Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
XXXXXXXX
xx xxx 15. xxxxxxxx 2014
o xxxxxxxxxxxxxx xxxxxxxxxx, kybernetických bezpečnostních xxxxxxxxxxx, reaktivních xxxxxxxxxx x x stanovení xxxxxxxxxxx podání x xxxxxxx kybernetické xxxxxxxxxxx (xxxxxxxx o kybernetické xxxxxxxxxxx)
Xxxxxxx bezpečnostní úřad xxxxxxx xxxxx §28 xxxx. 2 xxxxxx x. 181/2014 Sb., x xxxxxxxxxxxx bezpečnosti x o xxxxx xxxxxxxxxxxxx xxxxxx (zákon x xxxxxxxxxxxx xxxxxxxxxxx), (xxxx jen "xxxxx") x xxxxxxxxx §6 xxxx. x) až x), §8 xxxx. 4, §13 xxxx. 4 a §16 xxxx. 6 xxxxxx.
XXXX PRVNÍ
ÚVODNÍ XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxxx xxxxxxxxx se xxxxxxx xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxx informační xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxx xxxxxxxxxx xxxxxx, xxxxx bezpečnostních xxxxxxxx, xxxxxx jejich xxxxxxxx, xxxx x xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních incidentů, xxxxxxxxxxx a způsob xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx oznámení x xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx x vzor xxxxxxxx xxxxxxxxxxx údajů x xxxx formu.
§2
Xxxxxxxx xxxxx
X xxxx xxxxxxxx se xxxxxx
x) xxxxxxxx řízení xxxxxxxxxxx xxxxxxxxx část systému xxxxxx xxxxxx a xxxxx xxxxxxx x §3 písm. c) xx x) xxxxxx xxxxxxxx xx xxxxxxxx x xxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx stanoví xxxxxx xxxxxxxx, zavádění, xxxxxx, xxxxxxxxxxxx, přezkoumání, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxx, kterou zpracovává xxxx xxxxxxxxx xxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx významný informační xxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxx x dodavatelé podílející xx na provozu, xxxxxxx, xxxxxx nebo xxxxxxxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury nebo xxxxxxxxxx informačního xxxxxxx,
x) xxxxxxxxxx xxxxxxx technické xxxxxxxx, komunikační xxxxxxxxxx x programové xxxxxxxx xxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx, xx xxxxxxx xxxx xxxx xxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxx, xx určitá xxxxxx xxxxxxx zranitelnosti xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx x způsobí xxxxxxxxx xxxxxx,
x) hodnocením xxxxx xxxxxx, při xxxx xx xxxxxxxx xxxxxxxxxx xxxxx x xxxxxx přijatelná úroveň,
h) xxxxxxx rizik xxxxxxx xxxxxxxxxx hodnocení xxxxx, xxxxx x xxxxxxxx xxxxxxxx xx xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx x xxxxxx x xxxxxxxxx x přezkoumání xxxxx,
x) hrozbou xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxx xxxx xxx xxxxxxxxx aktiva,
j) xxxxxxxxxxxxx xxxxx místo aktiva xxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx může být xxxxxxxx xxxxxx xxxx xxxx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxx riziko xxxxxxxxx xx uplatnění xxxxxxxxxxxxxx xxxxxxxx, jehož úroveň xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxxx rizik,
l) bezpečnostní xxxxxxxxx soubor zásad x pravidel, které xxxxxx xxxxxx zajištění xxxxxxx xxxxx xxxxxxx x osobou xxxxxxxx x §3 xxxx. x) xx x) xxxxxx,
x) xxxxxxxx aktiva xxxxxxx xxxxx xxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxx x §3 xxxx. c) až x) xxxxxx x xxxxxxxxx rozvoje, xxxxxxx x bezpečnosti aktiva,
n) xxxxxxxxxx xxxxxxx nebo xxxxxxxxx osoba xxxxx xxxxx xxxxxxx xxxx, xxxxx xxxxxxx primární xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxx xxxxx xxxxxxxx xxxxxxxx xxxxxx zajišťující xxxxxx, xxxxxx, xxxxxxx, údržbu x bezpečnost xxxxxxxxxxx xxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX OPATŘENÍ
§3
Systém xxxxxx xxxxxxxxxxx informací
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) a x) xxxxxx v xxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx
x) xxxxxxx s xxxxxxx na xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxx a hranice xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xx xxxxxx xxxx, kterých xxxxxxxxxxxxx xxxxx a technických xxxxx xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx,
x) xxxx xxxxxx xxxxx §4 xxxx. 1,
x) vytvoří a xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx obsahuje xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx xx xxxxxx x řízení xxxxxxxxxxx xxxxxxxxx a xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx hodnocení xxxxx xxxxxxx bezpečnostní xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §5 x xxxxxx příslušná xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx §5,
x) xxxxxxx xxxxxxxxx auditu kybernetické xxxxxxxxxxx podle §15, x xx nejméně xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx, xxxxx obsahuje xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací včetně xxxxxx xxxxxxxxx rizik, xxxxxxxxx výsledků provedených xxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, x to xxxxxxx xxxxxx xxxxx,
x) xxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, výsledků vyhodnocení xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x x xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx x
x) řídí xxxxxx x xxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx činnosti xxxxxxx se xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) zákona x rámci xxxxxxx xxxxxx bezpečnosti informací
a) xxxx xxxxxx xxxxx §4 odst. 2,
x) xxxxxxx a schválí xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, xxxxx xxxxxxxx hlavní xxxxxx, xxxx, bezpečnostní xxxxxxx, xxxxx x xxxxxxxxxx xx xxxxxx x xxxxxx bezpečnosti xxxxxxxxx x na základě xxxxxxxxxxxxxx potřeb a xxxxxxxx xxxxxxxxx rizik xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §5, x xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxx xxxxxxxxxxx xxxxxx o xxxxxxxxx xxxxx x xxxxx, xxxxxxxxxxxx xxxxxxxx, xxxxx zvládání rizik x xxxxx rozvoje xxxxxxxxxxxxxx povědomí, x xx xxxxxxx jednou xx xxx xxxx xxxx x xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx.
§4
Xxxxxx xxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx x rámci xxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx aktiv x xxx xxxxxxxxxxxx x hodnocení rizik xxxxxx xxxxxxxxx xxxxxxxx xxx přijatelnost xxxxx,
x) xxxxxxxxxxxx a xxxxxxx xxxxxxxxxx xxxxx, xxxxx xxxxx xx xxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx, xxxxx §8 x rozsahu přílohy č. 1 x této vyhlášce x xxxxxxx xxxxxxxxx xx xxxxxx o xxxxxxxxx aktiv a xxxxx,
x) identifikuje rizika, xxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxxxxx, xxxxxxx možné xxxxxx xx xxxxxx, hodnotí xxxx rizika xxxxxxxxx x xxxxxxx xxxxx přílohy č. 2 k této xxxxxxxx, určí x xxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxx zprávu x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxx xx základě xxxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxx rizik xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx x zavedených bezpečnostních xxxxxxxx,
x) xxxxxxxx x xxxxxx xxxx xxxxxxxx xxxxx, xxxxx xxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxx xxxxx zajišťující prosazování xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x xxxxxxxxxx zdroje, xxxxxx jejich zavedení x popis vazeb xxxx riziky x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxx bez xxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxx xxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx (xxxx xxx "Xxxx") x xxxxxxxxx xxxxx a v xxxxxxx, xx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxx x realizací xxxxxxxxxxx xxxx xxxxxxxxxx opatření xxxxxxxx xxxxxxxxx xxxxxxxx xxx přijatelnost xxxxx, xxxxxx plán xxxxxxxx xxxxx.
(2) Orgán x xxxxx uvedená v §3 xxxx. x) xxxxxx v xxxxx xxxxxx rizik
a) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x hodnocení xxxxx x xxx identifikaci x xxxxxxxxx xxxxx xxxxxx stanovení xxxxxxxx xxx xxxxxxxxxxxx rizik,
b) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx primárních aktiv, xxxxx patří do xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, podle §8 xxxxxxxxx x xxxxxxx přílohy č. 1 x xxxx xxxxxxxx x xxxxxxx xxxxxxxxx xx xxxxxx x hodnocení xxxxx a xxxxx,
x) xxxxxxxxxxxx xxxxxx, při xxxxxxx xxxxxxxx hrozby x zranitelnosti, xxxxxxx xxxxx xxxxxx xx xxxxxxxx aktiva, xxxxxxx xxxx rizika minimálně x rozsahu xxxxx přílohy č. 2 x xxxx xxxxxxxx x xxxxxxxx xxxxxx o xxxxxxxxx xxxxx a rizik,
d) xxxxxxxx na xxxxxxx xxxxxxxxxxxxxx xxxxxx a xxxxxxxx hodnocení xxxxx xxxxxxxxxx o xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx x zavedených xxxxxxxxxxxxxx xxxxxxxx,
x) zpracuje x xxxxxx xxxx xxxxxxxx rizik, xxxxx xxxxxxxx xxxx a xxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx, xxxxxx xxxxx zajišťující xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxxx jejich xxxxxxxx a popis xxxxx mezi identifikovanými xxxxxx a příslušnými xxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxxx xxxxxxx reaktivní x xxxxxxxx xxxxxxxx vydaná Xxxxxx v hodnocení xxxxx x x xxxxxxx, xx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxx zranitelnosti xxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx ochranného xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx xxx přijatelnost xxxxx, xxxxxx xxxx xxxxxxxx xxxxx.
(3) Xxxxxx xxxxx xxxx xxx xxxxxxxxx x jinými xxxxxxx, xxx jak xx xxxxxxxxx v xxxxxxxxxx 1 a 2, xxxxx xxxxx x xxxxx xxxxxxx v §3 písm. x) xx e) xxxxxx xxxxxxxxx, že používá xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxxxx xxxxxx xxxxxx rizik.
