. Xxxx xxxxxx xxxx xxxxxxxxxx pro xxxxxx xxxxxxxxxxx dat xxxxxxxxxxxx xxxxxxxx xxxxx.
4. Xxxxxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxx aktiva (xxxxxxx z přílohy č. 1): xxxxx.
x) Přepsání
1. Xxxxxx xxxxxxxxx spočívá v xxxxxxxx xxxxxxxx informace xxxxxxxxxx xxxxxxxxx.
2. Xxx x xxxxxxx bezpečný xxxxxx xxxxxxxxx dat. Xxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx.
3. Xxxxxxxx xxxx xxx xxxxxxxxx nebo xxxxxxxxxxx xxxxxxxxx likvidací xxxxxxxxxxxxxxxx klíčů k xxxxxxxxxxx xxxxxxxxx.
4. Xxxx xxxxxx xxxx xxxxxx xxx xxxxxxxxx xxxxx, xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx, xxxxxxxx xxx xxxxx x velkou xxxxxxxxx.
5. Použitelný způsob xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1): nízká až xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx informace
1. Způsob xxxxxxxxx xxxxxxxxxxx xx xxxxxxx nosiče xxxxxxxxx, xxxxxxxxx v xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx nosiče xxxxxxxxx (xxxxxxxxxxx, xxxxxxxxx či xxxxxxxx xxxxxxxxx).
2. Xxx x xxxxxxxxxxxxxx metodu xxxxxxxxx xxx. Xxxxx xxxxxxxxx po fyzické xxxxxxxxx nelze xxxxx xxxxxx pro původní xxxx. Xxxxxxx informace xxxx xxxxx xxxxxxx xxx xxx vynaložení xxxxxxx množství xxxxxxxxxx x úsilí.
3. Použitelný xxxxxx likvidace xxx xxxxxx důvěrnosti aktiva (xxxxxxx z přílohy č. 1): xxxxxxx xx xxxxxxxx.
Xxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxx úrovně xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1)
|
Xxxxxxxxx xxxxxx likvidace xxxxx xxxxxx důležitosti xxxxxx |
|||||
|
Xxxxx xxxxxxxxx |
1. Xxxxx |
2. Xxxxxxx |
3. Xxxxxx |
4. Xxxxxxxx |
|
|
Xxxxxxxxx xx xxxxxx čitelném xxxxxx (tištěné dokumenty, xxxxxxxx a xxxxxxx) |
Xxxxxxxxxx: Xxxxxxxx do xxxxxx. |
Xxxxxxxx: Xxxxxxxxx. |
Xxxxxxx likvidace: |
||
|
Xxxxxxx xxxxxxxxx: |
|||||
|
Mobilní xxxxxxxx (mobilní telefony, xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxx xxxxxxxx (xxxxxx, xxxxxx, modem x xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
|||
|
Kancelářské xxxxxxxx (scanery, xxxxxxxx, xxx) |
|||||
|
Xxxxxxxxxx média (xxxxxxxxxx xxxxx, xxxxx, XXX [Xxxx Xxxx Xxxxx]) |
Xxxxxxxxxx: |
Xxxxxxxx: |
|||
|
Xxxxxxx xxxxx (XX, XXX, HD-DVD, XXX-XXX) |
Xxxxxxx xxxxxxxxx: |
||||
|
Xxxxxxx xxxxxxxxx. |
|||||
|
Xxxxxxxxxxxx média (flash xxxxxx) |
|||||
|
Xxxxxxxxxxx x cloud |
Přípustný xxxxxx xxxxxxxxx xxx xx měl xxx xxxxxxxx xxxxxxxx ujednáním. |
||||
|
Odstranění: |
Xxxxxxxx: |
Xxxxxxxx: |
Přepsání/fyzická xxxxxxxxx: |
||
|
Alternativně v xxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx je xxxxx xxxx xx xxxxxxxx xxxxxx xxxxxxx. |
|||||
Xxxxxxx x. 5 x xxxxxxxx č. 82/2018 Xx.
