Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
XXXXXXXX
xx dne 15. xxxxxxxx 2014
x bezpečnostních xxxxxxxxxx, kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx opatřeních x o stanovení xxxxxxxxxxx xxxxxx v xxxxxxx kybernetické xxxxxxxxxxx (xxxxxxxx x kybernetické xxxxxxxxxxx)
Xxxxxxx xxxxxxxxxxxx xxxx xxxxxxx xxxxx §28 xxxx. 2 xxxxxx x. 181/2014 Xx., x kybernetické xxxxxxxxxxx x o změně xxxxxxxxxxxxx xxxxxx (xxxxx x kybernetické xxxxxxxxxxx), (xxxx xxx "zákon") x xxxxxxxxx §6 xxxx. x) xx x), §8 xxxx. 4, §13 xxxx. 4 x §16 xxxx. 6 zákona.
XXXX XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxxx xxxxxxxxx se xxxxxxx obsah a xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxx informační xxxxxx, xxxxx bezpečnostních opatření, xxxxxx xxxxxx xxxxxxxx, xxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx a způsob xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx, xxxxxxxxxxx oznámení x xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx a xxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxx xxxxx.
§2
Xxxxxxxx xxxxx
X xxxx xxxxxxxx se rozumí
a) xxxxxxxx xxxxxx bezpečnosti xxxxxxxxx část xxxxxxx xxxxxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxxxxx na přístupu x xxxxxxx informačního xxxxxxx kritické informační xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx významného informačního xxxxxxx, xxxxx xxxxxxx xxxxxx ustavení, xxxxxxxx, xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx informací,
b) xxxxxxx xxxxxxxx aktivum a xxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxx, kterou zpracovává xxxx xxxxxxxxx informační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxxxx aktivem xxxxxxxxx xxxxxxx, xxxxxxxxxxx x dodavatelé podílející xx xx provozu, xxxxxxx, xxxxxx nebo xxxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxx aktivem xxxxxxxxx xxxxxxxx, komunikační xxxxxxxxxx x programové xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx a xxxxxxx, xx xxxxxxx xxxx xxxx systémy xxxxxxxx,
x) rizikem xxxxxxx, xx xxxxxx xxxxxx xxxxxxx zranitelnosti xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx a xxxxxxx xxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxx proces, xxx xxxx je xxxxxxxx xxxxxxxxxx rizik x xxxxxx přijatelná úroveň,
h) xxxxxxx rizik činnost xxxxxxxxxx hodnocení rizik, xxxxx a xxxxxxxx xxxxxxxx xx xxxxxxxx xxxxx, sdílení xxxxxxxxx x xxxxxx x xxxxxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxx potencionální xxxxxxx kybernetické bezpečnostní xxxxxxxx xxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx, jejímž xxxxxxxxx xxxx xxx xxxxxxxxx aktiva,
j) xxxxxxxxxxxxx xxxxx místo xxxxxx xxxx bezpečnostního xxxxxxxx, xxxxx může xxx xxxxxxxx xxxxxx nebo xxxx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxx riziko xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx xxxxxxxx kritériím xxx xxxxxxxxxxxx rizik,
l) xxxxxxxxxxxx xxxxxxxxx xxxxxx zásad x xxxxxxxx, xxxxx xxxxxx způsob xxxxxxxxx xxxxxxx aktiv xxxxxxx x xxxxxx uvedenou x §3 xxxx. x) xx x) xxxxxx,
x) xxxxxxxx xxxxxx xxxxxxx xxxxx xxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxx x §3 xxxx. x) až x) xxxxxx k xxxxxxxxx xxxxxxx, xxxxxxx x bezpečnosti aktiva,
n) xxxxxxxxxx fyzická xxxx xxxxxxxxx xxxxx xxxxx xxxxx xxxxxxx xxxx, xxxxx xxxxxxx primární xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxx xxxxx xxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx správu, xxxxxx, xxxxxxx, xxxxxx x xxxxxxxxxx technického xxxxxx.
XXXX DRUHÁ
BEZPEČNOSTNÍ XXXXXXXX
XXXXX X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx v xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) stanoví x xxxxxxx na xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxx x hranice xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xx kterém xxxx, xxxxxxx organizačních xxxxx a xxxxxxxxxxx xxxxx se systém xxxxxx bezpečnosti informací xxxx,
x) řídí rizika xxxxx §4 odst. 1,
x) vytvoří a xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx a xxxxxxxxxx ve vztahu x xxxxxx xxxxxxxxxxx xxxxxxxxx x xx xxxxxxx bezpečnostních xxxxxx x výsledků xxxxxxxxx xxxxx xxxxxxx bezpečnostní xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §5 x xxxxxx příslušná xxxxxxxxxxxx xxxxxxxx,
x) monitoruje xxxxxxxx xxxxxxxxxxxxxx opatření,
e) xxxxxxxxxxx vhodnost a xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx §5,
f) xxxxxxx xxxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx xxxxx §15, x to nejméně xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx včetně xxxxxx hodnocení xxxxx, xxxxxxxxx výsledků xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx, x xx xxxxxxx xxxxxx ročně,
h) xxxxxxxxxxx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx na xxxxxxx xxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx, výsledků vyhodnocení xxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx x x xxxxxxxxxxx s xxxxxxxxxxx xxxx plánovanými xxxxxxx x
x) řídí xxxxxx a zdroje xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, zaznamenává xxxxxxxx xxxxxxx xx systémem xxxxxx bezpečnosti informací x xxxxxxx xxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx x rámci xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxx rizika xxxxx §4 odst. 2,
x) xxxxxxx x schválí xxxxxxxxxxxx xxxxxxxx v xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx xx xxxxxx x xxxxxx xxxxxxxxxxx informací x xx xxxxxxx xxxxxxxxxxxxxx potřeb x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx politiku x xxxxxxx xxxxxxxxx xxxxx §5, a xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx a
c) provádí xxxxxxxxxxx zprávy o xxxxxxxxx xxxxx x xxxxx, bezpečnostní xxxxxxxx, xxxxx zvládání xxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, a xx nejméně xxxxxx xx xxx xxxx xxxx x xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx změnami.
§4
Xxxxxx rizik
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a d) xxxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x hodnocení rizik xxxxxx stanovení xxxxxxxx xxx přijatelnost xxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx aktiv, xxxxx xxxxx do rozsahu xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, podle §8 x xxxxxxx přílohy č. 1 x xxxx xxxxxxxx x xxxxxxx xxxxxxxxx xx zprávy x xxxxxxxxx aktiv a xxxxx,
x) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxxxxx, xxxxxxx xxxxx xxxxxx xx xxxxxx, xxxxxxx xxxx rizika xxxxxxxxx x rozsahu xxxxx přílohy č. 2 x xxxx xxxxxxxx, xxxx x xxxxxxx přijatelná xxxxxx x xxxxxxxx zprávu x xxxxxxxxx aktiv x xxxxx,
x) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx x aplikovatelnosti, které xxxxxxxx xxxxxxx vybraných x zavedených xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx a xxxxxx plán zvládání xxxxx, který xxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x informační xxxxxx, xxxxxx jejich xxxxxxxx x xxxxx xxxxx xxxx xxxxxx x xxxxxxxxxxx bezpečnostními xxxxxxxxxx x
x) xxxxxxxx bez xxxxxxxxxx xxxxxxx xxxxxxxxx x ochranná opatření xxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx (xxxx xxx "Xxxx") x xxxxxxxxx xxxxx x v xxxxxxx, xx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx reaktivního xxxx ochranného xxxxxxxx xxxxxxxx stanovená xxxxxxxx xxx xxxxxxxxxxxx xxxxx, xxxxxx xxxx xxxxxxxx xxxxx.
(2) Xxxxx a xxxxx uvedená x §3 xxxx. e) xxxxxx v xxxxx xxxxxx rizik
a) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x pro xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxxx stanovení xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx primárních xxxxx, xxxxx xxxxx xx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, podle §8 xxxxxxxxx x xxxxxxx přílohy č. 1 x xxxx xxxxxxxx x xxxxxxx xxxxxxxxx xx xxxxxx x hodnocení xxxxx x xxxxx,
x) xxxxxxxxxxxx xxxxxx, při xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxxxxx, xxxxxxx xxxxx xxxxxx xx xxxxxxxx aktiva, hodnotí xxxx xxxxxx xxxxxxxxx x xxxxxxx xxxxx přílohy č. 2 x xxxx xxxxxxxx x xxxxxxxx xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxx na základě xxxxxxxxxxxxxx potřeb a xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx o xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxxxx opatření,
e) zpracuje x xxxxxx xxxx xxxxxxxx rizik, xxxxx xxxxxxxx xxxx x xxxxxxx bezpečnostních xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx zvládání rizik, xxxxxxxx xxxxxxxx, technické, xxxxxx x informační xxxxxx, termíny jejich xxxxxxxx x popis xxxxx mezi identifikovanými xxxxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx a
f) xxxxxxxx bez xxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxx xxxxxx Xxxxxx x hodnocení xxxxx x x xxxxxxx, že xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx xxx přijatelnost rizik, xxxxxx xxxx zvládání xxxxx.
(3) Xxxxxx xxxxx xxxx xxx xxxxxxxxx x jinými xxxxxxx, xxx xxx xx xxxxxxxxx x xxxxxxxxxx 1 x 2, xxxxx orgán a xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx zajišťující xxxxxxx xxxx vyšší xxxxxx xxxxxx xxxxx.
(4) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx při xxxxxxxxx xxxxx xxxxxxx zejména xxxx xxxxxx
x) porušení xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx xx strany xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxx selhání xxxxxxxxxxx xxxxx programového xxxxxxxx,
x) xxxxxxxx xxxxxxxx xxxxxxx osoby,
d) xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx s licenčními xxxxxxxxxx,
x) kybernetický xxxx x komunikační sítě,
f) xxxxxxxx kód (xxxxxxxxx xxxx, xxxxxxx, trojské xxxx),
x) xxxxxxxxxx při xxxxxxxxxxx služeb informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx,
x) narušení xxxxxxx xxxxxxxxxxx,
x) přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx komunikací xxxx xxxxxxx xxxxxxxxxx xxxxxxx,
x) xxxxxxxx nebo xxxxxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxx xxxxxxxx xxxxxx x
x) xxxxxxxx xxxx xxxxxxxxx xxxxxx.