(4) Xxxxx x osoba uvedená x §3 písm. x) xx x) xxxxxx xxx xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxx xxxxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, provedení xxxxxxxxxxxxx činností, xxxxxxxx xxxxxxxxx ze xxxxxx xxxxxxxxx x administrátorů,
b) xxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx anebo programového xxxxxxxx,
x) zneužití xxxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx x xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx xxxx x xxxxxxxxxxx xxxx,
x) xxxxxxxx xxx (xxxxxxxxx xxxx, xxxxxxx, trojské xxxx),
x) xxxxxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx elektrické xxxxxxx,
x) xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxx údajů,
k) xxxxxx působící hrozby x
x) odcizení xxxx xxxxxxxxx xxxxxx.
(5) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx při xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx
x) nedostatečná xxxxxxx vnějšího perimetru,
b) xxxxxxxxxxxx bezpečnostní povědomí xxxxxxxxx x administrátorů,
c) xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx informačního xxxxxxx,
x) nevhodné xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx při xxxxxxxxxxxxxx x xxxxxxxx negativních xxxxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx,
x) xxxxxxxxxxxx monitorování činnosti xxxxxxxxx a xxxxxxxxxxxxxx x xxxxxxxxxxx odhalit xxxxxx xxxxxxxx xxxx xxxxxxx xxxxxxx chování x
x) nedostatečné xxxxxxxxx xxxxxxxxxxxxxx pravidel, xxxxxxxx xxxx xxxxxxxxxxxxx vymezení xxxx x xxxxxxxxxx xxxxxxxxx, administrátorů x xxxxxxxxxxxxxx rolí.
(6) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx při xxxxxxxxx xxxxx xxxx zvažuje xxxx xxxxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx ze xxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xx xxxxxx xxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx komunikací, xxxxxxx xxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxxxxx zaměstnanců x xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx kybernetický xxxx pomocí xxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxx a
g) xxxxxxxx xxxxxxxxxxxxx technických xxxxxx xxx.
(7) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx xxx hodnocení xxxxx xxxx zvažuje xxxx xxxxxxxxxxxxx
x) nedostatečná ochrana xxxxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) nevhodná bezpečnostní xxxxxxxxxxxx,
x) xxxxxxxxxxxx míra xxxxxxxxx xxxxxxxx a
d) xxxxxxxxxxx včasného xxxxxxxx xxxxxxxxx ze xxxxxx xxxxxxxxxxx.
§5
Xxxxxxxxxxxx xxxxxxxx
(1) Orgán x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxx bezpečnostní xxxxxxxx v xxxxxxxxx
x) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxx,
x) xxxxxx xxxxxx s xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxxx,
x) řízení přístupu,
h) xxxxxxxx xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x xxxxxx,
x) xxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxx,
x) řízení xxxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx mobilních xxxxxxxx,
x) xxxxxxxxxxx x nabývání xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx sítě,
r) xxxxxxx xxxx xxxxxxxxx xxxxx,
x) xxxxxxxx a xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) využití a xxxxxx xxxxxxxx xxx xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxxx kryptografické xxxxxxx.
(2) Orgán a xxxxx uvedená x §3 xxxx. e) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxxxx bezpečnost,
c) xxxxxx xxxxxxxxxx,
x) klasifikace xxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx provozu x komunikací,
g) xxxxxx xxxxxxxx,
x) bezpečné xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x xxxxxx,
x) xxxxxxxxxxx x xxxxxxxx xxxxxxx programového xxxxxxxx x xxxxxxxxx,
x) xxxxxxx xxxxxxxx údajů,
l) xxxxxxxxx kryptografické xxxxxxx,
x) xxxxxxx xxxx xxxxxxxxx xxxxx a
n) xxxxxxxx x používání nástroje xxx detekci kybernetických xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx pravidelně xxxxxxx xxxxxxxx bezpečnostní xxxxxxxx x xxxxxxxxxxx ji.
§6
Organizační bezpečnost
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) až e) xxxxxx zavede organizaci xxxxxx bezpečnosti informací, x xxxxx xxxxx xxxx xxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti x bezpečnostní xxxx x jejich xxxxx x xxxxxxxxxx související x informačním xxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxx informačním xxxxxxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx xxxxxxxxxxxx xxxx
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx a
d) xxxxxx aktiva xxxxx §2 písm. x).
(3) Xxxxx a xxxxx xxxxxxx v §3 xxxx. e) xxxx xxxxxxxxxxxx xxxx přiměřeně xxxxx odstavce 2.
(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx, xxxxxxxxx xx systém xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xx xxx xxxx xxxxxxx vyškolena a xxxxxxx xxxxxxxx způsobilost xxxxx x řízením xxxxxxxxxxx xxxxxxxxx xx xxxx nejméně xxx xxx.
(5) Architekt xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx xxxxxxxxxxx návrh x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xx pro xxxx činnost vyškolena x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xx xxxx xxxxxxx xxx xxx.
(6) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx je xxxxx provádějící audit xxxxxxxxxxxx xxxxxxxxxxx, která xx pro xxxx xxxxxxx vyškolena a xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx xxxxxx kybernetické bezpečnosti xx dobu xxxxxxx xxx xxx. Xxxxxxx xxxxxxxxxxxx bezpečnosti xxxxxxxx xxxxx xxxx xxxxxxxxx x xxxxx jeho xxxx je xxxxxxx xx výkonu xxxx xxxxxxxxx x xxxxxxxx 2 xxxx. x), x) xxxx x).
(7) Xxxxx pro xxxxxx xxxxxxxxxxxx bezpečnosti je xxxxxxxxxxxx xxxxxxx tvořená xxxxxxx, xxxxx xxxx xxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx, xxxxx xx xxxxxxxx xxxxxxxx xx xxxxxx a xxxxxxxxxx xxxxxxxx spojených x xxxxxxxxxxxxx bezpečností xxxxxx xxxxxxx.
(8) Orgán a xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx xxxxxxx odborné školení xxxx, xxxxx xxxxxxxxx xxxxxxxxxxxx xxxx v xxxxxxx s xxxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxx §9 xxxx. 1 písm. x).
§7
Xxxxxxxxx bezpečnostních xxxxxxxxx xxx dodavatele
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxx pravidla xxx xxxxxxxxxx, která xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, a xxxxxxxx je x xxxxxxxxxx xxxx xxxxxx xxxx, xxxxx se xxxxxxxx xx xxxxxxx, xxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx systému kritické xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xxxxxx xxxxxxxx dodavatelů xx rozvoji, xxxxxxx xxxx zajištění bezpečnosti xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxx xxxxxxx v §3 xxxx. c) xx x) zákona xxxxxxxx, xxxxx xxxxxxxx xx ustanovení x xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 písm. x) x x) xxxxxx u xxxxxxxxxx xxxxxxxxx v xxxxxxxx 1 xxxx
x) xxxx xxxxxxxxx xxxxxxx provádí xxxxxxxxx xxxxx xxxxx přílohy č. 2 x xxxx xxxxxxxx, která xxxx xxxxxxx s xxxxxxxxxxx xxxxxxxxx,
x) uzavírá xxxxxxx x úrovni xxxxxx, xxxxx xxxxxxx xxxxxxx x úrovně xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx za xxxxxxxx a xxxxxxxx xxxxxxxxxxxxxx opatření, x
x) xxxxxxx pravidelné xxxxxxxxx xxxxx a xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx u xxxxxxxxxxxxx xxxxxx x zjištěné xxxxxxxxxx odstraňuje nebo xx xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxx.
§8
Řízení xxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxx xxxxxx xxxxx
x) identifikuje x xxxxxxx xxxxxxxx xxxxxx,
x) xxxx xxxxxxx xxxxx, kteří jsou xxxxxxxxx za xxxxxxxx xxxxxx, x
x) hodnotí xxxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x xxxxxx je xx jednotlivých xxxxxx xxxxxxxxx x rozsahu xxxxx přílohy č. 1 x xxxx xxxxxxxx.
(2) Při xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx xx xxxxx xxxxxxxxx xxxxxxxx
x) xxxxxx x xxxxxxxxxx osobních xxxxx nebo xxxxxxxxxx xxxxxxxxx,
x) rozsah dotčených xxxxxxxx xxxxxxxxxx nebo xxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxxx řídících x kontrolních xxxxxxxx,
x) xxxxxxxxx veřejných, xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxx,
x) xxxxx finanční ztráty,
f) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx xxxxxx x xxxxx xxxxxxx v §3 písm. x) xx e) zákona,
g) xxxxxx spojené x xxxxxxxxx důvěrnosti, integrity x xxxxxxxxxxx a
h) xxxxxx na xxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx xxxxx xxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) a x) xxxxxx xxxx
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxx,
x) xxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xx xxxxxxxx xxxxxx, a
c) xxxx vazby xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxx a podpůrnými xxxxxx.
(4) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx e) zákona xxxx
x) xxxxxxx xxxxxxxx xxxxxxx, xxxxx xxx xxxxxxxxxxx xxxxxxxxxxxx úrovní xxxxx xxx, xx
1. xxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxx pravidla pro xxxxxxxxxx a xxxxxxxx x xxxxxx podle xxxxxx aktiv, xxxxxx xxxxxxxx xxx bezpečné xxxxxxxxxxxx xxxxxxx x xxxxxxx přenášení aktiv x
3. xxxxxxx přípustné xxxxxxx používání xxxxx,
x) xxxxxx pravidla xxxxxxx xxxxxxxxxxxx úrovni xxxxx x
x) určí xxxxxxx xxx spolehlivé xxxxxxx xxxx ničení xxxxxxxxxxx xxxxxx xxx s xxxxxxx xx xxxxxx xxxxx.
§9
Bezpečnost lidských xxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx v xxxxx xxxxxx xxxxxxxxxxx xxxxxxxx zdrojů
a) xxxxxxx xxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx, xxxxx obsahuje xxxxx, obsah x xxxxxx xxxxxxxxxx xxxxxxx x xxxx osoby xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx x xxxxx xxxxxxx,
x) x souladu x xxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x jejich xxxxxxxxxxxx x x xxxxxxxxxxxx politice xxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx bezpečnostní xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) zajistí xxxxxxx xxxxxxxxx xxxxx a xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxx ukončení xxxxxxxxx xxxxxx s xxxxxxxxx, xxxxxxxxxxxxxx xxxx osobami xxxxxxxxxxxxx xxxxxxxxxxxx role.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx vede x xxxxxxx podle xxxxxxxx 1 xxxxxxxx, xxxxx obsahují xxxxxxx xxxxxxx x seznam xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) x x) zákona xxxx
x) xxxxxxx xxxxxxxx xxx xxxxxx xxxx, xxxxx budou xxxxxxxx xxxxxxxxxxxx role, xxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx plánu xxxxxxx bezpečnostního povědomí, xxxxxxxxxxx xxxxxxx x xxxxxxx činností spojených x prohlubováním xxxxxxxxxxxxxx xxxxxxxx,
x) určí xxxxxxxx x postupy xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx bezpečnostních xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx bezpečnostní xxxx x
x) xxxxxxx xxxxx xxxxxxxxxxxx oprávnění xxx xxxxx postavení xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx bezpečnostní role.