Xxxxx xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx
1. Xxxxxxxxxxxx xxxxxxxx
1.1. Xxxxxxxx systému xxxxxx xxxxxxxxxxx informací
a) Xxxx, xxxxxxxx a xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx a hranice xxxxxxx řízení bezpečnosti xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx řízení xxxxxxxxxxx.
x) Pravidla a xxxxxxx xxx řízení xxxxxx a xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx informací.
g) Xxxxxxxx a postupy xxx nápravná xxxxxxxx x xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
1.2. Xxxxxxxx řízení aktiv
a) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx primárních aktiv
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx aktiv xxxxxx xxxxxx jejich xxxxxxx,
2. xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx důvěrnosti, integrity x xxxxxxxxxxx.
x) Xxxxxxxxxxxx, xxxxxxxxx x evidence xxxxxxxxxx xxxxx
1. xxxxxx x xxxxxxxx jednotlivých xxxxxxxxxx xxxxx xxxxxx xxxxxx jejich xxxxxxx,
2. xxxxxx xxxxx mezi xxxxxxxxxx x xxxxxxxxxx xxxxxx.
x) Pravidla ochrany xxxxxxxxxxxx xxxxxx aktiv
1. xxxxxxx xxxxxxxxxxx jednotlivých xxxxxx xxxxx,
2. xxxxxxxx xxx manipulaci x xxxxxxxx xxxxx podle xxxxxx xxxxx,
3. xxxxxxxxx xxxxxxx xxxxxxxxx aktiv.
d) Xxxxxxx xxxxxxxxxxxx xxxxxx xxxx xxxxxx technických xxxxxx xxx, informací, xxxxxxxxxx xxxxx x xxxxxx xxxxx.
1.3. Politika xxxxxxxxxxx xxxxxxxxxxx
x) Xxxxxx xxxxxxxxxxxxxx xxxx x xxxxxx práv x xxxxxxxxxx.
x) Požadavky xx xxxxxxxx xxxxxx činností xxxxxxxxxxxx xxxxxxxxxxxxxx rolí.
c) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxx.
1.4. Xxxxxxxx xxxxxx xxxxxxxxxx
x) Xxxxxxxx x xxxxxxxx pro xxxxx xxxxxxxxxx.
x) Pravidla xxx xxxxxxxxx rizik xxxxxxxxxxxxx s xxxxxxxxxx.
x) Xxxxxxxxxxx xxxxxxx o xxxxxx xxxxxx x xxxxxxx a úrovní xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x x určení xxxxxxxx xxxxxxx odpovědnosti.
d) Xxxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Pravidla xxx xxxxxxxxx xxxxxxxxxx.
1.5. Xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx
x) Xxxxxxxx xxxxxxx bezpečnostního xxxxxxxx a způsoby xxxx xxxxxxxxx
1. způsoby x xxxxx xxxxxxx xxxxxxxxx,
2. způsoby x xxxxx xxxxxxx garantů xxxxx,
3. xxxxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx a formy xxxxxxx osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxxxxxxxxx xxxxxxx nových xxxxxxxxxxx.
x) Xxxxxxxx pro řešení xxxxxxx xxxxxxxx bezpečnostní xxxxxxxx xxxxxxx řízení xxxxxxxxxxx informací.
d) Xxxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxx xxxxxxxx pozice
1. xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx práv při xxxxxxxx pracovního vztahu,
2. xxxxx přístupových xxxxxxxxx xxx změně pracovní xxxxxx.
1.6. Xxxxxxxx řízení xxxxxxx a xxxxxxxxxx
x) Xxxxxxxxx x xxxxxxxxxxxx xxxxxxx s bezpečným xxxxxxxx.
x) Xxxxxxx bezpečného xxxxxxx.
x) Xxxxxxxxx x xxxxxxxxx xxxxxxxxxx provozu.
d) Xxxxxxxx a omezení xxx provádění xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxxxx xxxxx.
1.7. Xxxxxxxx xxxxxx xxxxxxxx
x) Xxxxxxx xxxxxxxxxxx oprávnění/potřeba xxxx (xxxx to xxxx).
x) Xxxxxxxxx xx řízení xxxxxxxx.
x) Životní xxxxxx xxxxxx xxxxxxxx.
x) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.
x) Pravidelné přezkoumání xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx uživatelů x xxxxxxxxxxxx xxxxxxxxx.
1.8. Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxx
x) Xxxxxxxx xxx xxxxxxxx xxxxxxxxx s xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxxxx elektronické pošty x xxxxxxxx na xxxxxxxx.
x) Bezpečný vzdálený xxxxxxx.
x) Xxxxxxxx chování xx xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx xx vztahu x xxxxxxxx xxxxxxxxx.