(5) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxx xxxxxxxxx xxxxx zvažuje zejména xxxx xxxxxxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxxxx nastavení xxxxxxxxxxxx xxxxxxxxx,
x) nedostatečné xxxxxxx xxx xxxxxxxxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx jevů, xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí a xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx činnosti xxxxxxxxx x administrátorů x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxx nebo xxxxxxx xxxxxxx xxxxxxx x
x) nedostatečné xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxx xxxx a xxxxxxxxxx xxxxxxxxx, administrátorů a xxxxxxxxxxxxxx xxxx.
(6) Orgán x xxxxx xxxxxxx x §3 písm. x) a x) xxxxxx xxx hodnocení xxxxx dále zvažuje xxxx xxxxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, provedení xxxxxxxxxxxxx xxxxxxxx, zneužití xxxxxxxxx ze xxxxxx xxxxxxxxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) pochybení xx xxxxxx xxxxxxxxxxx,
x) zneužití xxxxxxxxx xxxxxxxxxx, sabotáž,
d) xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx komunikací, xxxxxxx xxxxxxxxxx energie xxxx xxxxxx xxxxxxxxxx xxxxxx,
x) nedostatek zaměstnanců x xxxxxxxxx odbornou xxxxxx,
x) xxxxxx kybernetický xxxx pomocí xxxxxxxxxx xxxxxxxxxxx, xxxxxxx špionážních xxxxxxx a
g) xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx nosičů xxx.
(7) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxx hodnocení xxxxx xxxx xxxxxxx xxxx xxxxxxxxxxxxx
x) nedostatečná ochrana xxxxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,
x) xxxxxxxxxxxx míra xxxxxxxxx xxxxxxxx x
x) xxxxxxxxxxx včasného odhalení xxxxxxxxx xx xxxxxx xxxxxxxxxxx.
§5
Xxxxxxxxxxxx politika
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) a d) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) organizační xxxxxxxxxx,
x) xxxxxx xxxxxx x xxxxxxxxxx,
x) klasifikace xxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx provozu x xxxxxxxxxx,
x) xxxxxx xxxxxxxx,
x) xxxxxxxx chování xxxxxxxxx,
x) xxxxxxxxxx x xxxxxx,
x) xxxxxxxx předávání a xxxxxx xxxxxxxxx,
x) řízení xxxxxxxxxxx xxxxxxxxxxxxx,
x) bezpečné xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx a xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx a xxxxxxxxx xxxxxxxxx,
x) ochrana xxxxxxxx xxxxx,
x) xxxxxxx bezpečnost,
q) xxxxxxxxxx komunikační sítě,
r) xxxxxxx xxxx xxxxxxxxx xxxxx,
x) xxxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx,
x) xxxxxxx x xxxxxx xxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
x) používání kryptografické xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 písm. x) xxxxxx xxxxxxx bezpečnostní xxxxxxxx v xxxxxxxxx
x) xxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxxxx bezpečnost,
c) xxxxxx dodavatelů,
d) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxxx,
x) řízení xxxxxxxx,
x) bezpečné xxxxxxx xxxxxxxxx,
x) zálohování a xxxxxx,
x) xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxx xxxxxxxxx xxxxx a
n) xxxxxxxx x xxxxxxxxx nástroje xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx pravidelně hodnotí xxxxxxxx bezpečnostní xxxxxxxx x aktualizuje ji.
§6
Xxxxxxxxxxx xxxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) až e) xxxxxx xxxxxx xxxxxxxxxx xxxxxx bezpečnosti informací, x xxxxx které xxxx xxxxx pro xxxxxx kybernetické xxxxxxxxxxx x bezpečnostní xxxx x xxxxxx xxxxx x povinnosti xxxxxxxxxxx x informačním xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x x) zákona určí xxxxxxxxxxxx xxxx
x) manažer xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) auditor xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxx aktiva podle §2 xxxx. x).
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxx xxxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxx 2.
(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx, odpovědná xx systém xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx a xxxxxxx odbornou způsobilost xxxxx s xxxxxxx xxxxxxxxxxx informací xx xxxx xxxxxxx xxx xxx.
(5) Architekt xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxxx bezpečnostních opatření, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx s xxxxxxxxxxx xxxxxxxxxxxx architektury xx dobu nejméně xxx xxx.
(6) Auditor xxxxxxxxxxxx xxxxxxxxxxx je xxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx bezpečnosti, xxxxx xx pro xxxx xxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x prováděním xxxxxx kybernetické xxxxxxxxxxx xx xxxx xxxxxxx xxx let. Auditor xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxxxxx x xxxxx jeho xxxx xx xxxxxxx xx xxxxxx rolí xxxxxxxxx v odstavci 2 xxxx. x), x) xxxx x).
(7) Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx, které xxxx xxxxxxxx celkovým xxxxxxx x xxxxxxxx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, anebo se xxxxxxxx xxxxxxxx xx xxxxxx a koordinaci xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx.
(8) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona xxxxxxx xxxxxxx xxxxxxx xxxx, které xxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxx x plánem xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 xxxx. b).
§7
Stanovení xxxxxxxxxxxxxx požadavků xxx dodavatele
(1) Xxxxx x osoba uvedená x §3 xxxx. x) xx e) xxxxxx zavede xxxxxxxx xxx dodavatele, xxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, a xxxxxxxx xx u xxxxxxxxxx nebo xxxxxx xxxx, xxxxx xx xxxxxxxx xx rozvoji, xxxxxxx nebo xxxxxxxxx xxxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xxxxxx zapojení xxxxxxxxxx xx rozvoji, xxxxxxx xxxx zajištění bezpečnosti xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxxxxxx xxxxxxxxxxx xxxxx a xxxxx uvedená x §3 xxxx. x) xx x) zákona xxxxxxxx, xxxxx xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx x xxxxxxxxxx xxxxxxxxx x xxxxxxxx 1 xxxx
x) před xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx rizik xxxxx přílohy č. 2 k xxxx xxxxxxxx, xxxxx jsou xxxxxxx x podstatnými xxxxxxxxx,
x) xxxxxxx xxxxxxx x úrovni xxxxxx, xxxxx stanoví způsoby x xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx x xxxx vztah vzájemné xxxxxxx xxxxxxxxxxxx xx xxxxxxxx a xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, x
x) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx a pravidelnou xxxxxxxx xxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxx nebo xx xxxxxx s xxxxxxxxxxx xxxxxxx jejich xxxxxxxxxx.
§8
Xxxxxx xxxxx
(1) Orgán x osoba xxxxxxx x §3 písm. x) xx e) xxxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxx,
x) určí xxxxxxx xxxxx, xxxxx jsou xxxxxxxxx za xxxxxxxx xxxxxx, a
c) xxxxxxx xxxxxxxxxx primárních aktiv x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x xxxxxx je xx jednotlivých úrovní xxxxxxxxx x xxxxxxx xxxxx přílohy č. 1 x xxxx vyhlášce.
(2) Xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx xx xxxxx xxxxxxxxx xxxxxxxx
x) xxxxxx x důležitost xxxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxxxxx,
x) rozsah xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx x kontrolních xxxxxxxx,
x) xxxxxxxxx veřejných, obchodních xxxx xxxxxxxxxxxx xxxxx,
x) xxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx xxxxxx x xxxxx uvedené x §3 písm. c) xx x) xxxxxx,
x) xxxxxx xxxxxxx s xxxxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti x
x) xxxxxx xx xxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx dobré xxxxxxx.
(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxxxxxxx x eviduje xxxxxxxx xxxxxx,
x) xxxx xxxxxxx aktiv, xxxxx xxxx xxxxxxxxx xx xxxxxxxx aktiva, x
x) xxxx xxxxx xxxx xxxxxxxxxx x podpůrnými xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxx a xxxxxxxxxx xxxxxx.
(4) Orgán a xxxxx uvedená x §3 písm. x) xx e) xxxxxx xxxx
x) xxxxxxx xxxxxxxx xxxxxxx, xxxxx pro xxxxxxxxxxx jednotlivých xxxxxx xxxxx xxx, xx
1. xxxx způsoby xxxxxxxxxxx xxxxxxxxxxxx úrovní xxxxx,
2. xxxxxxx xxxxxxxx xxx xxxxxxxxxx x evidenci x aktivy podle xxxxxx xxxxx, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx sdílení x xxxxxxx xxxxxxxxx xxxxx x
3. xxxxxxx přípustné xxxxxxx xxxxxxxxx aktiv,
b) xxxxxx pravidla xxxxxxx xxxxxxxxxxxx úrovni xxxxx x
x) určí xxxxxxx xxx spolehlivé xxxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx xxx s xxxxxxx xx xxxxxx xxxxx.
§9
Xxxxxxxxxx lidských xxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona v xxxxx řízení bezpečnosti xxxxxxxx xxxxxx
x) stanoví xxxx rozvoje bezpečnostního xxxxxxxx, který obsahuje xxxxx, xxxxx x xxxxxx xxxxxxxxxx školení x xxxx xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx jsou x xxxxx xxxxxxx,
x) x xxxxxxx x xxxxxx rozvoje bezpečnostního xxxxxxxx zajistí poučení xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní xxxx x jejich xxxxxxxxxxxx x x xxxxxxxxxxxx politice xxxxxx xxxxxxxxx x pravidelných xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role x
x) xxxxxxx xxxxxxx xxxxxxxxx aktiv a xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxx ukončení xxxxxxxxx xxxxxx s xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxx x xxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx, xxxxx obsahují xxxxxxx xxxxxxx x xxxxxx xxxx, xxxxx školení xxxxxxxxxxx.
(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) x d) xxxxxx xxxx
x) stanoví pravidla xxx xxxxxx xxxx, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx xxxx, xxxx xxxxxxxxxxxxxx nebo xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxxxxx školení a xxxxxxx xxxxxxxx xxxxxxxxx x prohlubováním xxxxxxxxxxxxxx xxxxxxxx,
x) určí pravidla x postupy xxx xxxxxx případů xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx pravidel xx xxxxxx uživatelů, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx bezpečnostní role x
x) xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx nebo osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
§10
Xxxxxx xxxxxxx x xxxxxxxxxx
(1) Xxxxx a xxxxx uvedená x §3 xxxx. x) xx x) zákona x rámci xxxxxx xxxxxxx x xxxxxxxxxx xxxxxx technických nástrojů xxxxxxxxx x §21 xx 23 xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxx x xx xxxxxxxx nedostatky xxxxxxx x souladu s §13.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx x rámci xxxxxx xxxxxxx x komunikací xxxx zajišťuje xxxxxxxx xxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému. Xx xxxxx xxxxxx xxxxxxx provozní xxxxxxxx x xxxxxxx.