§10
Řízení provozu x xxxxxxxxxx
(1) Orgán x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx x xxxxx xxxxxx xxxxxxx a xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx x §21 xx 23 xxxxxxxx xxxxxxxxxxxx bezpečnostní události, xxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxx a xx xxxxxxxx nedostatky reaguje x souladu s §13.
(2) Xxxxx x xxxxx xxxxxxx v §3 písm. x) xx x) zákona x xxxxx řízení xxxxxxx x xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému. Xx xxxxx účelem xxxxxxx provozní xxxxxxxx x xxxxxxx.
(3) Provozní xxxxxxxx x postupy xxxxxx x osoby xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxxx
x) xxxxx a povinnosti xxxx zastávajících xxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx x xxxxxxxxx,
x) postupy xxx xxxxxxxx a ukončení xxxxx systému, xxx xxxxxxx xxxx xxxxxxxx xxxxx xxxxxxx xx xxxxxxx x pro xxxxxxxx chybových stavů xxxx mimořádných jevů,
c) xxxxxxx pro xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxx ochranu xxxxxxxx k xxxxxxxx x xxxxxx xxxxxxxxxx,
x) xxxxxxx na xxxxxxxxx xxxxx, které xxxx xxxxxx jako podpora xxx xxxxxx neočekávaných xxxxxxxxxxx nebo xxxxxxxxxxx xxxxxx,
x) postupy xxxxxx x xxxxxxxxxxx provozních xxxx x
x) xxxxxxx xxx sledování, xxxxxxxxx x xxxxxx xxxxxxxx xxxxxxxx a xxxxxxxxxxx xxxxxx.
(4) Xxxxxx xxxxxxx xxxxxx x osoby xxxxxxx v §3 xxxx. c) xx x) xxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx provedených xxxxx.
(5) Xxxxxx xxxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx spočívá x
x) xxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx x produkčního xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx Úřadem xxx, xx xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx
1. xxxxxxx očekávané xxxxxx reaktivního opatření xx informační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x na xxxxxxxx xxxxxxxxxxxx opatření, xxxxxxxxx xxxxx xxxxxxxxx xxxxxx x bez xxxxxxxxxx xxxxxxx je xxxxxx Xxxxx a
2. xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxx, a určí xxxxxx xxxx xxxx xxxxxxxxx.
(6) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx x xxxxx xxxxxx xxxxxxxxxx
x) xxxxxxxxx xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx xxxx x xxxxxxxxxx xxxxxxxxxxxxx služeb xxxxx §17,
x) určí xxxxxxxx x postupy xxx xxxxxxx xxxxxxxxx, které xxxx přenášeny xxxxxxxxxxxxx xxxxxx,
x) provádí výměnu x xxxxxxxxx xxxxxxxxx xx základě pravidel xxxxxxxxxxx xxxxxxxx xxxxxxxx xx současného zajištění xxxxxxxxxxx xxxxxxxxx x xxxx xxxxxxxx xxxxxxxxxxx x
x) x xxxxxxx xx klasifikaci xxxxx xxxxxxx výměnu x xxxxxxxxx xxxxxxxxx xx xxxxxxx písemných xxxxx, xxxxxxx xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx.
§11
Řízení přístupu a xxxxxxxx chování xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xx xxxxxxx xxxxxxxxxx a xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxx x xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačnímu xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxx uživateli xxxxxxxxxxx xxxxxxxxxxxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxxx opatření, která xxxxxx k xxxxxxxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx pro xxxxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx §18 x 19, x xxxxx xxxxx ve xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx v xxxxx xxxxxx xxxxxxxx
x) přidělí xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxx přidělování xxxxxxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx x politikou xxxxxx xxxxxxxx,
x) provádí xxxxxxxxxx xxxxxxxxxxx nastavení xxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxx xxxxxxxxxxxx uživatelů v xxxxxxxxxxxx skupinách xxxx xxxxxx,
x) xxxxxxx nástroj xxx ověřování xxxxxxxx xxxxxxxxx podle §18 x nástroj xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §19 a
f) xxxxxx xxxxxxxxxxxx opatření xxxxxxxx pro bezpečné xxxxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxx orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxxxxxx.
§12
Akvizice, vývoj x xxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 písm. x) xx x) zákona xxxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxx, xxxxxxx x xxxxxxx x xxxxxx je xx xxxxxxxx xxxxxxxx, xxxxxx x údržby xxxxxxx.
(2) Xxxxx a osoba xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxx
x) xxxxxxxxxxxx, xxxxxxx x xxxx xxxxxx xxxxxxxxxxx x xxxxxxxx, vývojem x xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx; pro xxxxxxx xxxxxxxxx a xxxxxx xxxxx xx metodiky xxxxx §4 xxxx. 1 xxxx. a) xxxxxxx obdobně,
b) xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx xxxxxxxxxxx testovacích xxx x
x) provádí xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx před xxxxxx xxxxxxxxx xx xxxxxxx.
§13
Xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx při xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx
x) xxxxxx nezbytná xxxxxxxx, která xxxxxxx xxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx ze xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx zastávajících xxxxxxxxxxxx xxxx x o xxxxxxxxxx vede záznamy,
b) xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx §21 xx 23, provádí xxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx bezpečnostní incidenty,
c) xxxxxxx klasifikaci xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů, přijímá xxxxxxxx pro xxxxxxxxx x zmírnění dopadu xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §32 a xxxxxxx xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx x určí xxxxxxx kybernetického bezpečnostního xxxxxxxxx, vyhodnotí účinnost xxxxxx kybernetického bezpečnostního xxxxxxxxx x xx xxxxxxx vyhodnocení xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a
e) xxxxxxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
§14
Řízení kontinuity činností
(1) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx v xxxxx xxxxxx kontinuity xxxxxxxx stanoví
a) xxxxx x povinnosti xxxxxxx xxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxx xxxxxx xxxxxxxxxx činností xxxxxx xxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx, xxxxx xx přijatelná xxx xxxxxxx, xxxxxx a xxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
2. xxxx xxxxxxxx xxxxx, xxxxx xxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx poskytovaných služeb xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx systému, a
3. xxxx xxxxxxxx dat xxxx xxxxxxx, xx xxxxxxx xxxxx obnovena xxxx po kybernetickém xxxxxxxxxxxxx incidentu, a
c) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx, která obsahuje xxxxxxxx cílů podle xxxxxxx b).
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx dále
a) xxxxxxxxx x xxxxxxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x posoudí xxxxx xxxxxx xxxxxxxxxxx x ohrožením xxxxxxxxxx xxxxxxxx,
x) xxxxxxx, aktualizuje x xxxxxxxxxx xxxxxxx xxxxx kontinuity činností xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury,
c) realizuje xxxxxxxx pro xxxxxxx xxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury x komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxxxxxx bezpečnostnímu xxxxxxxxx x xxxxxxx xxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx podle §26 x
x) stanoví x xxxxxxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Úřadem xxxxx §13 x 14 xxxxxx, xx xxxxxxx xxxxxxxx
1. xxxxxxxx hodnocení xxxxx provedení xxxxxxxx,
2. xxxx dotčených bezpečnostních xxxxxxxx x
3. xxxxxxxxxxx xxxxxxxxxx negativních xxxxxx xx xxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§15
Kontrola x xxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx x xxxxx xxxxxxxx x xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx (xxxx xxx "xxxxx xxxxxxxxxxxx xxxxxxxxxxx")
x) xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxxx se x xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxx xxxxxxxx xxx xxxx prosazování x
x) xxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxx těchto xxxxxxx xxxxxxxx x xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx rizik.
(2) Xxxxx x osoba xxxxxxx x §3 písm. x) x x) xxxxxx xxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxxx xxxxx §6 xxxx. 6, xxxxx xxxxxxx správnost x xxxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx v §3 písm. x) x x) xxxxxx xxxx xxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx kontrolu xxxxxxxxxxxxx technických prostředků xxxxxx xxxxxxxxxxxxxxxx nástrojů x jejich xxxxxxx xxxxxxxxxxx x xxxxxxx xx zjištěné zranitelnosti.
XXXXX II
TECHNICKÁ XXXXXXXX
§16
Xxxxxxx xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx x xxxxx xxxxxxx xxxxxxxxxxx
x) přijme xxxxxxxx xxxxxxxx x zamezení xxxxxxxxxxxxx vstupu do xxxxxxxxxx xxxxxxx, xxx xxxx zpracovávány xxxxxxxxx x umístěna xxxxxxxxx xxxxxx informačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx nezbytná xxxxxxxx x zamezení xxxxxxxxx x xxxxxxx do xxxxxxxxxx prostor, xxx xxxx xxxxxxxx xxxxxxxxx x umístěna xxxxxxxxx xxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx systému, x
x) xxxxxxxxx poškození, xxxxxxx xxxx xxxxxxxx xxxxx nebo xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) pro xxxxxxxxx xxxxxxx xx xxxxxx xxxxxxx x
x) xxx zajištění ochrany x rámci xxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxx, ve xxxxxxx jsou xxxxxxxx xxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
(3) Prostředky xxxxxxx xxxxxxxxxxx xxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxx prostředky,
b) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx omezující xxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxx xxxxxxxx vstupu,
f) xxxxxxxx xxxxxxx,
x) xxxxxxxx xxx xxxxxxxxx ochrany xxxx xxxxxxxx dodávky xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxx.