1.9. Xxxxxxxx zálohování x xxxxxx a dlouhodobého xxxxxxxx
x) Požadavky na xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx bezpečného xxxxxxxxxx x xxxxxxxxxxxx ukládání xxxxxxxxx.
x) Pravidla a xxxxxxx obnovy.
f) Pravidla x xxxxxxx xxxxxxxxx xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx přístupu k xxxxxxx, xxxxxxxxx informacím.
1.10. Xxxxxxxx bezpečného xxxxxxxxx x xxxxxx xxxxxxxxx
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
1.11. Xxxxxxxx xxxxxx technických zranitelností
a) Xxxxxxxx pro xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxxx opravných xxxxxxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx testování oprav xxxxxxxxxxxx vybavení.
d) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxx programového xxxxxxxx.
1.12. Xxxxxxxx bezpečného xxxxxxxxx xxxxxxxxx xxxxxxxx
x) Xxxxxxxx x postupy pro xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx xxxxx xxxx xx své xxxxxx.
1.13. Xxxxxxxx xxxxxxxx, xxxxxx x xxxxxx
x) Xxxxxxxxxxxx xxxxxxxxx pro xxxxxxxx, xxxxx x xxxxxx.
x) Xxxxxx xxxxxxxxxxxxx.
x) Politika xxxxxxxxxxx x nabývání xxxxxxx programového vybavení x xxxxxxxxx
1. xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxxx vybavení x xxxx xxxxxxxx,
2. xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
1.14. Xxxxxxxx ochrany xxxxxxxx údajů
a) Charakteristika xxxxxxxxxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx opatření xxx xxxxxxx osobních xxxxx.
x) Popis přijatých x provedených technických xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
1.15. Politika xxxxxxx xxxxxxxxxxx
x) Xxxxxxxx xxx ochranu xxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx xxx ochranu xxxxxxxx.
x) Xxxxxxx narušení xxxxxxx xxxxxxxxxxx.
1.16. Xxxxxxxx bezpečnosti xxxxxxxxxxx sítě
a) Pravidla x postupy xxx xxxxxxxxx xxxxxxxxxxx xxxx.
x) Xxxxxx práv a xxxxxxxxxx xx xxxxxxxx xxxxxx sítě.
c) Xxxxxxxx x xxxxxxx xxx xxxxxx přístupů x xxxxx xxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxxxxxx přístupu x síti.
e) Xxxxxxxx x xxxxxxx pro xxxxxxxxxxxx xxxx x xxxxxxxxxxxxx provozních záznamů.
1.17. Xxxxxxxx xxxxxxx xxxx xxxxxxxxx kódem
a) Xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxx xxxxxxxxxx.
x) Xxxxxxxx x postupy xxx ochranu xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxx.
x) Pravidla x xxxxxxx xxx ochranu xxxxxxxxxx xxxxxx.
1.18. Xxxxxxxx xxxxxxxx a používání xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
x) Xxxxxxxx x postupy xxxxxxxx nástroje xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx xxxxxxxxxxxxx x xxxxxxxxx xx detekované xxxxxxxxxxxx bezpečnostní události.
c) Xxxxxxxx x postupy xxx optimalizaci xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
1.19. Xxxxxxxx využití x xxxxxx nástroje pro xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
a) Xxxxxxxx a xxxxxxx xxx xxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Pravidla a xxxxxxx pravidelné xxxxxxxxxxx xxxxxxxx pro vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
c) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx nástroje xxx xxxx x xxxxxxxxxxx kybernetických bezpečnostních xxxxxxxx.
1.20. Xxxxxxxx bezpečného xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx
x) Xxxxxx xxxxxxx x xxxxxxx xx xxx x sílu kryptografického xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx
1. xxx xxxxxxx po xxxxxxxxxxxxx xxxxxx,
2. xxx xxxxxxx xx xxxxxxx xxxxxxxx xxxx vyměnitelný xxxxxxxxx xxxxx dat.
c) Systém xxxxxx xxxxx.
1.21. Xxxxxxxx xxxxxx xxxx
x) Xxxxxx x xxxxxxxx xxxxxx xxxxxxxxxx xxxx x xxxxx xxxxxxx osoby, xxxxxx xxxxxxxxx, xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxxxxxxx xxxxxx xxxxxxxxxx xxxx.
x) Xxxxxx xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxx změn.
1.22. Xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
x) Definování xxxxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx, xxxxxxxx x xxxxxxxx jednotlivých xxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx testování systému xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů x xxx zlepšování xxxxxxxxxxxx bezpečnosti.
e) Xxxxxxxx xxxxxxxxx.