(3) Xxxxxxxx xxxxxxxx x xxxxxxx xxxxxx a xxxxx xxxxxxx v §3 xxxx. c) x x) xxxxxx obsahují
a) xxxxx a xxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, administrátorů x xxxxxxxxx,
x) postupy xxx xxxxxxxx x xxxxxxxx xxxxx xxxxxxx, pro xxxxxxx nebo xxxxxxxx xxxxx systému xx xxxxxxx x xxx xxxxxxxx xxxxxxxxx stavů xxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x pro ochranu xxxxxxxx x záznamům x xxxxxx xxxxxxxxxx,
x) xxxxxxx na xxxxxxxxx xxxxx, které xxxx xxxxxx xxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxxx xxxxxxxxxxx nebo xxxxxxxxxxx xxxxxx,
x) xxxxxxx řízení x xxxxxxxxxxx xxxxxxxxxx xxxx x
x) xxxxxxx xxx xxxxxxxxx, xxxxxxxxx x řízení kapacity xxxxxxxx x technických xxxxxx.
(4) Xxxxxx xxxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. c) až x) zákona xxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x prověřování xxxxxxxxxxxxx xxxxxxxxxxx xxxxx.
(5) Xxxxxx xxxxxxx orgánu x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx spočívá v
a) xxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxx vydaných Xxxxxx xxx, že orgán x osoba uvedená x §3 xxxx. x) x x) xxxxxx
1. posoudí xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xx informační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikační xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xx zavedená xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxx negativní xxxxxx x xxx zbytečného xxxxxxx xx oznámí Xxxxx a
2. xxxxxxx xxxxxx rychlého provedení xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxxxxxx možné xxxxxxxxx xxxxxx, a xxxx xxxxxx xxxx xxxx xxxxxxxxx.
(6) Orgán a xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx x xxxxx xxxxxx xxxxxxxxxx
x) xxxxxxxxx bezpečnost x xxxxxxxxx komunikačních xxxx x bezpečnost xxxxxxxxxxxxx xxxxxx xxxxx §17,
x) určí pravidla x postupy pro xxxxxxx xxxxxxxxx, xxxxx xxxx přenášeny komunikačními xxxxxx,
x) provádí výměnu x předávání xxxxxxxxx xx xxxxxxx pravidel xxxxxxxxxxx xxxxxxxx xxxxxxxx xx současného zajištění xxxxxxxxxxx xxxxxxxxx x xxxx pravidla xxxxxxxxxxx x
x) x xxxxxxx xx xxxxxxxxxxx aktiv xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxx smluv, xxxxxxx xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx.
§11
Xxxxxx xxxxxxxx x xxxxxxxx xxxxxxx uživatelů
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xx xxxxxxx xxxxxxxxxx a xxxxxxxxxxxxxx xxxxxx řídí xxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačnímu systému xxxxxxxx xxxxxxxxxx infrastruktury x významnému xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxx xxxxxxxxx jednoznačný xxxxxxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxxxx xxxxxxxx, která xxxxxx x zajištění xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx informačního xxxxxxx xxxxx §18 a 19, x xxxxx xxxxx xx xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(3) Xxxxx a xxxxx uvedená v §3 písm. x) x x) xxxxxx xxxx v xxxxx xxxxxx přístupu
a) xxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx,
x) omezí xxxxxxxxxxx xxxxxxxxxxxxxxxxxx oprávnění,
c) xxxxxxxxx x xxxxxxx přístupová xxxxxxxxx v xxxxxxx x politikou xxxxxx xxxxxxxx,
x) provádí pravidelné xxxxxxxxxxx nastavení xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxx,
x) xxxxxxx xxxxxxx xxx xxxxxxxxx identity xxxxxxxxx xxxxx §18 x nástroj xxx xxxxxx xxxxxxxxxxxx oprávnění xxxxx §19 a
f) xxxxxx xxxxxxxxxxxx opatření xxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxx x bezpečnostní xxxxxxxx xxxxxxx s xxxxxxxx technických xxxxxxxx, xxxxxxx xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxxxxxxxxx.
§12
Xxxxxxxx, xxxxx a xxxxxx
(1) Xxxxx x xxxxx uvedená v §3 xxxx. x) xx e) xxxxxx xxxxxxx bezpečnostní xxxxxxxxx xx xxxxx informačního xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx xxxxxxx x xxxxxx xxxxxxxx, xxxxxxx x xxxxxxx x xxxxxx xx xx xxxxxxxx akvizice, xxxxxx x xxxxxx xxxxxxx.
(2) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxxxxxxx, hodnotí x xxxx rizika xxxxxxxxxxx x akvizicí, xxxxxxx x xxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx; xxx xxxxxxx xxxxxxxxx x řízení xxxxx se metodiky xxxxx §4 odst. 1 písm. a) xxxxxxx obdobně,
b) xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxx x
x) xxxxxxx bezpečnostní xxxxxxxxx změn xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx před xxxxxx xxxxxxxxx xx xxxxxxx.
§13
Zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x incidentů
Orgán x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx xxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx
x) přijme xxxxxxxx xxxxxxxx, xxxxx xxxxxxx xxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx u informačního xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačního xxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx xxxx a o xxxxxxxxxx xxxx xxxxxxx,
x) xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxx oznámených xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí xxxxxxxxxxxx technickými nástroji xxxxx §21 xx 23, xxxxxxx xxxxxx xxxxxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxx xxx xxxxxxxxx x zmírnění xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxx §32 x xxxxxxx xxxx věrohodných xxxxxxxx xxxxxxxxxx pro analýzu xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu,
d) xxxxxxxx a xxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx, xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xx xxxxxxx xxxxxxxxxxx xxxxxxx xxxxx bezpečnostní xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a
e) dokumentuje xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
§14
Xxxxxx xxxxxxxxxx činností
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) až x) xxxxxx v xxxxx řízení xxxxxxxxxx xxxxxxxx xxxxxxx
x) xxxxx x xxxxxxxxxx xxxxxxx xxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) xxxx řízení xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx úrovně xxxxxxxxxxxxx xxxxxx, která xx xxxxxxxxxx pro xxxxxxx, xxxxxx a xxxxxx xxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému kritické xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx informačního xxxxxxx,
2. xxxx obnovení chodu, xxxxx xxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx obnovena xxxxxxxxx xxxxxx poskytovaných xxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému, a
3. xxxx xxxxxxxx xxx xxxx xxxxxxx, ke xxxxxxx xxxxx xxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx, a
c) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx, xxxxx obsahuje xxxxxxxx xxxx xxxxx xxxxxxx x).
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx xxxx
x) xxxxxxxxx x xxxxxxxxxxx xxxxx xxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx xxxxxx související x ohrožením kontinuity xxxxxxxx,
x) stanoví, xxxxxxxxxxx x pravidelně xxxxxxx xxxxx kontinuity xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) realizuje xxxxxxxx pro zvýšení xxxxxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x komunikačního systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxxxxxx bezpečnostnímu xxxxxxxxx a xxxxxxx xxxxxxx xxx xxxxxxxxxxx xxxxxx dostupnosti podle §26 x
x) xxxxxxx x aktualizuje postupy xxx xxxxxxxxx opatření xxxxxxxx Xxxxxx podle §13 x 14 xxxxxx, xx kterých xxxxxxxx
1. xxxxxxxx xxxxxxxxx xxxxx provedení xxxxxxxx,
2. xxxx dotčených xxxxxxxxxxxxxx xxxxxxxx x
3. xxxxxxxxxxx xxxxxxxxxx negativních xxxxxx xx provoz a xxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx.
§15
Xxxxxxxx a xxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. c) xx x) zákona x rámci xxxxxxxx x auditu kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx informačních xxxxxxx (xxxx xxx "xxxxx xxxxxxxxxxxx xxxxxxxxxxx")
x) xxxxxxxx xxxxxx xxxxxxxxxxxxxx opatření x právními předpisy, xxxxxxxxx předpisy, jinými xxxxxxxx a xxxxxxxxx xxxxxxx xxxxxxxxxxxx xx x xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxx xxxxxxxx xxx jeho xxxxxxxxxxx x
x) xxxxxxx x xxxxxxxxxxx pravidelné kontroly xxxxxxxxxx xxxxxxxxxxxx politiky x výsledky xxxxxx xxxxxxx xxxxxxxx x xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx a xxxxx xxxxxxxx rizik.
(2) Xxxxx x xxxxx uvedená x §3 písm. x) x d) xxxxxx xxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti xxxxxx x xxxxxxxx xxxxxxxxxxx xxxxx §6 xxxx. 6, která xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Orgán x xxxxx xxxxxxx v §3 xxxx. x) x d) xxxxxx xxxx xxx xxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx a komunikační xxxxxx kritické informační xxxxxxxxxxxxxx provádí xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx prostředků xxxxxx automatizovaných xxxxxxxx x jejich xxxxxxx xxxxxxxxxxx x reaguje xx xxxxxxxx xxxxxxxxxxxxx.
XXXXX XX
XXXXXXXXX OPATŘENÍ
§16
Fyzická xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. c) xx x) xxxxxx x rámci xxxxxxx xxxxxxxxxxx
x) přijme xxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxxxx xx xxxxxxxxxx prostor, xxx xxxx xxxxxxxxxxxx informace x umístěna xxxxxxxxx xxxxxx xxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxx nezbytná xxxxxxxx x xxxxxxxx xxxxxxxxx x zásahům xx xxxxxxxxxx xxxxxxx, xxx xxxx xxxxxxxx informace x umístěna xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x
x) předchází xxxxxxxxx, xxxxxxx xxxx xxxxxxxx xxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 písm. x) x x) xxxxxx xxxx xxxxxxxxx prostředky xxxxxxx xxxxxxxxxxx
x) xxx xxxxxxxxx ochrany xx xxxxxx objektů x
x) xxx xxxxxxxxx xxxxxxx x xxxxx xxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxx, ve xxxxxxx jsou umístěna xxxxxxxxx xxxxxx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
(3) Prostředky xxxxxxx xxxxxxxxxxx xxxx zejména
a) xxxxxxxxxx zábranné xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxx událostí,
e) xxxxxxx xxx kontrolu vstupu,
f) xxxxxxxx xxxxxxx,
x) xxxxxxxx xxx xxxxxxxxx xxxxxxx xxxx selháním xxxxxxx xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx provozních xxxxxxxx.