§17
Nástroj xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxxx sítí
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) xx x) xxxxxx pro xxxxxxx integrity rozhraní xxxxxx komunikační xxxx, xxxxx xxxx xxx xxxxxxx xxxxxx xxxx xxxxx, x xxxxxxx xxxxxxxxxxx sítě, xxxxx xx xxx správou xxxxxx xxxx xxxxx, xxxxxx
x) xxxxxx xxxxxxxxxx xxxxxxxx mezi xxxxxx x vnitřní xxxx,
x) xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxxxxxx xxx xxxx xxxxxxxxxxx xxxx sítě xxxxxxxxxxx xx xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx x xxxxxx xxxx x x zamezení xxxxx xxxxxxxxxx xxxxxxx xxxx x vnější xxxx,
x) kryptografické prostředky (§25) xxx vzdálený xxxxxxx, xxxxxxxxx xxxxxx xxxx xxx xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxxxx pro xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx dat, xxxxx xxxxxxxxxxxx xxxxxxxxxx xx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxxx xxxxxxx nástroje xxx ochranu xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxx, xxxxx zajistí xxxx xxxxxxxxxx.
§18
Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxxxx nástroje xxx xxxxxxx xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významného xxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx xxxx xxxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačním systému xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxx informačním xxxxxxx.
(3) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxx xxxxxxx autentizaci xxxxx heslem, xxxxxxxxx
x) xxxxxxxxx xxxxx hesla xxx xxxxx,
x) xxxxxxxxx xxxxxxxxx hesla tak, xx heslo xxxx xxxxxxxxx xxxxxxx 3 x xxxxxxxxxxxxx xxxx xxxxxxxxx
1. nejméně jedno xxxxx písmeno,
2. nejméně xxxxx xxxx xxxxxxx,
3. xxxxxxx xxxxx číslici, xxxx
4. nejméně xxxxx xxxxxxxxx xxxx xxxxxxx xx xxxxxxxxx uvedených x bodech 1 xx 3,
x) maximální xxxx pro xxxxxxxx xxxxxx hesla xxxxxxxxxxxxx xxx xxx; xxxxx xxxxxxxxx není xxxxxxxxx xxx xxxxxxxxxx identifikátory xxxxxxxx.
(4) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxx
x) xxxxxxx nástroj xxx ověření xxxxxxxx, xxxxx
1. zamezí xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxx x xxxxxxxx xxxx xxxx hesla xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx období, xxxxx xxxx xxx xxxxxxx 24 hodin, x
2. xxxxxxx xxxxxxxx xxxxxxx xxxxxxxx po xxxxxx xxxx nečinnosti x
x) xxxxxxx nástroj xxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx. X případě, xx xxxxx xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxx patnáct xxxxx xxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx. x) x x).
(5) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxx být xxxxxxxx x jinými způsoby, xxx xxxx jsou xxxxxxxxx x xxxxxxxxxx 3 xx 5, xxxxx xxxxx a xxxxx uvedená v §3 xxxx. c) xx e) xxxxxx xxxxxxxxx, že xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxxxx xxxxxx xxxxxxxxx hesla.
§19
Xxxxxxx xxx xxxxxx xxxxxxxxxxxx oprávnění
(1) Orgán x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx používá xxxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx xxxxxx oprávnění
a) pro xxxxxxx k xxxxxxxxxxx xxxxxxxxx x datům x
x) xxx čtení xxx, pro xxxxx xxx x xxx xxxxx xxxxxxxxx.
(2) Xxxxx x osoba uvedená x §3 písm. x) a x) xxxxxx xxxx používá xxxxxxx pro xxxxxx xxxxxxxxxxxx oprávnění, který xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx v xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x výsledky xxxxxxxxx xxxxx.
§20
Nástroj xxx xxxxxxx xxxx xxxxxxxxx kódem
Orgán x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxx xxxxxx xxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxxx kódu xxxxxxx nástroj pro xxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému xxxx škodlivým xxxxx, xxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxx
x) xxxxxxxxxx xxxx xxxxxxx xxxx x xxxxxx xxxx,
x) xxxxxxx x xxxxxxxxx datových úložišť x
x) xxxxxxxxxx stanic,
přičemž xxxxxxx xxxxxxxxxxx a xxxxxxx aktualizaci xxxxxxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxx, jeho xxxxxxx x xxxxxxxx.
§21
Nástroj xxx xxxxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, jejich xxxxxxxxx x xxxxxxxxxxxxxx
(1) Xxxxx a osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxx pro xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému, xxxxx xxxxxxx
x) sběr xxxxxxxxx o xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx typ xxxxxxxx, xxxxx x xxx, xxxxxxxxxxxx xxxxxxxxxxx aktiva, xxxxx xxxxxxx xxxxxxxxxxx, xxxxxxxxxxxx původce x xxxxx činnosti a xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx x
x) xxxxxxx xxxxxxxxx xxxxxxxxx před xxxxxxxxxxxx xxxxxx xxxx xxxxxx.
(2) Orgán x xxxxx uvedená v §3 xxxx. x) xx e) zákona xxxx xxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx a významného xxxxxxxxxxxx systému zaznamenává
a) xxxxxxxxxx x xxxxxxxxx xxxxxxxxx a administrátorů,
b) xxxxxxxx xxxxxxxxx administrátory,
c) xxxxxxxx xxxxxxx ke xxxxx xxxxxxxxxxxx oprávnění,
d) xxxxxxxxxxx činností x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx a další xxxxxxxxx činnosti xxxxxxxxx,
x) xxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx a významného xxxxxxxxxxxx systému,
f) automatická xxxxxxx nebo xxxxxxx xxxxxxx xxxxxxxxxxx xxxxx,
x) xxxxxxxx x záznamům x činnostech, xxxxxx x xxxxxxxxxx xx xxxxxxx x xxxxxxxxxx x xxxxx nastavení xxxxxxxx pro xxxxxxxxxxxxx xxxxxxxx x
x) použití xxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxx xxxxxx změny xxxxx, které slouží x xxxxxxxxxx.
(3) Orgán x osoba xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx podle odstavce 2 xxxxxxxx xxxxxxx xx xxxx 3 xxxxxx.
(4) Xxxxx a xxxxx uvedená v §3 xxxx. c) xx x) xxxxxx xxxxxxxxx xxxxxxx xxxxxx xx 24 xxxxx xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxx xxxxxxxxx do xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
§22
Xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxxx xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxxxx xxxxxxx ze xxxxxxxxxxx xxxxxxxxxxxxxx potřeb x xxxxxxxx xxxxxxxxx xxxxx a xxxxx xxxxxxx xxxxxxx, xxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxx mezi vnitřní xxxxxxxxxxx sítí x xxxxxx xxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) a x) xxxxxx dále používá xxxxxxx pro detekci xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxxxx xxxxxxx ověření, xxxxxxxx x případně xxxxxxxxxxx komunikace
a) x xxxxx xxxxxxx xxxxxxxxxxx xxxx x
x) xxxxxxx xxxxxxxxx do xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§23
Nástroj xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxx nástroj xxx xxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx
x) integrovaný sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí z xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxx určené xxxxxxxxxxxx xxxx x xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxxx v xxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx komunikačním xxxxxxx xxxx x xxxxxxxxxx xxxxxxxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí s xxxxx identifikace xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxx.
(2) Xxxxx x osoba xxxxxxx x §3 písm. x) x x) xxxxxx xxxx xxxxxxx
x) xxxxxxxxxxx aktualizaci xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x včasné xxxxxxxx, xxx byly xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxx xxxxxxx xxxxxxxxx xxxxxxxx, x
x) xxxxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxxxx xxxxxxxxx xxx xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, pro optimální xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx.
§24
Aplikační bezpečnost
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxx jsou přístupné x xxxxxx sítě, x to xxxx xxxxxx uvedením xx xxxxxxx x xx xxxxx zásadní xxxxx xxxxxxxxxxxxxx mechanismů.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) a d) xxxxxx xxxx v xxxxx aplikační bezpečnosti xxxxxxx xxxxxxx ochranu
a) xxxxxxxx x xxxxxxxxx xxxxxxxxxx z xxxxxx xxxx xxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxx provedených xxxxxxxx, xxxxxxxxxxxx xxxx xxxxxxxxxxxxxxx xxxxxx x
x) xxxxxxxxx xxxx xxxxxx xxxxxxxxxxxx, xxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxxxxxx duplikováním xxxx xxxxxxxxxx.
§25
Kryptografické xxxxxxxxxx
(1) Xxxxx x osoba uvedená x §3 xxxx. x) xx e) xxxxxx
x) pro používání xxxxxxxxxxxxxx ochrany stanoví
1. xxxxxx ochrany x xxxxxxx xx xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx x
2. pravidla xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx xxx xxxxxxx xx xxxxxxxxxxxxx sítích xxxx xxx xxxxxxx na xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxx x
x) x xxxxxxx s bezpečnostními xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx používá xxxxxxxxxxxxxx xxxxxxxxxx, které xxxxxxx ochranu důvěrnosti x integrity předávaných xxxx ukládaných dat x xxxxxxxxx xxxxxxxxxxxx xxxxx za xxxxxxxxx xxxxxxxx.
(2) Xxxxx x xxxxx uvedená v §3 písm. x) x x) xxxxxx xxxx
x) xxxxxxx pro xxxxxxxxx xxxxxxxxxxxxxxxx prostředků xxxxxx xxxxxx klíčů, xxxxx xxxxxxx xxxxxxxxxx, xxxxxxxxxx, xxxxxxxx, archivaci, xxxxx, xxxxxx, xxxxxxxx x audit klíčů, x
x) xxxxxxx odolné xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxx; v xxxxxxx nesouladu x xxxxxxxxxxx požadavky xx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxx x příloze č. 3 x xxxx xxxxxxxx řídí xxxxxx spojená x xxxxx xxxxxxxxxx.
§26
Xxxxxxx pro xxxxxxxxxxx xxxxxx dostupnosti
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx x xxxxxxx x xxxxxxxxxxxxxx potřebami x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxx zajišťování xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxxxxx xxxxxxx xxx zajišťování xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxx
x) dostupnost informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxx xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx vůči kybernetickým xxxxxxxxxxxxx incidentům, xxxxx xx xxxxx xxxxxx xxxxxxxxxx, x
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx
1. využitím xxxxxxxxxx x návrhu xxxxxx a
2. zajištěním xxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxx xxxx.