1.23. Politika xxxxxx xxxxxxxxxx xxxxxxxx
x) Xxxxx x povinnosti zúčastněných xxxx.
x) Cíle xxxxxx xxxxxxxxxx činností
1. minimální xxxxxx xxxxxxxxxxxxx xxxxxx,
2. xxxx obnovení xxxxx,
3. xxx xxxxxxxx xxx.
x) Xxxxxxxx řízení xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxx xxxxxxxxxx.
x) Způsoby xxxxxxxxx dopadů kybernetických xxxxxxxxxxxxxx incidentů xx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxx rizik.
e) Xxxxxx x xxxxx xxxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxx.
x) Postupy xxx xxxxxxxxx opatření xxxxxxxx Xxxxxx.
2. Obsah xxxxxxxxxxxx xxxxxxxxxxx
2.1. Xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) Xxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx.
x) Identifikování xxxx xxxxxxxx a osob, xxxxx se xxxxxx xxxxxxxxxxxx bezpečnosti xxxxxxxxxx.
x) Xxxxx x xxxxx, xxx xxxx prováděny xxxxxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti.
f) Xxxxxxxx x xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
2.2. Xxxxxx x přezkoumání systému xxxxxx xxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx přezkoumání systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxxxxxx změn x xxxxxxxxx, xxxxx xxxxx xxx xxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx vazba x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
1. neshody x xxxxxxxx xxxxxxxx,
2. xxxxxxxx monitorování x xxxxxx,
3. xxxxxxxx xxxxxx,
4. xxxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxx xxxxx x xxxx plánu xxxxxxxx xxxxx.
x) Identifikace xxxxxxxx xxx xxxxxxxx xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, stanovení xxxxxxxx x osob xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx činností.
2.3. Xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x pro xxxxxxxxx xxxxx
x) Určení xxxxxxxx xxx hodnocení primárních xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxxxxxx xxxxx,
3. xxxxxx stupnice pro xxxxxxxxx úrovní dostupnosti xxxxx.
x) Xxxxxx stupnice xxx xxxxxxxxx rizik
1. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní dopadu,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx hrozby,
3. xxxxxx stupnice xxx xxxxxxxxx úrovní xxxxxxxxxxxxx,
4. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxx.
x) Xxxxxx x xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx schvalování xxxxxxxxxxxxxxxx xxxxx.
2.4. Xxxxxx x xxxxxxxxx aktiv x xxxxx
x) Xxxxxxx xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx primárních xxxxx,
3. xxxxxxxxx xxxxxxxxxx xxxxx z xxxxxxxx xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx.
x) Přehled xxxxxxxxxx xxxxx
1. identifikace a xxxxx podpůrných xxxxx,
2. xxxxxx xxxxxxx podpůrných xxxxx,
3. xxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx aktivy.
c) Xxxxxxxxx xxxxx
1. posouzení možných xxxxxx xx xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx hrozeb,
3. xxxxxxxxx existujících zranitelností, xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
4. xxxxxxxxx úrovně xxxxxx, xxxxxxxxx xxxx xxxxxx x kritérii xxx xxxxxxxxxxxxxxxx xxxxx,
5. xxxxxx x xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx.
x) Zvládání xxxxx
1. xxxxx způsobu xxxxxxxx xxxxx,
2. návrh xxxxxxxx x xxxxxx realizace.
2.5. Xxxxxxxxxx x xxxxxxxxxxxxxxxx
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx požadovaných touto xxxxxxxxx xxxxxx zdůvodnění, xxxx xxxxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx včetně způsobu xxxxxx xxxxxxxxxxxx.
2.6. Xxxx xxxxxxxx xxxxx
x) Xxxxx x cíle vybraných xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx xxxxxx xxxxx xx konkrétní xxxxxx.
x) Xxxxxxxx xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx zvládání xxxxx.
x) Osoby zajišťující xxxxxxxxxx bezpečnostní opatření xxx xxxxxxxx xxxxx.
x) Xxxxxxx zavedení xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
x) Xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx úspěšnosti xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
2.7. Xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Přehledy, xxxxx xxxxxxxx xxxxxxx jednotlivých xxxxxxx x xxxxxx xxxx, které xxxxxxx xxxxxxxxxxx.
x) Xxxxx x xxxxxxx xxxxxxxxx xxxxx.