§17
Xxxxxxx pro xxxxxxx xxxxxxxxx xxxxxxxxxxxxx sítí
(1) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx pro xxxxxxx xxxxxxxxx xxxxxxxx xxxxxx komunikační sítě, xxxxx není pod xxxxxxx orgánu nebo xxxxx, x xxxxxxx xxxxxxxxxxx xxxx, která xx pod správou xxxxxx nebo osoby, xxxxxx
x) xxxxxx xxxxxxxxxx xxxxxxxx mezi xxxxxx x xxxxxxx sítí,
b) xxxxxxxxxx zejména použitím xxxxxxxxxxxxxxxxxx xxx xxxx xxxxxxxxxxx xxxx xxxx xxxxxxxxxxx xx zvýšení xxxxxxxxxxx xxxxxxxx xxxxxxxxxx x xxxxxx xxxx x k xxxxxxxx xxxxx xxxxxxxxxx xxxxxxx xxxx x vnější xxxx,
x) kryptografické xxxxxxxxxx (§25) pro xxxxxxxx xxxxxxx, vzdálenou správu xxxx xxx přístup xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxxx nebo blokování xxxxxxxxxxx xxx, xxxxx xxxxxxxxxxxx xxxxxxxxxx na xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 písm. c) x x) zákona xxxx xxxxxxx xxxxxxxx xxx xxxxxxx integrity xxxxxxx komunikační sítě, xxxxx xxxxxxx její xxxxxxxxxx.
§18
Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx používá xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významného xxxxxxxxxxxx systému.
(2) Nástroj xxx ověřování xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx xxxx xxxxxxxxx xxxxxx xxxxxxx v xxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury x xxxxxxxxx informačním xxxxxxx.
(3) Xxxxxxx pro xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxx používá xxxxxxxxxxx xxxxx xxxxxx, xxxxxxxxx
x) xxxxxxxxx délku xxxxx xxx xxxxx,
x) xxxxxxxxx xxxxxxxxx xxxxx xxx, xx heslo xxxx xxxxxxxxx xxxxxxx 3 x xxxxxxxxxxxxx xxxx xxxxxxxxx
1. nejméně xxxxx xxxxx písmeno,
2. xxxxxxx xxxxx xxxx písmeno,
3. xxxxxxx xxxxx xxxxxxx, xxxx
4. xxxxxxx xxxxx xxxxxxxxx xxxx xxxxxxx xx xxxxxxxxx xxxxxxxxx x xxxxxx 1 xx 3,
c) maximální xxxx xxx povinnou xxxxxx xxxxx nepřesahující xxx dnů; tento xxxxxxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(4) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) x d) zákona xxxx
x) xxxxxxx nástroj xxx ověření identity, xxxxx
1. zamezí xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxx x xxxxxxxx xxxx xxxx hesla xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx období, xxxxx xxxx být xxxxxxx 24 xxxxx, x
2. xxxxxxx xxxxxxxx ověření xxxxxxxx xx xxxxxx xxxx nečinnosti x
x) xxxxxxx xxxxxxx pro xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx. X xxxxxxx, že xxxxx nástroj xxxxxxx xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxxxx xxxxxxxxx délky xxxxx xxxxxxx xxxxx xxx xxxxxxxx xxxxxxxxx xxxxx odstavce 3 xxxx. x) x x).
(5) Xxxxxxx xxx xxxxxxxxx identity xxxxxxxxx xxxx být xxxxxxxx x jinými xxxxxxx, xxx jaké xxxx xxxxxxxxx x xxxxxxxxxx 3 xx 5, xxxxx orgán a xxxxx uvedená v §3 xxxx. x) xx x) xxxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxxxx xxxxxx xxxxxxxxx xxxxx.
§19
Nástroj pro xxxxxx xxxxxxxxxxxx xxxxxxxxx
(1) Orgán x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx používá xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx xxxxxx oprávnění
a) xxx xxxxxxx x xxxxxxxxxxx xxxxxxxxx x xxxxx x
x) xxx xxxxx xxx, pro xxxxx xxx a pro xxxxx xxxxxxxxx.
(2) Xxxxx x osoba uvedená x §3 xxxx. x) x d) xxxxxx xxxx xxxxxxx xxxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxx, který xxxxxxxxxxx xxxxxxx přístupových xxxxxxxxx v xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx.
§20
Xxxxxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxx
Xxxxx x osoba xxxxxxx x §3 písm. x) xx x) xxxxxx pro xxxxxx xxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxxx kódu xxxxxxx nástroj xxx xxxxxxx informačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačního xxxxxxx xxxx xxxxxxxxx xxxxx, xxxxx xxxxxxx ověření x stálou xxxxxxxx
x) xxxxxxxxxx xxxx xxxxxxx xxxx a xxxxxx xxxx,
x) serverů x xxxxxxxxx xxxxxxxx xxxxxxx x
x) xxxxxxxxxx stanic,
přičemž xxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxxxxxx nástroje xxx xxxxxxx před xxxxxxxxx kódem, xxxx xxxxxxx x signatur.
§21
Xxxxxxx xxx zaznamenávání xxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) až x) xxxxxx používá xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému, xxxxx zajistí
a) xxxx xxxxxxxxx o xxxxxxxxxx x bezpečnostních xxxxxxxxxx, xxxxxxx typ xxxxxxxx, xxxxx x xxx, xxxxxxxxxxxx technického aktiva, xxxxx činnost zaznamenalo, xxxxxxxxxxxx xxxxxxx x xxxxx činnosti x xxxxxxxxx xxxx neúspěšnost xxxxxxxx x
x) xxxxxxx xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxx xxxxxx xxxx xxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxx xxxxxx nástroje xxx zaznamenávání xxxxxxxx xxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významného xxxxxxxxxxxx systému xxxxxxxxxxx
x) xxxxxxxxxx x xxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxx xx xxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx činností v xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxx x xxxxxxxx xxxxxxxx technických xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxx nebo xxxxxxx xxxxxxx xxxxxxxxxxx aktiv,
g) xxxxxxxx k záznamům x xxxxxxxxxx, xxxxxx x xxxxxxxxxx xx xxxxxxx x xxxxxxxxxx x změny nastavení xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx a
h) xxxxxxx xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxx xxxxxx xxxxx xxxxx, xxxxx slouží x přihlášení.
(3) Xxxxx x osoba uvedená x §3 xxxx. x) a d) xxxxxx záznamy xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 2 uchovává xxxxxxx xx xxxx 3 xxxxxx.
(4) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxxxxxx xxxxxxx xxxxxx xx 24 hodin xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxxx aktiv xxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
§22
Xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxx a osoba xxxxxxx x §3 xxxx. x) xx x) zákona používá xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxxxx xxxxxxx ze xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxx x výsledků xxxxxxxxx xxxxx a který xxxxxxx xxxxxxx, xxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxx x xxxxxx sítí.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) a d) xxxxxx dále používá xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxxxx xxxxxxx xxxxxxx, xxxxxxxx x xxxxxxxx xxxxxxxxxxx komunikace
a) x xxxxx vnitřní komunikační xxxx x
x) xxxxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§23
Xxxxxxx xxx xxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx používá nástroj xxx xxxx a xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, který x xxxxxxx s xxxxxxxxxxxxxx potřebami x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx
x) xxxxxxxxxxx sběr x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí z xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury a xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury,
b) poskytování xxxxxxxxx xxx xxxxxx xxxxxxxxxxxx role o xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxxx x informačním xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx krit é xxxxxxxxxx infrastruktury a
c) xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, včetně xxxxxxxx xxxxxxxx určených xxxxxxxxxxxxxx xxxx.
(2) Orgán x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx xxxx zajistí
a) xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx vyhodnocování xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxx xxxxxxxx, xxx xxxx omezovány xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxx xxxxxxx xxxxxxxxx xxxxxxxx, x
x) xxxxxxxxx informací, které xxxx xxxxxxxxxx xxxxxxxxx xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx optimální xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§24
Xxxxxxxxx xxxxxxxxxx
(1) Xxxxx x osoba uvedená x §3 písm. x) xx e) xxxxxx provádí bezpečnostní xxxxx zranitelnosti xxxxxxxx, xxxxx jsou xxxxxxxxx x xxxxxx sítě, x to xxxx xxxxxx xxxxxxxx xx xxxxxxx x po xxxxx xxxxxxx změně xxxxxxxxxxxxxx xxxxxxxxxx.
(2) Orgán x osoba xxxxxxx x §3 xxxx. x) a x) xxxxxx dále v xxxxx xxxxxxxxx bezpečnosti xxxxxxx trvalou xxxxxxx
x) xxxxxxxx a informací xxxxxxxxxx x xxxxxx xxxx xxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxx, kompromitací xxxx xxxxxxxxxxxxxxx xxxxxx x
x) xxxxxxxxx xxxx xxxxxx xxxxxxxxxxxx, xxxxxxxxxx směrováním, xxxxxxxxxxxxxxx změnou xxxxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxx.
§25
Xxxxxxxxxxxxxx xxxxxxxxxx
(1) Orgán x osoba xxxxxxx x §3 xxxx. x) až e) xxxxxx
x) pro xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxx
1. xxxxxx xxxxxxx x xxxxxxx xx xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx x
2. pravidla xxxxxxxxxxxxxx ochrany xxxxxxxxx xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx xxxx xxx uložení na xxxxxxx xxxxxxxx nebo xxxxxxxxxxx xxxxxxxxx nosiče xxx x
x) x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx používá xxxxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx ochranu důvěrnosti x integrity předávaných xxxx xxxxxxxxxx dat x xxxxxxxxx xxxxxxxxxxxx xxxxx xx xxxxxxxxx xxxxxxxx.
(2) Orgán x xxxxx uvedená v §3 xxxx. x) x d) xxxxxx xxxx
x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxx xxxxx, xxxxx xxxxxxx xxxxxxxxxx, xxxxxxxxxx, ukládání, xxxxxxxxx, xxxxx, xxxxxx, xxxxxxxx x xxxxx klíčů, x
x) xxxxxxx odolné xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx xxxxx; v xxxxxxx nesouladu x xxxxxxxxxxx požadavky xx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxx x příloze č. 3 k xxxx vyhlášce řídí xxxxxx xxxxxxx x xxxxx xxxxxxxxxx.
§26
Xxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx v xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx používá xxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx informací.
(2) Orgán x xxxxx uvedená x §3 písm. x) x d) xxxxxx xxxxxxx nástroj xxx zajišťování úrovně xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxx xxxxxxx xxxx xxxxxx kontinuity xxxxxxxx,
x) xxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx xxxxx xxxxxx xxxxxxxxxx, x
x) zálohování xxxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx
1. xxxxxxxx xxxxxxxxxx x xxxxxx xxxxxx x
2. xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxx x určeném xxxx.