§27
Bezpečnost xxxxxxxxxxxx a xxxxxxxx systémů
Orgán x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxx bezpečnost průmyslových x xxxxxxxx xxxxxxx, xxxxx jsou xxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx anebo xxxx xxxxxx xxxxxxxx, xxxxxxx xxxxxxxx, které zajistí
a) xxxxxxx xxxxxxxxx xxxxxxxx x xxxx x xxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxx x vzdáleného xxxxxxxx x síti xxxxxxxxxxxx x řídicích xxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx x řídicích xxxxxxx xxxx využitím známých xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx průmyslových x xxxxxxxx xxxxxxx po xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
HLAVA XXX
XXXXXXXXXXXX XXXXXXXXXXX
§28
Xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx xxxx x aktualizuje xxxxxxxxxxxx dokumentaci, xxxxx xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxx xxxxx §5 odst. 1,
x) zprávy x xxxxxx xxxxxxxxxxxx bezpečnosti xxxxx §3 odst. 1 xxxx. f),
c) xxxxxx x xxxxxxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx podle §3 xxxx. 1 písm. x),
x) metodiku xxx xxxxxxxxxxxx x hodnocení xxxxx a xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx,
x) xxxxxx o xxxxxxxxx xxxxx a xxxxx,
x) xxxxxxxxxx o xxxxxxxxxxxxxxxx,
x) xxxx zvládání xxxxx,
x) plán xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 odst. 1 xxxx. a),
i) xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xxxxx §13 xxxx. x),
x) xxxxxxxxx xxxxxx xxxxxxxxxx činností podle §14 xxxx. 1 xxxx. x) x
x) xxxxxxx xxxxxxxx předpisů, xxxxxxxxx předpisů x xxxxxx předpisů a xxxxxxxxx xxxxxxx podle §15 xxxx. 1 xxxx. a).
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxx x xxxxxxxxxxx bezpečnostní xxxxxxxxxxx, xxxxx obsahuje
a) xxxxxxxxxxxx xxxxxxxx podle §5 xxxx. 2,
b) xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx aktiv x pro xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxx §4 xxxx. 2 xxxx. x),
x) xxxxxx x xxxxxxxxx xxxxx a xxxxx xxxxx §4 odst. 2 xxxx. x) x x),
x) xxxxxxxxxx x aplikovatelnosti podle §4 odst. 2 xxxx. x),
x) plán xxxxxxxx rizik xxxxx §4 odst. 2 xxxx. x),
x) xxxx xxxxxxx xxxxxxxxxxxxxx povědomí xxxxx §9 xxxx. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle §13 xxxx. x),
x) strategii xxxxxx xxxxxxxxxx činností xxxxx §14 xxxx. 1 xxxx. x) x
x) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x jiných xxxxxxxx x smluvních xxxxxxx xxxxx §15 odst. 1 xxxx. a).
(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx tak, xxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxx xxxxx, čitelné, snadno xxxxxxxxxxxxxxxxx x aby xx xxxx xxxxxx xxxxxxxx. Xxxxxxxx xxxxxxxx x xxxxxxxxxxxx, xxxxxxx, xxxxxxx, vyhledání, době xxxxxxxxx x xxxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx.
(4) Doporučená xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxx x příloze č. 4 x této xxxxxxxx.
§29
Xxxxxxxxx xxxxxxxxxxx
Xxxxx a xxxxx uvedená x §3 písm. c) xx e) xxxxxx, xxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx kritické xxxxxxxxxx infrastruktury xxxx xxxxxxxx informační xxxxxx xx xxxxx zahrnut xx rozsahu systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx xxxxx1) akreditovaným xxxxxxxxxxxxx xxxxxxx, x xxxxx xxxx xxxxxxxxx obsahující
a) xxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx a xxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) popis xxxxxxx xxxxxx hodnocení xxxxx a xxxxxx x hodnocení xxxxx,
x) xxxxxxxxxx x xxxxxxxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací xxxxxxxxx xxxxxxxxx xxxxxxxxx technické xxxxx zabývající xx xxxxxxxxxxx xxxxxxxxx1),
x) záznam x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací xxxxxx xxxxxxxxxxxxx xxxxxx x výstupů xxxxxxxxxxx x
x) xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx včetně xxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxxxx normou,
splňuje xxxxxxxxx xx zavedení bezpečnostních xxxxxxxx podle xxxxxx x xxxx xxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX
§30
Xxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx příčiny xxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobený xxxxxxxxxxxxx xxxxxx nebo xxxxx událostí vedoucí x xxxxxxx do xxxxxxx nebo x xxxxxxx dostupnosti xxxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx xxxxxxxxx kódem,
c) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxx technických xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobený xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxx x projevem trvale xxxxxxxxxx xxxxxx x
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx způsobené xxxxxxxxxxxxx xxxxxx.
(2) Xxxxx xxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx rozděleny xx xxxxxxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx bezpečnostní incident xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, nebo
d) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx dopadů xxxxxxxxx x xxxxxxxxx x) až x).
§31
Xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Pro xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxx xxxxxxxx x negativních xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - velmi xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx kterém xx přímo a xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho řešení xxxxxxxx xxxxxxxxxx zásahy xxxxxxx x tím, xx musí xxx xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx šíření xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx vzniklých x potenciálních xxxx.
x) Xxxxxxxxx XX - xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx xxxxxx xx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x xxx, xx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx kybernetického xxxxxxxxx včetně xxxxxxxxxxxx xxxxxxxxx škod.
c) Kategorie X - xxxx xxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, xxx kterém xxxxxxx x xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho xxxxxx xxxxxxxx xxxxxx xxxxxxx x xxx, xx xxxx xxx vhodnými xxxxxxxxxx omezeno xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxxxxx xxxxxxxxx xxxx.
(2) Orgán x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx při xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx podle xxxxxxxx 1 xxxxxxxx
x) xxxxxxxxxx xxxxxxxxx aktiv xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxx významného xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxx xxxxxxxxxxx jinými xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x
x) xxxxxxxxxxxxx xxxxx a xxxxx dopady.
§32
Forma a náležitosti xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx
x) v xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxx
1. elektronického xxxxxxxxx xxxxxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx,
2. xxxxxx xx adresu xxxxxxxxxxxx pošty Xxxxx xxxxxx pro xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx,
3. xxxxxx xxxxxx xx xxxxxx xxxxxxxx Xxxxx, xxxx
4. prostřednictvím xxxxxxxx xxxxxxxx rozhraní, xxxxx xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx, xxxxx
x) v xxxxxxxx xxxxxx xx xxxxxx Národního centra xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxx xx internetových stránkách Xxxxx.
(2) Xxxxxxx x xxxxxxxx xxxxxx xx xxxxxx xxxxx x xxxxxxxxx, kdy nelze xxxxxx žádný xx xxxxxxx xxxxxxxxx x xxxxxxxx 1 xxxx. x).
(3) Xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxx xxxxxxx x příloze č. 5 x xxxx xxxxxxxx.
ČÁST XXXXXX
XXXXXXXXX XXXXXXXX X XXXXXXXXX ÚDAJE
§33
Reaktivní xxxxxxxx
Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) až x) xxxxxx xxxxxx xxxxxxxxx reaktivního opatření x xxxx výsledek xx xxxxxxxxx, xxxxx xxxx xx uveden x příloze č. 6 k xxxx xxxxxxxx.
§34
Xxxxxxxxx xxxxx
Xxxxx a xxxxx xxxxxxx x §3 xxxxxx xxxxxxxx xxxxxxxxx xxxxx na xxxxxxxxx, xxxxx vzor xx xxxxxx x příloze č. 7 x xxxx xxxxxxxx. Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxxxx kontaktní xxxxx xxxxxx xxxxxxxx v §32 odst. 1 xxxx. x).
ČÁST XXXX
XXXXXXXX
§35
Xxxx xxxxxxxx xxxxxx účinnosti xxxx 1. ledna 2015.
Ředitel:
Ing. Xxxxxxxx v. x.
Xxxxxxx x. 1 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx x xxxxxx důležitosti xxxxx
Xxx xxxxxxxxx důležitosti xxxxx xxxx xxxxxxx xxxxxxxx x čtyřech úrovních. Xxxxx xxxx osoba xxxxxxx v §3 xxxx. x) xx x) xxxxxx může xxxxxxxx odlišný počet xxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxx xxxx xx uveden x xxxx příloze, xxxxxx-xx xxxxxxxxxxx vazby xxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxxx důležitosti xxxxx a xxxxxxxxxx x xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx aktiv, xxxxx xxxx xxxxxxx x této xxxxxxx.
X xxxxxxx použití tří xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xx přípustné xxxxxxx buď xxxxxx xxxxx x střední, xxxx úrovně xxxxxx x xxxxxxxx.