2.8. Xxxxxxxx xxxx
x) Evidence xxxxxxxxx xxxxx významných xxxx.
x) Xxxxxxx x xxxxxxx xxxxxxxxxxx podpůrných xxxxx.
2.9. Hlášené xxxxxxxxx xxxxx
Xxxxxxx hlášených kontaktních xxxxx.
2.10. Přehled xxxxxx xxxxxxxxx xxxxxxxx předpisů, xxxxxxxxx xxxxxxxx a xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx
x) Přehled xxxxxx xxxxxxxxx právních xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxx a xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxx.
2.11. Xxxxx xxxxxxxxxx xxxxxxxxxxx
x) Xxxxxxxxx xxxxxxxxxxxxxx.
x) Xxxxxxx síťových zařízení.
Xxxxxxx č. 6 x xxxxxxxx x. 82/2018 Sb.
Výbor xxx xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxx xxxx
Xxxx xxxxxxx obsahuje popis xxxxxxxxxxxx xxxxxxxxx xxx xxxxx pro řízení xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxx xxxxxxx x §6 a 7.
Xxx. 1: Xxxxx xxx xxxxxx kybernetické xxxxxxxxxxx
|
Xxxx: |
Xxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxxx xxxxxx a xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxx xxxxxxx osoby. |
|
Xxxxx xxxxxxxx: |
x) Xxxx xxxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx být alespoň |
Xxx. 2: Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx kybernetické xxxxxxxxxxx |
|
Xxxxxxx činnosti: |
a) Odpovědnost xx řízení xxxxxxx xxxxxx bezpečnosti xxxxxxxxx. |
|
Znalosti: |
a) Xxxxx řady XXX/XXX 27000 a xxxxxxx xxxxx z xxxxxxx xxxxxxxxxxx x XXX. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx v oboru xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxx |
|
Relevantní xxxxxxxxxxx*: |
Xxxxxxxxx Information Xxxxxxxx Xxxxxxx (CISM), Xxxxxxxxx xx Xxxx xxx Xxxxxxxxxxx Xxxxxxx Control (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Xxxxxxxx Xxxxxxxxxxxx (XXXXX), Manažer XX (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
x) Role není xxxxxxxxxx x rolemi xxxxxxxxxxx za provoz xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx a x xxxxxxx provozními xx xxxxxxxx rolemi. |
Tab. 3: Xxxxxxxxx kybernetické xxxxxxxxxxx
|
Xxxx: |
Xxxxxxxxx xxxxxxxxxxxx bezpečnosti |
|
Klíčové xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx: |
x) Architektura xxxxxxxxxxxx x komunikačních xxxxxxx x xxxx navrhování. |
|
Zkušenosti: |
a) Xxxxxxxxxx implementace xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx a praxe: |
a) Xxxxxxx 3 roky xxxxx v xxxxx xxxxxxxxxx xxxx kybernetické xxxxxxxxxxx, xxxx |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Ethical Xxxxxx (XXX), XxxxXXX Security +, Certified Xxxxxxxxxxx Xxxxxxxx Xxxxxxx (CISM), Xxxxxxxxx in Xxxx xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (CRISC), Certified Xxxxxxxxxxx Xxxxxxx Xxxxxxxx Xxxxxxxxxxxx (XXXXX), Xxxxxxx XX (akreditační xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
Xxxx není xxxxxxxxxx x rolemi xxxxxxxxxxx xx provoz xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx. |
Xxx. 4: Auditor xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
Xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxx x xxxxx auditu xxxxxxxxxx xxxxxxxxxxx. |
|
Zkušenosti: |
a) Xxxxxxxxx xxxxxx xxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx x praxe: |
a) Xxxxxxx 3 xxxx xxxxx x xxxxxxx xxxxxx informační nebo xxxxxxxxxxxx xxxxxxxxxxx, xxxx |
|
Xxxxxxxxxx certifikace*: |
Certified Xxxxxxxxxxx Systems Auditor (XXXX), Xxxxxxxxx Internal Xxxxxxx (CIA), Certified xx Xxxx xxx Xxxxxxxxxxx Systems Control (XXXXX), Xxxx Xxxxxxx Xxxxxxxxxxx Xxxxxxxx Management Xxxxxx (Xxxx Xxxxxxx XXXX), Xxxxxxx BI (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
x) Xxxx není xxxxxxxxxx s xxxxxx |
Xxx. 5: Xxxxxx aktiva
|
Role: |
Garant aktiva |
|
Klíčové xxxxxxxx: |
x) Odpovědnost xx xxxxxxxxx xxxxxxx, použití x xxxxxxxxxxx xxxxxx. |
|
Xxxxxxxx: |
x) Xxxxx xxxxxxx xxxxxx, jehož je xxxxxxxx. |
* Xxxxxxxxxxx může xxx x xxxx xxx xxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx rolí xxxxxxx xxxxxxxxx XXX 17 024.