§27
Bezpečnost xxxxxxxxxxxx x xxxxxxxx systémů
Orgán a xxxxx xxxxxxx x §3 xxxx. c) x x) zákona xxx xxxxxxxxxx průmyslových x xxxxxxxx xxxxxxx, xxxxx xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxx xxxxxx xxxxxxxx, xxxxxxx xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx xxxxxxxxx xxxxxxxx x xxxx x xxxxxxxxx průmyslových x xxxxxxxx systémů,
b) xxxxxxx xxxxxxxxx a vzdáleného xxxxxxxx x síti xxxxxxxxxxxx a řídicích xxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx xxxxxxxxxxxx a xxxxxxxx systémů po xxxxxxxxxxxxx bezpečnostním xxxxxxxxx.
XXXXX XXX
XXXXXXXXXXXX DOKUMENTACE
§28
Bezpečnostní xxxxxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 písm. x) x d) zákona xxxx x aktualizuje xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx
x) xxxxxxxxxxxx politiku xxxxx §5 xxxx. 1,
x) xxxxxx x xxxxxx xxxxxxxxxxxx bezpečnosti xxxxx §3 xxxx. 1 xxxx. f),
c) xxxxxx z xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx podle §3 xxxx. 1 xxxx. x),
x) xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x hodnocení xxxxx,
x) xxxxxx o xxxxxxxxx xxxxx a xxxxx,
x) xxxxxxxxxx o xxxxxxxxxxxxxxxx,
x) plán xxxxxxxx xxxxx,
x) plán xxxxxxx xxxxxxxxxxxxxx povědomí xxxxx §9 odst. 1 xxxx. x),
x) zvládání xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xxxxx §13 xxxx. x),
x) xxxxxxxxx řízení xxxxxxxxxx činností xxxxx §14 xxxx. 1 xxxx. x) a
k) xxxxxxx právních předpisů, xxxxxxxxx xxxxxxxx x xxxxxx předpisů x xxxxxxxxx závazků podle §15 xxxx. 1 xxxx. x).
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) zákona xxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxx xxxxx §5 odst. 2,
x) xxxxxxxx pro xxxxxxxxxxxx x hodnocení xxxxx x pro identifikaci x xxxxxxxxx xxxxx xxxxx §4 xxxx. 2 xxxx. x),
x) xxxxxx o xxxxxxxxx xxxxx a rizik xxxxx §4 xxxx. 2 xxxx. x) x c),
d) xxxxxxxxxx x xxxxxxxxxxxxxxxx xxxxx §4 odst. 2 xxxx. d),
e) xxxx xxxxxxxx xxxxx xxxxx §4 xxxx. 2 xxxx. e),
f) xxxx xxxxxxx bezpečnostního xxxxxxxx xxxxx §9 xxxx. 1 xxxx. x),
x) xxxxxxxx kybernetických bezpečnostních xxxxxxxxx xxxxx §13 xxxx. x),
x) strategii xxxxxx xxxxxxxxxx xxxxxxxx xxxxx §14 xxxx. 1 písm. x) x
x) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx x smluvních xxxxxxx xxxxx §15 xxxx. 1 xxxx. a).
(3) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx xxx, xxx xxxxxxx o xxxxxxxxxxx xxxxxxxxxx xxxx xxxxx, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx a xxx xx daly xxxxxx xxxxxxxx. Opatření potřebná x identifikaci, uložení, xxxxxxx, xxxxxxxxx, době xxxxxxxxx x xxxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxx dokumentuje.
(4) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx dokumentace xx stanovena x příloze č. 4 x xxxx xxxxxxxx.
§29
Prokázání certifikace
Orgán x xxxxx uvedená x §3 xxxx. c) xx x) zákona, xxxxx xxxxxxxxxx systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx xx xxxxx xxxxxxx xx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx byl certifikován xxxxx xxxxxxxxx technické xxxxx1) akreditovaným xxxxxxxxxxxxx xxxxxxx, x která xxxx dokumenty obsahující
a) xxxxx rozsahu xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx politiky x xxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) popis xxxxxxx xxxxxx xxxxxxxxx xxxxx x zprávu x hodnocení rizik,
d) xxxxxxxxxx x aplikovatelnosti,
e) xxxxxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx zabývající se xxxxxxxxxxx xxxxxxxxx1),
x) záznam x přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx informací xxxxxx souvisejících xxxxxx x výstupů přezkoumání x
x) xxxxxx z xxxxxx xxxxxxxxxxx certifikačním xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx o nápravě xxxxxxxxxx neshod x xxxxxxxxxx normou,
splňuje xxxxxxxxx xx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx x xxxx xxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX
§30
Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx xxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx do xxxxxxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxx xxxxxxxxxxxxx útokem xxxx xxxxx xxxxxxxx xxxxxxx x průniku xx xxxxxxx xxxx x xxxxxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx kódem,
c) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx xxxxxxxxxx technických xxxxxxxx,
x) kybernetický xxxxxxxxxxxx xxxxxxxx způsobený xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx,
x) kybernetický xxxxxxxxxxxx incident xxxxxxx x projevem xxxxxx xxxxxxxxxx hrozeb x
x) xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx způsobené xxxxxxxxxxxxx xxxxxx.
(2) Xxxxx xxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx typů
a) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx bezpečnostní incident xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobující narušení xxxxxxxxxxx xxxxx, xxxx
x) xxxxxxxxxxxx bezpečnostní incident xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx x písmenech x) xx x).
§31
Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx dělí do xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - xxxxx xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx kterém xx přímo x xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx zásahy xxxxxxx s tím, xx xxxx být xxxxx dostupnými prostředky xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace vzniklých x xxxxxxxxxxxxx xxxx.
x) Xxxxxxxxx XX - xxxxxxx kybernetický bezpečnostní xxxxxxxx, při xxxxxx xx xxxxxxxx bezpečnost xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx řešení xxxxxxxx neprodlené xxxxxx xxxxxxx x xxx, xx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
x) Xxxxxxxxx X - xxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx kterém xxxxxxx x méně xxxxxxxxxx narušení bezpečnosti xxxxxxxxxxxxx xxxxxx nebo xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxx obsluhy x xxx, xx xxxx být vhodnými xxxxxxxxxx xxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx včetně xxxxxxxxxxxx xxxxxxxxx xxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx při xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx podle xxxxxxxx 1 xxxxxxxx
x) xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného informačního xxxxxxx,
x) dopady xx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxx významného xxxxxxxxxxxx xxxxxxx,
x) dopady xx xxxxxx xxxxxxxxxxx jinými xxxxxxxxxxxx systémy xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxx významnými xxxxxxxxxxxx xxxxxxx a
d) xxxxxxxxxxxxx xxxxx x xxxxx xxxxxx.
§32
Xxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxx kybernetický xxxxxxxxxxxx xxxxxxxx
x) v xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxx
1. elektronického xxxxxxxxx xxxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Úřadu,
2. xxxxxx xx xxxxxx xxxxxxxxxxxx pošty Úřadu xxxxxx pro xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, zveřejněné na xxxxxxxxxxxxx stránkách Úřadu,
3. xxxxxx zprávy xx xxxxxx xxxxxxxx Xxxxx, xxxx
4. xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx rozhraní, xxxxx xxxxx je xxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx, anebo
b) v xxxxxxxx podobě xx xxxxxx Národního centra xxxxxxxxxxxx xxxxxxxxxxx, zveřejněné xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Hlášení v xxxxxxxx xxxxxx xx xxxxxx xxxxx v xxxxxxxxx, xxx nelze xxxxxx žádný xx xxxxxxx uvedených x xxxxxxxx 1 xxxx. x).
(3) Xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxx xxxxxxx x příloze č. 5 x xxxx xxxxxxxx.
ČÁST XXXXXX
XXXXXXXXX OPATŘENÍ X KONTAKTNÍ ÚDAJE
§33
Reaktivní xxxxxxxx
Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) xx x) xxxxxx xxxxxx xxxxxxxxx reaktivního opatření x xxxx xxxxxxxx xx xxxxxxxxx, jehož xxxx je uveden x příloze č. 6 x xxxx xxxxxxxx.
§34
Kontaktní údaje
Orgán a xxxxx xxxxxxx x §3 xxxxxx xxxxxxxx xxxxxxxxx xxxxx xx xxxxxxxxx, jehož xxxx xx uveden x příloze č. 7 x této xxxxxxxx. Orgán x xxxxx uvedená x §3 písm. c) xx x) xxxxxx xxxxxxxx xxxxxxxxx údaje xxxxxx xxxxxxxx x §32 xxxx. 1 xxxx. x).
XXXX PÁTÁ
ÚČINNOST
§35
Tato vyhláška xxxxxx xxxxxxxxx xxxx 1. xxxxx 2015.
Xxxxxxx:
Xxx. Xxxxxxxx x. x.
Xxxxxxx č. 1 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx x xxxxxx xxxxxxxxxxx aktiv
Pro xxxxxxxxx xxxxxxxxxxx xxxxx xxxx použity xxxxxxxx x xxxxxxx xxxxxxxx. Xxxxx xxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona může xxxxxxxx odlišný xxxxx xxxxxx xxx hodnocení xxxxxxxxxxx xxxxx, xxx xxxx xx xxxxxx x xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx a stupnicemi x xxxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx jsou uvedeny x xxxx xxxxxxx.
X xxxxxxx xxxxxxx xxx xxxxxx hodnocení důležitosti xxxxx xx přípustné xxxxxxx xxx xxxxxx xxxxx x xxxxxxx, xxxx xxxxxx xxxxxx x xxxxxxxx.