Xxxxxxxx pro xxxxxxxxx důvěrnosti
|
Úroveň |
Popis |
Ochrana |
|
Nízká |
Aktiva xxxx xxxxxxx xxxxxxxxx xxxx xxxx xxxxxx xx xxxxxxxxxx (např. xx xxxxxxx xxxxxx č. 106/1999 Sb., x xxxxxxxxx xxxxxxxx x xxxxxxxxxx, xx xxxxx xxxxxxxxxx předpisů). Xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx zájmy xxxxxx a osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxx xxxx-xxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx, ochrana xxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxx předpisem xxxx xxxxxxxx ujednáním. |
Pro xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx pro řízení xxxxxxxx. |
|
Xxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxxx xxxxxxx je xxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx (xxxx. xxxxxxxx xxxxxxxxx xxxxx zákona č. 89/2012 Sb., xxxxxxxx xxxxxxx, xxxxxx údaje xxxxx xxxxxx č. 101/2000 Sb., x xxxxxxx xxxxxxxx xxxxx, xx xxxxx xxxxxxxxxx xxxxxxxx). |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx xxxxxxxxx vnější xxxxxxxxxxx xxxx xxxx xxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx a vyžadují xxxxxxxxxxxxx xxxx xxxxxxx xxx rámec předchozí xxxxxxxxx (např. xxxxxxxxxxx xxxxxxxx tajemství, xxxxxxx xxxxxx xxxxx). |
Xxx ochranu xxxxxxxxxx xx xxxxxxxxxx xxxxxxxx xxxx, xxxxx x xxxxxxx xxxxxxxxxxx, x xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xx xxxxxx administrátorů. Xxxxxxx xxxxxxxxx jsou xxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxxxx xxxxxxxxxx oprávněné xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona. |
Není xxxxxxxxxx xxxxx ochrana. |
|
Střední |
Aktivum xxxx xxxxxxxxx xxxxxxx x xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx xxxxxx xxxx xxxx x xxxxxxxxx xxxxxxxxxxx zájmů xxxxxx x xxxxx uvedené x §3 xxxx. x) xx e) xxxxxx x xxxx xx xxxxxxxx méně závažnými xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx integrity xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx (xxxx. omezení xxxxxxxxxxxx xxxx pro xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx integrity. Xxxxxxxx integrity xxxxxx xxxx x poškození xxxxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx x podstatnými xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány speciální xxxxxxxxxx, které dovolují xxxxxxxx historii xxxxxxxxxxx xxxx a xxxxxxxxxx xxxxxxxx osoby xxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxx xx xxxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Narušení integrity xxxx k velmi xxxxxxx poškození xxxxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx x přímými x xxxxx xxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx provádějící xxxxx (xxxx. xxxxxx xxxxxxxxxxx digitálního podpisu). |
Stupnice xxx xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xxxx xxxxxxxx x v xxxxxxx xxxxxxx je xxxxx tolerováno xxxxx xxxxxx xxxxxx pro xxxxxxx (cca xx 1 týdne). |
Pro xxxxxxx xxxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx by xxxxxx xxxxxxxxx xxxx xxxxxxxxxx xxx, xxxxxxxxxxxxx xxxxxxx xxxx x možnému xxxxxxxx xxxxx orgánu x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx běžné xxxxxx xxxxxxxxxx x obnovy. |
|
Vysoká |
Narušení xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxx. Xxxxxxxx xxxxxxx xx xxxxx xxxxx xxxxxxxxxx, protože xxxx k xxxxxxx xxxxxxxx zájmů xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx. Xxxxxx jsou xxxxxxxxxx xxxx xxxxx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx může xxx xxxxxxxxx xxxxxx xxxxxxx xxxx výměnou technických xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xxxx přípustné x x xxxxxxxxxx xxxxxxxxxxxx (x xxxx xxxxxxxx xxxxx) xxxx x xxxxxxx xxxxxxxx zájmů orgánu x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx. Xxxxxx jsou xxxxxxxxxx jako xxxxxxxx. |
Xxx xxxxxxx dostupnosti xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx poskytování xxxxxx xx krátkodobá x xxxxxxxxxxxxxx. |
Xxxxxxx x. 2 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx xxxxx
Xxxxxxxxx xxxxx xx vyjádřeno xxxx xxxxxx, xxxxxx xxxxxxxxx dopad, hrozba x zranitelnost.
Pro xxxxxxxxx xxxxx xxx xxxxxx xxxxxxx xxxx xxxxxx
xxxxxx = dopad x xxxxxx x zranitelnost.
Jednoznačné xxxxxx funkce xxx xxxxxx xxxxxx je xxxxxxxxx xxxxxxxx xxxxxxxx xxx identifikaci a xxxxxxxxx xxxxxx
|
Xxxxxxxx xxx xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxx xx x xxxxxxxx časovém xxxxxx x malého xxxxxxx x nesmí xxx katastrofický. Rozsah případných xxxx xxxxxxxxxxx x) 10 xxxxxxxxx xxxx s xxxxxxxxx xxxxxxxxxxxxx po xxxx delší xxx 24 hodin nebo b) xxxxxxxx xxxx xxxxxxxxxx xxxxxx do 5&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx veřejnost x xxxxxxxxx omezením xxxxxxxxxx služeb xxxx xxxxxx závažného xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxxx 250 xxxx. |
|
Xxxxxxx |
Xxxxx je xxxxxxxxx xxxxxxx x v xxxxxxxx xxxxxxx období. Rozsah xxxxxxxxxx xxxx se xxxxxxxx x rozmezí a) xx 10 mrtvých xxxx od 11 xx 100 xxxx x xxxxxxxxx hospitalizací xx xxxx xxxxx xxx 24 xxxxx xxxx x) finanční xxxx xxxxxxxxxx xxxxxx xx 5&xxxx;000&xxxx;000 Xx xx 50&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx dopad xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx závažného xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx od 251 xx 2&xxxx;500 xxxx. |
|
Xxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx, xxx xxxxxx xxxx xxxxxxxxxxxxx. Xxxxxx případných xxxx xx xxxxxxxx x xxxxxxx x) od 11 do 100 xxxxxxx nebo xx 101 xx 1 000 xxxx x xxxxxxxxx xxxxxxxxxxxxx xx xxxx delší xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx od 50&xxxx;000&xxxx;000 Xx do 500&xxxx;000&xxxx;000 Xx anebo c) xxxxxxxxxxx xxxxx xx veřejnost x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx nebo xxxxxx závažného xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx od 2&xxxx;501 xx 25 000 xxxx. |
|
Xxxxxxxx |
Xxxxx xx xxxxxx xxxxxxxx, xxxxxx a katastrofický. Rozsah xxxxxxxxxx škod se xxxxxxxx x xxxxxxx x) 10 x více xxxxxxx x 1 001 x xxxx xxxx x xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx ztráty xxxxxxxxxxx 500&xxxx;000&xxxx;000 Kč xxxxx x) xxxxxxxxxxx dopad xx veřejnost x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx jiného xxxxxxxxx xxxxxx xx xxxxxxxxxxxx života xxxxxxxxxxxxx xxxx než 25&xxxx;000 xxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx xxxx xx málo xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxx xxxxxxxx než xxxxxx za 5 xxx. |
|
Xxxxxxx |
Xxxxxx xx xxxx xxxxxxxxxxxxx xx pravděpodobná. Xxxxxxxxxxxxx xxxxxxxxx hrozby xx v rozpětí xx 1 roku xx 5 xxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Předpokládaná xxxxxxxxx xxxxxx je x rozpětí xx 1 měsíce do 1 xxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. Xxxxxxxxxxxxx xxxxxxxxx hrozby xx xxxxxxxx xxx xxxxxx xx xxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx xxxx je xxxxxxxx xxxxxxxxxxxxx málo xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxx včas xxxxxxxxx xxxxx slabiny xxxx xxxxxxxx pokusy x xxxxxxxxx opatření. |
|
Střední |
Zranitelnost je xxxx xxxxxxxxxxxxx až xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxxxxx je xxxxxxxxxx xxxxxxxxxxxx. Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxx detekovat xxxxx xxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxx opatření xx xxxxxxx. Xxxxxx známé xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx xx pravděpodobná xx xxxxx pravděpodobná. Xxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx a xxxx xxxxxxxxxx kontrolována. Xxxx xxxxx xxxxx xxxxxxx xxxxxx x překonání xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx až xx xxxxxxxx jisté xxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx anebo xx xxxxxx xxxxxxxx xxxxxx xxxxxxx. Xxxxxxxxx xxxxxxxx účinnosti xxxxxxxxxxxxxx xxxxxxxx. Xxxx xxxxx xxxxxxx xxxxxx překonání xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx xx přijatelné. |
|
Střední |
Riziko xxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxx x xxxxxxx xxxxx náročnosti xxxxxxxx xx xxxxxx xxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxx xxxxxxxxxxx x musí být xxxxxxxx xxxxxxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx nepřípustné a xxxx být xxxxxxxxxx xxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
X xxxxxxx, xx orgán xxxx xxxxx xxxxxxx v §3 písm. x) xx e) xxxxxx xxxxxxx xxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx, která xxxxxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx, xx xxxxx xxxxxxxx xxx hodnocení xxxxxx a zranitelností xxxxxxx. Xxxxxxxx xxxxxxx xx xxxxxx xxxx xx ztrátě xxxxxxxxxx xxxxxxxxx xxxx xxxxxx x xxxxxxxxxxxxx. Za xxxxx xxxxxx xxx xxxxxx xxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxx xxxxxx xxxxxx, xxx x xxxxxx xxxxxxxxxxxxx. Xxxxxxx postupuje x xxxxx xxxx xxxxx xxxxxxx x §3 písm. c) xx e) zákona, xxxxx xxxxxxx xxxx xxxxx úrovní xxx xxxxxxxxx xxxxxx, xxxxxx, xxxxxxxxxxxxx a xxxxx.
Příloha č. 3 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxx
x) Xxxxxxx x proudové xxxxx xxx xxxxxxx důvěrnosti x xxxxxxxxx
1. Xxxxxxxx Xxxxxxxxxx Standard (XXX) x xxxxxxxx xxxxx xxxxx 128, 192 x 256 bitů Xxxxxx Xxxx Xxxxxxxxxx Xxxxxxxx (3DES) x xxxxxxxx délky klíčů 168 bitů, omezené xxxxxxx jen se xxxxxxxxx klíče xxxxxx xxx 10 XX, xxxxxxxx xxxxxxxxx xx XXX.
2. Triple Xxxx Xxxxxxxxxx Xxxxxxxx (3XXX) x využitím xxxxx xxxxx 112 xxxx, xxxxxxx xxxxxxx xxx xx zatížením xxxxx xxxxxx xxx 10 XX, xxxxxxxx přecházet xx XXX. Xxxxxxxxxx xxxxxxx xxxxxxxxxxx klíče xxx každou zprávu.