Příloha x. 7 x xxxxxxxx č. 82/2018 Sb.
Řízení xxxxxxxxxx - xxxxxxxxxxxx opatření xxx smluvní xxxxxx
Xxxxx xxxxxxx xxxxxxxxx s xxxxxxxxxx dodavateli:
a) ustanovení x bezpečnosti xxxxxxxxx (x pohledu xxxxxxxxxx, xxxxxxxxxxx a integrity),
b) xxxxxxxxxx o xxxxxxxxx xxxxxx xxxx,
x) ustanovení x xxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxx o xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxx a xxxxxx dodavatele (xxxxxxxx xxxxxxxxxxxx xxxxxx),
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxx musí xxx xxxxxxxxx, že xxxxxxxxxxxxx xx xxxxxx dodržovat x plném xxxxxxx xxxxxxxx mezi povinnou xxxxxx a xxxxxxxxxxx x nebudou v xxxxxxx s xxxxxxxxx xxxxxxx xxxxx xx xxxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxx nebo xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx dodavatele xxxxxxxx xxxxxx,
x) xxxxxxxxxx o xxxxxx xxxx,
x) ustanovení x xxxxxxx xxxxx x obecně závaznými xxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx osobu x
1. kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx x xxxxxxx smlouvy,
2. xxxxxxx xxxxxx xxxxx na xxxxxx xxxxxxxxxx x x zbytkových rizicích xxxxxxxxxxxxx s xxxxxxx xxxxxxx,
3. xxxxxxxx změně xxxxxxxx xxxxxx xxxxxxxxxx xxxxx xxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxx xxxxx xxxxxxxxxxx xxxxxxxxx xxxxx, popřípadě xxxxx xxxxxxxxx nakládat s xxxxxx aktivy, využívaných xxxxx xxxxxxxxxxx x xxxxxx podle xxxxxxx xx xxxxxxxx,
x) specifikace xxxxxxxx x pohledu xxxxxxxxxxx při xxxxxxxx xxxxxxx (xxxxxxxxx xxxxxxxxx xxxxxx xxx xxxxxxxx xxxxxxxxxx, xxx xx xxxxx ještě xxxxxxxx xxxxxx xxxx nasazením xxxxxx xxxxxx, xxxxxxx xxx x xxxxxxx),
x) xxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxx xxxxxxxx x souvislosti x xxxxxxxxxx (například zahrnutí xxxxxxxxxx xx xxxxxxxxxxx xxxxx, xxxxx xxxxxxxxxx xxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx),
x) specifikace xxxxxxxx xxx xxxxxx xxxxxxx xxx, xxxxxxxxxx xxxxx x xxxxxxxxx xx xxxxxxxx xxxxxxxx,
x) xxxxxxxx xxx xxxxxxxxx xxx,
x) xxxxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxx x xxxxxxx významné změny xxxxxxxx xxx xxxxxxxxxxx xxxx změny xxxxxxxx xxx xxxxxxxxx aktivy xxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxx xxxxxxx x
x) xxxxxxxxxx x xxxxxxxx xx xxxxxxxx xxxxxxxxxx.
Příloha č. 8 x xxxxxxxx č. 82/2018 Xx.
Xxxx Formuláře xxx xxxxxxx kontaktních xxxxx
Xxxxxxxxx
Xxxxxx xxxxxxx č. 82/2018 Xx. xxxxx xxxxxxxxx xxxx 28.5.2018.
Xx xxx xxxxxxxx xxxxxx xxxxxxx xxxxx xxxxx xx xxxxxxxxx.
Xxxxx jednotlivých xxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxx aktualizováno, xxxxx se jich xxxxxx xxxxxxxxx změna xxxxx xxxxxxxxx právního xxxxxxxx.
1) Xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Rady (XX) 2016/1148 xx xxx 6. xxxxxxxx 2016 x opatřeních x zajištění vysoké xxxxxxxx xxxxxx bezpečnosti xxxx x xxxxxxxxxxxx xxxxxxx x Xxxx.