Xxxxxxxx pro xxxxxxxxx důvěrnosti
|
Úroveň |
Popis |
Ochrana |
|
Nízká |
Aktiva xxxx xxxxxxx xxxxxxxxx xxxx xxxx xxxxxx ke xxxxxxxxxx (např. xx xxxxxxx zákona č. 106/1999 Sb., x svobodném xxxxxxxx x xxxxxxxxxx, xx xxxxx pozdějších xxxxxxxx). Xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx x osoby xxxxxxx v §3 xxxx. x) xx x) xxxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx a xxxxx xxxx-xxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx, xxxxxxx aktiv xxxx vyžadována žádným xxxxxxx předpisem xxxx xxxxxxxx xxxxxxxxx. |
Xxx ochranu xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxx řízení xxxxxxxx. |
|
Xxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx x jejich xxxxxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx (xxxx. xxxxxxxx xxxxxxxxx xxxxx xxxxxx č. 89/2012 Sb., xxxxxxxx zákoník, xxxxxx údaje podle xxxxxx č. 101/2000 Sb., x xxxxxxx osobních údajů, xx xxxxx xxxxxxxxxx xxxxxxxx). |
Xxx ochranu xxxxxxxxxx xxxx využívány prostředky, xxxxx zajistí řízení x zaznamenávání xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx sítí xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx míru ochrany xxx xxxxx xxxxxxxxx xxxxxxxxx (xxxx. xxxxxxxxxxx xxxxxxxx tajemství, xxxxxxx xxxxxx xxxxx). |
Xxx xxxxxxx xxxxxxxxxx je xxxxxxxxxx xxxxxxxx osob, xxxxx x xxxxxxx přistoupily, x metody xxxxxxx xxxxxxxxxxx zneužití xxxxx xx xxxxxx administrátorů. Xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx x hlediska xxxxxxxxx. Xxxxxxxx integrity aktiva xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona. |
Není xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx xxxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx aktiva xxxx xxxx k xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx x xxxxx uvedené v §3 xxxx. x) xx x) xxxxxx x xxxx xx xxxxxxxx méně xxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx (např. xxxxxxx xxxxxxxxxxxx xxxx pro xxxxx). |
|
Xxxxxx |
Xxxxxxx vyžaduje xxxxxxx x xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx xxxxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx x osoby xxxxxxx x §3 písm. x) až x) xxxxxx s xxxxxxxxxxx xxxxxx na xxxxxxxx xxxxxx. |
Xxx ochranu integrity xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxxxxx provedených xxxx a xxxxxxxxxx xxxxxxxx osoby provádějící xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx vnějšími komunikačními xxxxxx xx zajištěna pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx vyžaduje xxxxxxx x xxxxxxxx xxxxxxxxx. Narušení integrity xxxx x xxxxx xxxxxxx poškození xxxxxxxxxxx xxxxx xxxxxx x xxxxx uvedené v §3 xxxx. x) xx e) xxxxxx x xxxxxxx x xxxxx xxxxxxx xxxxxx xx xxxxxxxx aktiva. |
Pro xxxxxxx xxxxxxxxx jsou xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx osoby xxxxxxxxxxx xxxxx (např. pomocí xxxxxxxxxxx digitálního xxxxxxx). |
Xxxxxxxx xxx xxxxxxxxx dostupnosti
|
Úroveň |
Popis |
Ochrana |
|
Nízká |
Narušení xxxxxxxxxxx xxxxxx xxxx xxxxxxxx x v xxxxxxx xxxxxxx je xxxxx tolerováno delší xxxxxx xxxxxx xxx xxxxxxx (xxx do 1 xxxxx). |
Xxx xxxxxxx xxxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx xxxx pracovního xxx, dlouhodobější výpadek xxxx x xxxxxxx xxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx využívány xxxxx xxxxxx xxxxxxxxxx a obnovy. |
|
Vysoká |
Narušení xxxxxxxxxxx xxxxxx xx xxxxxx překročit xxxx xxxxxxxx xxxxx. Xxxxxxxx xxxxxxx xx xxxxx xxxxx neprodleně, protože xxxx k xxxxxxx xxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx. Xxxxxx xxxx xxxxxxxxxx xxxx xxxxx důležitá. |
Pro xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx systémy x xxxxxx poskytování xxxxxx xxxx xxx xxxxxxxxx zásahy xxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxxx x x xxxxxxxxxx nedostupnost (x xxxx xxxxxxxx xxxxx) vede x xxxxxxx xxxxxxxx xxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx. Xxxxxx xxxx xxxxxxxxxx xxxx kritická. |
Pro xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx záložní systémy x xxxxxx poskytování xxxxxx xx krátkodobá x automatizovaná. |
Xxxxxxx x. 2 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx xxxxx
Xxxxxxxxx xxxxx xx xxxxxxxxx xxxx funkce, xxxxxx xxxxxxxxx xxxxx, xxxxxx x xxxxxxxxxxxx.
Xxx hodnocení xxxxx lze xxxxxx xxxxxxx tuto xxxxxx
xxxxxx = xxxxx x xxxxxx x zranitelnost.
Jednoznačné xxxxxx xxxxxx pro xxxxxx xxxxxx xx xxxxxxxxx xxxxxxxx metodiky xxx xxxxxxxxxxxx a xxxxxxxxx xxxxxx
|
Xxxxxxxx xxx xxxxxxxxx dopadů |
|
|
Úroveň |
Popis |
|
Nízký |
Dopad xx x xxxxxxxx xxxxxxx xxxxxx a xxxxxx xxxxxxx a nesmí xxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxx x) 10 xxxxxxxxx osob x xxxxxxxxx hospitalizací po xxxx xxxxx xxx 24 xxxxx nebo b) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xx 5&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx nebo xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxxx 250 xxxx. |
|
Xxxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx x x xxxxxxxx časovém období. Rozsah xxxxxxxxxx škod se xxxxxxxx v xxxxxxx x) xx 10 mrtvých xxxx xx 11 xx 100 xxxx x xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xx 5&xxxx;000&xxxx;000 Kč xx 50&xxxx;000&xxxx;000 Xx anebo c) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx xxxxxxxx nezbytných služeb xxxx xxxxxx xxxxxxxxx xxxxxx do xxxxxxxxxxxx xxxxxx postihujícího od 251 do 2&xxxx;500 xxxx. |
|
Xxxxxx |
Xxxxx je xxxxxxxxx xxxxxxx, xxx xxxxxx xxxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xx pohybuje x rozmezí a) xx 11 xx 100 xxxxxxx xxxx xx 101 xx 1 000 osob s xxxxxxxxx hospitalizací po xxxx xxxxx xxx 24 hodin xxxx x) xxxxxxxx nebo xxxxxxxxxx xxxxxx od 50&xxxx;000&xxxx;000 Xx do 500&xxxx;000&xxxx;000 Xx xxxxx x) představuje xxxxx xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx služeb xxxx xxxxxx xxxxxxxxx xxxxxx xx každodenního xxxxxx xxxxxxxxxxxxx xx 2&xxxx;501 xx 25 000 xxxx. |
|
Xxxxxxxx |
Xxxxx xx plošný xxxxxxxx, xxxxxx x xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xx xxxxxxxx x rozmezí a) 10 a xxxx xxxxxxx x 1 001 x xxxx xxxx x xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxxxxxx 500&xxxx;000&xxxx;000 Kč xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx nebo jiného xxxxxxxxx xxxxxx do xxxxxxxxxxxx života xxxxxxxxxxxxx xxxx xxx 25&xxxx;000 xxxx. |
|
Xxxxxxxx xxx hodnocení xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx xxxx xx málo xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxx xxxxxxxx xxx xxxxxx xx 5 xxx. |
|
Xxxxxxx |
Xxxxxx xx xxxx xxxxxxxxxxxxx xx pravděpodobná. Xxxxxxxxxxxxx xxxxxxxxx hrozby xx x xxxxxxx xx 1 roku xx 5 xxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxxxxx xx xxxxx pravděpodobná. Předpokládaná xxxxxxxxx xxxxxx je x xxxxxxx xx 1 xxxxxx do 1 xxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx pravděpodobná xx xxxxxxxx xxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx je xxxxxxxx xxx xxxxxx xx měsíc. |
|
Stupnice xxx xxxxxxxxx xxxxxxxxxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx xxxx xx xxxxxxxx xxxxxxxxxxxxx málo xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, které xxxx xxxxxxx včas xxxxxxxxx xxxxx xxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxx opatření. |
|
Střední |
Zranitelnost je xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx opatření, xxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx. Schopnost bezpečnostních xxxxxxxx včas xxxxxxxxx xxxxx xxxxxxx xxxx xxxxxxxx pokusy x xxxxxxxxx opatření je xxxxxxx. Nejsou známé xxxxx úspěšné xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx xx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx x není xxxxxxxxxx xxxxxxxxxxxx. Jsou xxxxx xxxxx úspěšné xxxxxx x překonání xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx xx xx víceméně xxxxx xxxxxxxx. Xxxxxxxxxxxx opatření xxxxxx realizována anebo xx jejich xxxxxxxx xxxxxx xxxxxxx. Xxxxxxxxx xxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx. Xxxx známé xxxxxxx pokusy xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx rizik |
|
|
Úroveň |
Popis |
|
Nízké |
Riziko je xxxxxxxxxx xx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx sníženo xxxx xxxxxxxxx opatřeními xxxx x xxxxxxx xxxxx xxxxxxxxxx opatření xx xxxxxx přijatelné. |
|
Vysoké |
Riziko xx xxxxxxxxxx nepřípustné x xxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxxxxxxxx x xxxx xxx xxxxxxxxxx xxxxxxxx xxxxx k xxxx xxxxxxxxxx. |
X xxxxxxx, xx xxxxx nebo xxxxx xxxxxxx x §3 xxxx. c) xx e) zákona xxxxxxx metodu xxx xxxxxxxxxxxx x hodnocení xxxxx, xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx, je xxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx x zranitelností xxxxxxx. Sloučení stupnic xx xxxxxx xxxx xx ztrátě xxxxxxxxxx xxxxxxxxx míry xxxxxx x xxxxxxxxxxxxx. Xx xxxxx xxxxxx xxx xxxxxx xxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxx xxxxxx xxxxxx, xxx x xxxxxx xxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx x xxxxx nebo xxxxx uvedená v §3 xxxx. x) xx e) zákona, xxxxx používá xxxx xxxxx úrovní xxx xxxxxxxxx xxxxxx, hrozeb, xxxxxxxxxxxxx x xxxxx.
Xxxxxxx č. 3 x vyhlášce x. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxx
x) Xxxxxxx x proudové šifry xxx xxxxxxx xxxxxxxxxx x integrity
1. Xxxxxxxx Xxxxxxxxxx Xxxxxxxx (XXX) x xxxxxxxx xxxxx xxxxx 128, 192 x 256 xxxx Xxxxxx Xxxx Xxxxxxxxxx Xxxxxxxx (3DES) x xxxxxxxx délky xxxxx 168 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX, xxxxxxxx přecházet xx XXX.
2. Xxxxxx Data Xxxxxxxxxx Standard (3XXX) x využitím xxxxx xxxxx 112 xxxx, xxxxxxx použití xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX, xxxxxxxx xxxxxxxxx xx AES. Xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx xxx každou xxxxxx.
3. Xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxx 128 xxxx, omezené xxxxxxx xxx se xxxxxxxxx xxxxx menším xxx 10 XX.
4. Xxxxxx x využitím xxxxx xxxxx 128 xxxx, omezené použití xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX.
5. Xxxxxxx x využitím xxxxx xxxxx 128 xx 256 bitů.
6. Serpent x xxxxxxxx délky xxxxx 128, 192, 256 xxxx.
7. Xxxxxxxx x využitím xxxxx xxxxx 128, 192 x 256 xxxx.
8. XXXX 2.0, XXXX 3X x xxxxxxxx xxxxx klíčů 128, 256 xxxx.
x) Xxxx xxxxxxxxx x ochranou xxxxxxxxx
1. XXX,
2. EAX,
3. XXX,
4. Xxxxxxx xxxxxxxx xxxx "Encrypt-then-MAC".
Poznámka:
Schémata xxxx "Xxxxxxx-xxxx-XXX",xxxx xxxxxxxx x xxxxxxxxx pouze uvedené xxxxxxxxx módy x x xxxxxxx MAC xxxxx xxxxxxx xxxx xxx xxxxxxx xxxxxxxxx.
x) Xxxx xxxxxxxxx
1. XXX,
2. XXX,
3. XXX,
4. CFB,
Poznámka:
Módy XXX x XXX xxxx xxx xxxxxxx x xxxxxxxx, xxx xxxxxxxx nepředpověditelným xxxxxxxxxxxxxx xxxxxxxx, při použití xxxx XXX xx xxx xxxx klíč xxxxx xxxxxxxx hodnota xxxxxxxxxxxxxxx vektoru, xxx xxxxxxx xxxx XXX xx xxx daný xxxx nesmí xxxxxxxx xxxxxxx xxxxxx, x xxxxxxx použití CBC xxxx k šifrování xxx ochrany xxxxxxxxx xx třeba ověřit xxxxxxxx xxxxx xxxxx xx xxxxxxx XXX xxxx.
x) Xxxx xxx xxxxxxx integrity
1. XXXX,
2. XXX-XXX-X9.19, omezené xxxxxxx xxx se xxxxxxxxx xxxxxx xxx 109 XXX,
3. XXX-XXX-XXXX,
4. XXXX.
(2) Xxxxxxxxxxx algoritmy
a) Xxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx
1. Xxxxxxx Xxxxxxxxx Xxxxxxxxx (XXX) s xxxxxxxx xxxxx xxxxx 2048 xxxx x xxxx, xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx 224 xxxx x xxxx.
2. Xxxxxxxx Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxxxxx (XX-XXX) s xxxxxxxx délky xxxxx 224 xxxx x xxxx.
3. Rivest-Shamir-Adleman Xxxxxxxxxxxx Xxxxxxxxx Scheme (XXX-XXX) x xxxxxxxx délky xxxxx 2048 bitů x xxxx.
x) Xxx xxxxxxx xxxxx xx xxxxx x šifrování xxxxx
1. Xxxxxx-Xxxxxxx (XX) x xxxxxxxx délky xxxxx 2048 xxxx x xxxx, délky xxxxxxxxx xxxxxxx podgrupy 224 bitů x xxxx.
2. Xxxxxxxx Curve Xxxxxx-Xxxxxxx (XXXX) s xxxxxxxx xxxxx xxxxx 224 xxxx x xxxx.
3. Xxxxxxxx Curve Xxxxxxxxxx Encryption Xxxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXXXX-XXX) x xxxxxxxx xxxxx xxxxx 256 xxxx x xxxx.
4. Provably Xxxxxx Xxxxxxxx Xxxxx - Xxx Xxxxxxxxxxxxx Mechanism (XXXX-XXX) x xxxxxxxx xxxxx xxxxx 256 xxxx xxxx.
5. Asymetrie Xxxxxxx xxx Xxx Xxxxxxxxxxxxx Xxxxxxxxx (ACE-KEM) x xxxxxxxx délky xxxxx 256 bitů x více.
6. Rivest Xxxxxx Adleman - Xxxxxxx Asymetrie Xxxxxxxxxx Xxxxxxx (XXX-XXXX) x xxxxxxxx xxxxx klíčů 2048 x xxxx.
7. Xxxxxx Shamir Adleman - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (RSA-KEM) s xxxxxxxx délky xxxxx 2048 a více.
(3) Xxxxxxxxx xxxx funkcí
a) XXX-2
1. SHA-224,
2. SHA-256,
3. XXX-384,
4. XXX-512,
5. XXX-512/224,
6. XXX-512/256.
x) SHA-3
1. XXX3-224,
2. XXX3-256,
3. XXX3-384,
4. XXX3-512,
5. XXXXX-128,
6. XXXXX-256.
x) Xxxxxxx xxxxxxxx xxxxxx
1. Xxxxxxxx,
2. XXXXXX-160,
3. XXX 1 x omezeným xxxxxxxx.
Xxxxxxxx x. 1:
SHA-1 xx xxxxx xxxxxxxx xxx xxxxxxxxxx nových xxxxxxxxxxx xxxxxxx, xxxxxxxx xxxxxxx, xxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx XXX-1.
Xxxxxxxx x. 2:
XXX-1 lze xxxxxxxx xxxxx xxx xxxxxxxxx xxx existujících xxxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxx, xxxxxxxxxx x xxxxxxxxx XXXX-XXX1, xxxxxx pro odvozování xxxxx x xxxxxxxxxxxxx xxxxxxxxxx.
Xxxxxxx č. 4 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
Xxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx. Navrhované struktury xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx, xxxxx xxxxxxxxxx xxxxxxxxx xxxxx této xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx struktury xxxxxxxxx xxxxxx xxxxxxx x xx na xxxxxx xxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx, xxxx přístup x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx. Přípustná xx i xxxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxx xxxx xxxxx xx xxxxxxx xxxxxxxxx.
X. Xxxxxxxxx xxxxxxxxxxxx xxxxxxxx
(1) Xxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx*
[§5 xxxx. 1 písm. x), §5 xxxx. 2 písm. x)]
x) Xxxx, principy a xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Rozsah a xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxx xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxx xxxxxxxx x xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxxxxxxxxx xxxx x xxxxxx xxxx a povinností,
1. xxxxx a xxxxxxxxxx xxxxxxxx kybernetické xxxxxxxxxxx,
2. xxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
3. xxxxx a xxxxxxxxxx xxxxxxxx kybernetické bezpečnosti,
4. xxxxx a xxxxxxxxxx xxxxxxx xxxxx,
5. xxxxx x xxxxxxxxxx výboru xxx xxxxxx kybernetické xxxxxxxxxxx.
x) Požadavky na xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx rolí.
(3) Xxxxxxxx xxxxxx dodavatelů**
[§5 xxxx. 1 písm. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx a principy xxx xxxxx xxxxxxxxxx.
x) Xxxxxxxx xxx hodnocení xxxxx dodavatelů.
c) Xxxxxxxxxxx xxxxxxx x úrovni xxxxxx x xxxxxxx x úrovní realizace xxxxxxxxxxxxxx opatření x x určení xxxxxxxx xxxxxxx odpovědnosti.
d) Pravidla xxx provádění kontroly xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx pro hodnocení xxxxxxxxxx.
(4) Politika xxxxxxxxxxx xxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Identifikace, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. určení x xxxxxxxx xxxxxxxxxxxx primárních xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. hodnocení xxxxxxxxxxx primárních aktiv x xxxxxxxx důvěrnosti, xxxxxxxxx x dostupnosti.
b) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxx xxxxx xxxx primárními x xxxxxxxxxx aktivy.
c) Pravidla xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx úrovní xxxxx,
2. xxxxxxxx xxx manipulaci x xxxxxxxx xxxxx xxxxx úrovní aktiv,
3. xxxxxxxxx způsoby xxxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx xxx.
(5) Xxxxxxxx bezpečnosti xxxxxxxx xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Pravidla xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx jeho xxxxxxxxx
1. xxxxxxx a xxxxx xxxxxxx uživatelů,
2. xxxxxxx x xxxxx xxxxxxx xxxxxxx xxxxx,
3. xxxxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx,
4. způsoby a xxxxx poučení xxxxxxx xxxx zastávajících xxxxxxxxxxxx xxxx.
x) Xxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Pravidla xxx xxxxxx případů xxxxxxxx bezpečnostní xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx pracovního xxxxxx xxxx xxxxx xxxxxxxx xxxxxx.
1. vrácení xxxxxxxxx xxxxx a odebrání xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxx,
2. xxxxx xxxxxxxxxxxx oprávnění xxx xxxxx xxxxxxxx xxxxxx.
(6) Xxxxxxxx xxxxxx xxxxxxx x komunikací**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. f)]
a) Xxxxxxxxx x odpovědnosti xxxxxxx x xxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxx.
x) Řízení xxxxxxxxxxx xxxxxxxxxxxxx.
x) Pravidla x xxxxxxx pro xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx.
(7) Politika xxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxx minimálních xxxxxxxxx/xxxxxxx znát (xxxx xx know).
b) Xxxxxxxxx xx řízení přístupu.
c) Xxxxxxx xxxxxx xxxxxx xxxxxxxx.
x) Xxxxxx privilegovaných xxxxxxxxx.
x) Řízení xxxxxxxx xxx xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx přezkoumání xxxxxxxxxxxx xxxxxxxxx včetně rozdělení xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx.
(8) Xxxxxxxx xxxxxxxxxx chování xxxxxxxxx*
[§5 xxxx. 1 písm. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxx xxx bezpečné xxxxxxxxx x xxxxxx.
x) Xxxxxxxx použití xxxxxxxxxxxx xxxxx.
x) Bezpečné xxxxxxx xxxxxxxxxxxx xxxxx x xxxxxxxx xx xxxxxxxx.
x) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx chování xx xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx xx vztahu x xxxxxxxx xxxxxxxxx.
(9) Politika xxxxxxxxxx a xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. i)]
a) Xxxxxxxxx xx xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx x postupy xxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx uložení xxxxx.
x) Xxxxxxxx a xxxxxxx obnovy.
e) Pravidla x xxxxxxx testování xxxxxxxxxx a xxxxxx.
(10) Xxxxxxxx bezpečného xxxxxxxxx x výměny xxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla x xxxxxxx pro xxxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx kryptografické xxxxxxx.