3. Xxxxxxxx s využitím xxxxxxxxx xxxxx klíčů 128 xxxx, xxxxxxx xxxxxxx xxx se xxxxxxxxx xxxxx menším xxx 10 XX.
4. Xxxxxx s xxxxxxxx xxxxx xxxxx 128 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx menším xxx 10 XX.
5. Twofish x využitím xxxxx xxxxx 128 xx 256 bitů.
6. Serpent x xxxxxxxx xxxxx xxxxx 128, 192, 256 xxxx.
7. Camellia x využitím xxxxx xxxxx 128, 192 x 256 xxxx.
8. XXXX 2.0, XXXX 3X x xxxxxxxx xxxxx xxxxx 128, 256 bitů.
b) Xxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx
1. XXX,
2. XXX,
3. XXX,
4. Xxxxxxx xxxxxxxx xxxx "Xxxxxxx-xxxx-XXX".
Xxxxxxxx:
Xxxxxxxx xxxx "Xxxxxxx-xxxx-XXX",xxxx používat k xxxxxxxxx xxxxx uvedené xxxxxxxxx xxxx x x xxxxxxx XXX xxxxx xxxxxxx xxxx xxx xxxxxxx xxxxxxxxx.
x) Xxxx šifrování
1. CTR,
2. XXX,
3. CBC,
4. XXX,
Xxxxxxxx:
Xxxx XXX x CFB xxxx být xxxxxxx x xxxxxxxx, pro xxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxxx xxxx XXX se xxx xxxx klíč xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxxx vektoru, při xxxxxxx xxxx CTR xx xxx xxxx xxxx nesmí xxxxxxxx xxxxxxx čítače, x xxxxxxx použití CBC xxxx x xxxxxxxxx xxx xxxxxxx xxxxxxxxx xx xxxxx xxxxxx xxxxxxxx proti útoku xx xxxxxxx XXX xxxx.
x) Xxxx xxx xxxxxxx xxxxxxxxx
1. XXXX,
2. XXX-XXX-X9.19, omezené xxxxxxx xxx xx xxxxxxxxx xxxxxx než 109 XXX,
3. XXX-XXX-XXXX,
4. XXXX.
(2) Xxxxxxxxxxx xxxxxxxxx
x) Pro xxxxxxxxxxx xxxxxxxxxxx xxxxxxx
1. Xxxxxxx Xxxxxxxxx Xxxxxxxxx (XXX) x xxxxxxxx xxxxx klíčů 2048 xxxx x xxxx, xxxxx parametru cyklické xxxxxxxx 224 xxxx x xxxx.
2. Elliptic Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxxxxx (XX-XXX) x xxxxxxxx xxxxx xxxxx 224 bitů a xxxx.
3. Xxxxxx-Xxxxxx-Xxxxxxx Xxxxxxxxxxxx Xxxxxxxxx Xxxxxx (XXX-XXX) x xxxxxxxx xxxxx xxxxx 2048 xxxx x xxxx.
x) Xxx xxxxxxx dohod na xxxxx x šifrování xxxxx
1. Diffie-Hellman (XX) x využitím xxxxx xxxxx 2048 xxxx x xxxx, délky xxxxxxxxx xxxxxxx xxxxxxxx 224 xxxx x xxxx.
2. Elliptic Xxxxx Xxxxxx-Xxxxxxx (ECDH) s xxxxxxxx xxxxx xxxxx 224 xxxx x xxxx.
3. Xxxxxxxx Xxxxx Xxxxxxxxxx Xxxxxxxxxx System - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXXXX-XXX) s xxxxxxxx xxxxx xxxxx 256 bitů x xxxx.
4. Xxxxxxxx Xxxxxx Xxxxxxxx Xxxxx - Xxx Encapculation Xxxxxxxxx (XXXX-XXX) x využitím xxxxx xxxxx 256 xxxx xxxx.
5. Xxxxxxxxx Xxxxxxx and Key Xxxxxxxxxxxxx Mechanism (XXX-XXX) x využitím xxxxx xxxxx 256 xxxx x xxxx.
6. Rivest Xxxxxx Xxxxxxx - Xxxxxxx Asymetrie Xxxxxxxxxx Xxxxxxx (XXX-XXXX) x xxxxxxxx xxxxx xxxxx 2048 x xxxx.
7. Xxxxxx Shamir Xxxxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (RSA-KEM) x xxxxxxxx xxxxx xxxxx 2048 x více.
(3) Xxxxxxxxx xxxx funkcí
a) XXX-2
1. XXX-224,
2. XXX-256,
3. XXX-384,
4. SHA-512,
5. XXX-512/224,
6. XXX-512/256.
x) XXX-3
1. XXX3-224,
2. XXX3-256,
3. XXX3-384,
4. XXX3-512,
5. XXXXX-128,
6. XXXXX-256.
x) Xxxxxxx xxxxxxxx xxxxxx
1. Xxxxxxxx,
2. XXXXXX-160,
3. XXX 1 x xxxxxxxx použitím.
Poznámka x. 1:
XXX-1 se xxxxx xxxxxxxx xxx xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx, časových xxxxxxx, xxxxxxxxx jiné xxxxxxxx xxxxxxxxxx nekolizní XXX-1.
Xxxxxxxx x. 2:
XXX-1 lze xxxxxxxx pouze pro xxxxxxxxx xxx existujících xxxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxx, generování x xxxxxxxxx XXXX-XXX1, xxxxxx pro xxxxxxxxxx xxxxx x xxxxxxxxxxxxx xxxxxxxxxx.
Příloha č. 4 x vyhlášce x. 316/2014 Xx.
Xxxxxxxxx bezpečnostní xxxxxxxxxxx
Xxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx. Navrhované xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx zahrnují xxxxxx, která xxxxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxx xxxxxxxxx, přičemž xxxxxxx xxxxxxxxx dokumentů xxxxxx xxxxxxx x xx xx orgánu xxxx osobě xxxxxxx x §3 xxxx. x) xx x) xxxxxx, xxxx xxxxxxx x tvorbě bezpečnostní xxxxxxxxxxx xxxxxxx. Xxxxxxxxx xx x xxxxx xxxxx jednotlivých xxxxxxxxx xxxx integrování xxxx xxxxx xx xxxxxxx xxxxxxxxx.
X. Xxxxxxxxx bezpečnostní xxxxxxxx
(1) Xxxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxx, principy a xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxx x xxxxxxx xxxxxxx řízení xxxxxxxxxxx informací.
c) Pravidla x postupy xxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxx xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.
e) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx auditů kybernetické xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro nápravná xxxxxxxx a xxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
(2) Politika organizační xxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Určení bezpečnostních xxxx x xxxxxx xxxx x xxxxxxxxxx,
1. xxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
2. xxxxx a xxxxxxxxxx xxxxxxxxxx kybernetické xxxxxxxxxxx,
3. xxxxx x povinnosti xxxxxxxx xxxxxxxxxxxx bezpečnosti,
4. xxxxx a povinnosti xxxxxxx aktiv,
5. xxxxx x povinnosti xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Požadavky xx xxxxxxxx výkonu činností xxxxxxxxxxxx bezpečnostních xxxx.
(3) Xxxxxxxx xxxxxx xxxxxxxxxx**
[§5 xxxx. 1 písm. x), §5 odst. 2 xxxx. c)]
a) Xxxxxxxx x principy xxx výběr xxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxx xxxxxxxxxx.
x) Náležitosti xxxxxxx x xxxxxx xxxxxx x xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření a x xxxxxx vzájemné xxxxxxx xxxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx.
(4) Xxxxxxxx klasifikace xxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx a xxxxxxxx jednotlivých xxxxxxxxxx xxxxx xxxxxx určení xxxxxx xxxxxxx,
2. xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx x hlediska xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx aktiv
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx podpůrných xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. určení xxxxx xxxx xxxxxxxxxx a xxxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx úrovní xxxxx,
2. xxxxxxxx pro manipulaci x xxxxxxxx xxxxx xxxxx xxxxxx xxxxx,
3. xxxxxxxxx xxxxxxx používání xxxxx.
x) Xxxxxxx xxxxxxxxxxxx xxxxxxx nebo ničení xxxxxxxxxxx xxxxxx xxx.
(5) Xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx**
[§5 xxxx. 1 xxxx. e), §5 xxxx. 2 xxxx. x)]
x) Pravidla rozvoje xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxx hodnocení
1. xxxxxxx a formy xxxxxxx uživatelů,
2. způsoby x xxxxx xxxxxxx xxxxxxx xxxxx,
3. xxxxxxx x xxxxx poučení xxxxxxxxxxxxxx,
4. způsoby x xxxxx poučení dalších xxxx xxxxxxxxxxxxx bezpečnostní xxxx.
x) Bezpečnostní xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx politiky xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla pro xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxx xxxxxxxx xxxxxx.
1. xxxxxxx xxxxxxxxx xxxxx x odebrání xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxx,
2. změna xxxxxxxxxxxx oprávnění xxx xxxxx xxxxxxxx pozice.
(6) Xxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxx**
[§5 odst. 1 xxxx. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxxx x xxxxxxxxxxxx spojené x bezpečným xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx provozu.
c) Xxxxxxxxx x standardy xxxxxxxxxx provozu.
d) Řízení xxxxxxxxxxx xxxxxxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx.
(7) Politika řízení xxxxxxxx**
[§5 xxxx. 1 xxxx. g), §5 xxxx. 2 písm. x)]
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (xxxx xx know).
b) Xxxxxxxxx xx xxxxxx přístupu.
c) Xxxxxxx xxxxxx xxxxxx xxxxxxxx.
x) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxxxxx xxx mimořádné xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx v xxxxxxxxxxxx xxxxxxxxx.
(8) Xxxxxxxx xxxxxxxxxx chování xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx xxx xxxxxxxx xxxxxxxxx s xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx použití xxxxxxxxxxxx xxxxx a xxxxxxxx xx xxxxxxxx.
x) Xxxxxxxx vzdálený xxxxxxx.
x) Xxxxxxxx xxxxxxx xx xxxxxxxxxx sítích.
f) Bezpečnost xx vztahu x xxxxxxxx xxxxxxxxx.
(9) Xxxxxxxx xxxxxxxxxx a xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxxx xx zálohování x xxxxxx.
x) Pravidla x postupy zálohování.
c) Xxxxxxxx bezpečného xxxxxxx xxxxx.
x) Xxxxxxxx x xxxxxxx obnovy.
e) Xxxxxxxx x postupy testování xxxxxxxxxx x obnovy.