(11) Xxxxxxxx řízení technických xxxxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx xxx xxxxxxx instalace xxxxxxxxxxxx vybavení,
b) Pravidla x xxxxxxx xxxxxxxxxxx xxxxxxxxx programových xxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx programového xxxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
(12) Xxxxxxxx xxxxxxxxxx xxxxxxxxx mobilních xxxxxxxx*
[§5 xxxx. 1 xxxx. 1)]
x) Pravidla x xxxxxxx pro xxxxxxxx xxxxxxxxx mobilních xxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxxxxx, kterými xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx nedisponuje.
(13) Xxxxxxxx poskytování a xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx a informací*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx a xxxxxxx xxxxxxxx programového xxxxxxxx x xxxx evidence.
b) Xxxxxxxx x xxxxxxx xxx xxxxxxxx dodržování xxxxxxxxxx xxxxxxxx.
(14) Politika xxxxxxxxxxxx xxxxxxxx a xxxxxxxxx xxxxxxxxx*
[§5 odst. x xxxx. x)]
x) Xxxxxxxx a xxxxxxx xxxxxxxxx dokumentů x xxxxxxx.
x) Ochrana archivovaných xxxxxxxxx x xxxxxxx.
x) Xxxxxxxx xxxxxxxx k xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxx.
(15) Politika ochrany xxxxxxxx xxxxx*
[§5 xxxx. x xxxx. o), §5 xxxx. 2 xxxx. x)]
x) Charakteristika xxxxxxxxxxxxxx xxxxxxxx údajů.
b) Xxxxx xxxxxxxxx x xxxxxxxxxxx organizačních opatření xxx xxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx x provedených xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
(16) Xxxxxxxx xxxxxxx xxxxxxxxxxx**
[§5 xxxx. x xxxx. x)]
x) Xxxxxxxx xxx ochranu xxxxxxx.
x) Pravidla pro xxxxxxxx xxxxxx osob.
c) Xxxxxxxx xxx xxxxxxx xxxxxxxx.
x) Xxxxxxx narušení xxxxxxx bezpečnosti.
(17) Politika xxxxxxxxxxx xxxxxxxxxxx sítě**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxx.
x) Určení xxxx x xxxxxxxxxx xx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx řízení xxxxxxxx v xxxxx xxxx.
x) Xxxxxxxx a xxxxxxx pro xxxxxxx xxxxxxxxxx přístupu x xxxx.
x) Xxxxxxxx x xxxxxxx xxx monitorování xxxx a xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.
(18) Xxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx*
[§5 xxxx. l xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxxxxxx xxxx xxxxxxx x vnější xxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxx x sdílených datových xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxx.
(19) Xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. n)]
a) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Provozní xxxxxxx xxx vyhodnocování a xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
(20) Xxxxxxxx využití x xxxxxx xxxxxxxx xxx xxxx a vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí**
[§5 xxxx. 1 písm. x)]
x) Pravidla x xxxxxxx xxx xxxxxxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx vlastností xxxxxxxx pro xxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí.
(21) Xxxxxxxx xxxxxxxxxx xxxxxxxxx kryptografické xxxxxxx**
[§5 odst. 1 xxxx. u), §5 xxxx. 2 písm. x)]
x) Úroveň ochrany x xxxxxxx xx xxx a sílu xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx
1. xxx xxxxxxx po xxxxxxxxxxxxx xxxxxx,
2. xxx xxxxxxx xx xxxxxxx xxxxxxxx nebo vyměnitelný xxxxxxxxx xxxxx xxx,
x) Xxxxxx správy xxxxx.
XX. Xxxxxxxxx xxxxx dokumentace
(1) Xxxxxx z xxxxxx xxxxxxxxxxxx xxxxxxxxxxx**
[§28 odst. 1 písm. b)]
a) Xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Předmět xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Kritéria xxxxxx xxxxxxxxxxxx bezpečnosti.
d) Xxxxxxxxxxxxxx xxxx xxxxxxxx x xxxx, xxxxx xx xxxxxx kybernetické xxxxxxxxxxx xxxxxxxxxx.
x) Xxxxx x xxxxx, xxx xxxx prováděny xxxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Zjištění z xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxx xxxxxx kybernetické xxxxxxxxxxx.
(2) Xxxxxx x xxxxxxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx**
[§28 odst. 1 xxxx. x)]
x) Xxxxxxxxxxx opatření x xxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) Xxxxxxxxxxxx xxxx x xxxxxxxxx, xxxxx mohou xxx xxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx vazba x výkonnosti řízení xxxxxxxxxxx informací
1. neshody x xxxxxxxx xxxxxxxx,
2. xxxxxxxx xxxxxxxxxxxx a xxxxxx,
3. xxxxxxxx xxxxxx,
4. xxxxxxxx xxxx xxxxxxxxxxx,
x) Xxxxxxxx xxxxxxxxx xxxxx x stav xxxxx xxxxxxxx rizik.
e) Xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxx.
x) Doporučení xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx xxxxxxxx x xxxx xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
(3) Xxxxxxxx xxx xxxxxxxxxxxx x hodnocení aktiv x xxx identifikaci x xxxxxxxxx rizik*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx aktiv
1. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxxxxxxx xxxxx,
2. určení xxxxxxxx xxx xxxxxxxxx úrovní xxxxxxxxx xxxxx,
3. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx
1. určení xxxxxxxx xxx hodnocení xxxxxx xxxxxx,
2. xxxxxx xxxxxxxx xxx hodnocení xxxxxx hrozby,
3. určení xxxxxxxx pro xxxxxxxxx xxxxxx zranitelnosti,
4. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxx,
x) Xxxxxx x přístupy xxx xxxxxxxx rizik.
b) Xxxxxxx xxxxxxxxxxx přijatelných xxxxx.
(4) Xxxxxx o xxxxxxxxx xxxxx a xxxxx**
[§28 xxxx. 1 písm. x), §28 odst. 2 xxxx. c)]
a) Xxxxxxx xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx a xxxxx xxxxxxxxxx aktiv,
2. xxxxxx xxxxxxx xxxxxxxxxx aktiv,
3. xxxxxxxxx xxxxxxxxxx aktiv x xxxxxxxx xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx aktiv (xxxxxxx xxx xxxxxx x osoby xxxxxxx x §3 písm. x) zákona)
1. identifikace x popis podpůrných xxxxx,
2. určení xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx,
x) Xxxxxxxxxxxxxx a xxxxxxxxx xxxxx
1. xxxxxxxxx xxxxxxx xxxxxx na xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx existujících xxxxxxxxxxxxx, xxxxxxxxx existujících xxxxxxxx,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx této úrovně x kritérii xxx xxxxxxxxxxxx xxxxx,
5. xxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxx
1. xxxxx způsobu xxxxxxxx xxxxx,
2. xxxxx xxxxxxxx x xxxxxx xxxxxxxxx.
(5) Xxxxxxxxxx x xxxxxxxxxxxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. x)]
x) Xxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx xxxxxx xxxxxxxxxx xxxxxx xxxxxx x xxxxxx xxxxx xx xxxxxxxxxxxxxx xxxxxx.
x) Přehled xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(6) Xxxx xxxxxxxx rizik**
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. e)]
a) Xxxxx a xxxx xxxxxxxxx bezpečnostních opatření xxx zvládání xxxxx.
x) Xxxxxxxx xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxx zajišťující jednotlivá xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
d) Xxxxxxx xxxxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx xxx zvládání xxxxx.
x) Způsoby xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx opatření pro xxxxxxxx rizik.
(7) Plán xxxxxxx xxxxxxxxxxxxxx xxxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. f)]
a) Xxxxx x xxxxxxx xxxxxxx xxxxxxxxx.
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxx aktiv (xxxxxxx xxx orgány a xxxxx xxxxxxx v §3 písm. x) xxxxxx).
x) Xxxxx a xxxxxxx poučení xxxxxxxxxxxxxx (xxxxxxx pro xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx).
x) Obsah x termíny xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxx x xxxxxxx xxxxxxx xxxxxx zaměstnanců.
f) Xxxxx x xxxxxxx xxxxxxxxx xxxxx.
(8) Zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx**
[§28 odst. 1 xxxx. x), §28 xxxx. 2 xxxx. g)]
a) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla a xxxxxxx pro xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx kybernetických bezpečnostních xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx x pro xxxxxxxxxx xxxxxxxxxxxx bezpečnosti.
(9) Strategie xxxxxx xxxxxxxxxx xxxxxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxx xxxxxx xxxxxxxxxx činností
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx,
2. xxxx xxxxxxxx xxxxx,
3. xxx xxxxxxxx xxxxx.
x) Xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxx kontinuity.
d) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxx rizik.
e) Xxxxxx a xxxxx xxxxxxxxxx plánů xxxxxxxxxx.
x) Xxxxxxx pro realizaci xxxxxxxx xxxxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx.
(10) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx předpisů x xxxxxxxxx xxxxxxx*
[§28 xxxx. 1 písm. x), §28 odst. 2 písm. i)]
a) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxx a xxxxxx předpisů.
c) Xxxxxxx xxxxxxxxx xxxxxxx.
Xxxxxxxx:
* Xxxxxxxxx xxxxxxxxx dokumentu je xx úrovni xxxxxxx xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx x úroveň xxxxx.
** Xxxxxxxxx důvěrnost xxxxxxxxx xx na úrovni xxxxxx xxxxx stupnice xxxxxxx v příloze č. 1: Xxxxxxxxx a xxxxxx xxxxx.
Xxxxxxx č. 5 x vyhlášce x. 316/2014 Xx.
Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
Vyplnitelný formulář ve formátu PDF
Příloha x. 6 x xxxxxxxx x. 316/2014 Sb.
Formulář xxxxxxxx x provedení xxxxxxxxxxx xxxxxxxx x jeho xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx č. 7 x vyhlášce x. 316/2014 Sb.
Formulář xxx xxxxxxx xxxxxxxxxxx xxxxx
Vyplnitelný formulář ve formátu PDF
Informace
Právní xxxxxxx č. 316/2014 Xx. nabyl xxxxxxxxx dnem 1.1.2015.
Xx xxx uzávěrky právní xxxxxxx nebyl xxxxx xx xxxxxxxxx.
Xxxxxx předpis x. 316/2014 Sb. xxx zrušen právním xxxxxxxxx č. 82/2018 Sb. x xxxxxxxxx xx 28.5.2018.
Xxxxx xxxxxxxxxxxx právních norem xxxxxx xxxxxxxx xxxxxxxx x odkazech xxxx xxxxxxxxxxxxx, xxxxx xx xxxx xxxxxx derogační xxxxx shora xxxxxxxxx xxxxxxxx xxxxxxxx.
1) ISO/IEC 27001:2013, xxxxxxxx XXX XXX/XXX 27001:2014