(10) Xxxxxxxx xxxxxxxxxx xxxxxxxxx x výměny xxxxxxxxx**
[§5 xxxx. 1 písm. x)]
x) Xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxxxxxxx informací.
b) Xxxxxxx xxxxxxx elektronické xxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(11) Xxxxxxxx xxxxxx technických xxxxxxxxxxxxx**
[§5 xxxx. 1 xxxx. k)]
a) Pravidla xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx a xxxxxxx xxxxxxxx oprav xxxxxxxxxxxx xxxxxxxx.
(12) Xxxxxxxx xxxxxxxxxx xxxxxxxxx mobilních xxxxxxxx*
[§5 xxxx. 1 xxxx. 1)]
x) Xxxxxxxx x xxxxxxx pro xxxxxxxx používání xxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx zajištění xxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxx x xxxxx xxxxxxx v §3 xxxx. x) a x) xxxxxx xxxxxxxxxxx.
(13) Xxxxxxxx xxxxxxxxxxx a xxxxxxxx licencí xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 odst. 2 písm. x)]
x) Xxxxxxxx x xxxxxxx xxxxxxxx programového vybavení x xxxx xxxxxxxx.
x) Xxxxxxxx a postupy xxx kontrolu xxxxxxxxxx xxxxxxxxxx podmínek.
(14) Xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx*
[§5 odst. x xxxx. x)]
x) Xxxxxxxx x postupy xxxxxxxxx dokumentů x xxxxxxx.
x) Xxxxxxx xxxxxxxxxxxxx xxxxxxxxx a záznamů.
c) Xxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx.
(15) Politika xxxxxxx xxxxxxxx údajů*
[§5 xxxx. x písm. o), §5 odst. 2 xxxx. x)]
x) Charakteristika xxxxxxxxxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx organizačních opatření xxx xxxxxxx xxxxxxxx xxxxx.
x) Popis přijatých x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
(16) Xxxxxxxx xxxxxxx xxxxxxxxxxx**
[§5 xxxx. x xxxx. x)]
x) Xxxxxxxx xxx ochranu xxxxxxx.
x) Xxxxxxxx pro xxxxxxxx vstupu osob.
c) Xxxxxxxx xxx xxxxxxx xxxxxxxx.
x) Detekce narušení xxxxxxx xxxxxxxxxxx.
(17) Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx sítě**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla x xxxxxxx pro xxxxxxxxx xxxxxxxxxxx sítě.
b) Xxxxxx xxxx x povinností xx xxxxxxxx provoz xxxx.
x) Xxxxxxxx a xxxxxxx pro xxxxxx xxxxxxxx x rámci xxxx.
x) Xxxxxxxx x xxxxxxx pro ochranu xxxxxxxxxx xxxxxxxx k xxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxxxxx xxxx x vyhodnocování xxxxxxxxxx xxxxxxx.
(18) Xxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx*
[§5 xxxx. x xxxx. r), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxx vnitřní x xxxxxx sítí.
b) Xxxxxxxx x postupy xxx ochranu xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxxxxxx xxxxxx.
(19) Xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx**
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx postupy xxx vyhodnocování x xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx bezpečnostní události.
c) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx nastavení xxxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(20) Xxxxxxxx využití a xxxxxx xxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí.
b) Xxxxxxxx x postupy xxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxx sběr x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
(21) Xxxxxxxx xxxxxxxxxx xxxxxxxxx kryptografické xxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxx x xxxxxxx xx xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx ochrany xxxxxxxxx
1. xxx přenosu xx xxxxxxxxxxxxx xxxxxx,
2. při xxxxxxx na xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx nosič xxx,
x) Xxxxxx xxxxxx xxxxx.
XX. Xxxxxxxxx xxxxx xxxxxxxxxxx
(1) Xxxxxx x xxxxxx xxxxxxxxxxxx bezpečnosti**
[§28 xxxx. 1 xxxx. x)]
x) Xxxx auditu kybernetické xxxxxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx xxxx auditorů x osob, xxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx zúčastnily.
e) Xxxxx x místo, xxx xxxx xxxxxxxxx xxxxxxxx xxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxx xxxxxx kybernetické xxxxxxxxxxx.
(2) Xxxxxx z xxxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 xxxx. x)]
x) Xxxxxxxxxxx opatření z xxxxxxxxxxx xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx informací,
b) Xxxxxxxxxxxx změn x xxxxxxxxx, které xxxxx xxx xxxx xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Zpětná vazba x xxxxxxxxxx xxxxxx xxxxxxxxxxx informací
1. xxxxxxx x xxxxxxxx xxxxxxxx,
2. xxxxxxxx monitorování x xxxxxx,
3. xxxxxxxx auditu,
4. xxxxxxxx xxxx bezpečnosti,
d) Xxxxxxxx xxxxxxxxx rizik x xxxx plánu xxxxxxxx rizik.
e) Xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxx.
x) Doporučení xxxxxxxxxx xxxxxxxxxx, stanovení xxxxxxxx x osob xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
(3) Xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x pro xxxxxxxxxxxx x hodnocení xxxxx*
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. b)]
a) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx stupnice xxx xxxxxxxxx xxxxxx důvěrnosti xxxxx,
2. xxxxxx stupnice xxx hodnocení úrovní xxxxxxxxx xxxxx,
3. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx zranitelnosti,
4. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxx,
x) Xxxxxx x přístupy xxx xxxxxxxx xxxxx.
x) Způsoby xxxxxxxxxxx přijatelných xxxxx.
(4) Xxxxxx o xxxxxxxxx xxxxx x rizik**
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. c)]
a) Xxxxxxx primárních xxxxx
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx důvěrnosti, xxxxxxxxx a xxxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx aktiv (xxxxxxx pro orgány x osoby uvedené x §3 písm. x) xxxxxx)
1. identifikace x popis xxxxxxxxxx xxxxx,
2. určení garantů xxxxxxxxxx xxxxx,
3. xxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx,
x) Xxxxxxxxxxxxxx x xxxxxxxxx xxxxx
1. posouzení xxxxxxx xxxxxx xx xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx existujících xxxxxxxxxxxxx, xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx této xxxxxx x xxxxxxxx pro xxxxxxxxxxxx rizik,
5. xxxxxx x xxxxxxxxx přijatelných xxxxx.
x) Xxxxxxxx rizik
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. návrh opatření x xxxxxx xxxxxxxxx.
(5) Xxxxxxxxxx x xxxxxxxxxxxxxxxx*
[§28 xxxx. 1 písm. x), §28 odst. 2 xxxx. x)]
x) Xxxxxxx vybraných xxxxxxxxxxxxxx xxxxxxxx včetně xxxxxxxxxx xxxxxx xxxxxx x xxxxxx vazby xx xxxxxxxxxxxxxx rizika.
b) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(6) Xxxx xxxxxxxx xxxxx**
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx a xxxx xxxxxxxxx bezpečnostních xxxxxxxx xxx zvládání rizik.
b) Xxxxxxxx xxxxxx pro xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
c) Xxxxx xxxxxxxxxxx jednotlivá xxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx xxx zvládání xxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxxxx zavedení xxxxxxxxxxxx xxxxxxxxxxxxxx opatření pro xxxxxxxx xxxxx.
(7) Xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. x)]
x) Xxxxx a termíny xxxxxxx xxxxxxxxx.
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxx xxxxx (xxxxxxx xxx xxxxxx x xxxxx xxxxxxx v §3 písm. x) xxxxxx).
x) Obsah x xxxxxxx xxxxxxx xxxxxxxxxxxxxx (xxxxxxx xxx orgány x osoby xxxxxxx x §3 xxxx. x) xxxxxx).
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxx osob xxxxxxxxxxxxx xxxxxxxxxxxx role.
e) Xxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxx x způsoby xxxxxxxxx xxxxx.
(8) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů**
[§28 xxxx. 1 písm. x), §28 odst. 2 xxxx. x)]
x) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro evidenci x zvládání xxxxxxxxxxxx xxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx systému xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(9) Xxxxxxxxx xxxxxx kontinuity xxxxxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx x povinnosti xxxxxxxxxxxx xxxx.
x) Xxxx xxxxxx kontinuity xxxxxxxx
1. xxxxxxxxx úroveň poskytovaných xxxxxx,
2. xxxx obnovení xxxxx,
3. xxx xxxxxxxx xxxxx.
x) Strategie xxxxxx xxxxxxxxxx činností xxx xxxxxxxx xxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx a xxxxxxxxxx souvisejících rizik.
e) Xxxxxx x xxxxx xxxxxxxxxx plánů kontinuity.
f) Xxxxxxx xxx xxxxxxxxx xxxxxxxx vydaných Národním xxxxxxxxxxxxx xxxxxx.
(10) Přehled xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx, vnitřních xxxxxxxx x xxxxxx xxxxxxxx x smluvních xxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. i)]
a) Xxxxxxx obecně xxxxxxxxx xxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx předpisů x xxxxxx předpisů.
c) Xxxxxxx xxxxxxxxx xxxxxxx.
Xxxxxxxx:
* Xxxxxxxxx xxxxxxxxx dokumentu je xx úrovni xxxxxxx xxxxx stupnice xxxxxxx x příloze č. 1: Xxxxxxxxx x úroveň aktiv.
** Xxxxxxxxx důvěrnost dokumentu xx xx xxxxxx xxxxxx podle stupnice xxxxxxx v příloze č. 1: Xxxxxxxxx a úroveň xxxxx.
Xxxxxxx č. 5 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx x. 6 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxx oznámení x xxxxxxxxx reaktivního xxxxxxxx x xxxx xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Příloha x. 7 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxx pro xxxxxxx kontaktních xxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxxxx
Xxxxxx xxxxxxx č. 316/2014 Sb. nabyl xxxxxxxxx dnem 1.1.2015.
Xx xxx xxxxxxxx xxxxxx xxxxxxx nebyl xxxxx xx doplňován.
Právní xxxxxxx x. 316/2014 Sb. xxx xxxxxx právním xxxxxxxxx č. 82/2018 Sb. x xxxxxxxxx xx 28.5.2018.
Xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxxx, pokud xx xxxx netýká xxxxxxxxx xxxxx xxxxx xxxxxxxxx xxxxxxxx předpisu.
1) ISO/IEC 27001:2013, xxxxxxxx XXX XXX/XXX 27001:2014