Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
XXXXXXXX
xx xxx 15. xxxxxxxx 2014
x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x o xxxxxxxxx xxxxxxxxxxx podání x xxxxxxx xxxxxxxxxxxx bezpečnosti (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx bezpečnostní xxxx xxxxxxx xxxxx §28 xxxx. 2 zákona x. 181/2014 Xx., x xxxxxxxxxxxx xxxxxxxxxxx x x xxxxx xxxxxxxxxxxxx zákonů (zákon x xxxxxxxxxxxx xxxxxxxxxxx), (xxxx xxx "zákon") x xxxxxxxxx §6 xxxx. x) xx x), §8 xxxx. 4, §13 xxxx. 4 x §16 xxxx. 6 xxxxxx.
XXXX XXXXX
XXXXXX USTANOVENÍ
§1
Předmět xxxxxx
Xxxxx xxxxxxxxx xx xxxxxxx xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury nebo xxxxxxxx xxxxxxxxxx systém, xxxxx bezpečnostních opatření, xxxxxx xxxxxx zavedení, xxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů, xxxxxxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxx x provedení reaktivního xxxxxxxx x xxxx xxxxxxxx x xxxx xxxxxxxx kontaktních xxxxx x xxxx xxxxx.
§2
Xxxxxxxx xxxxx
X této xxxxxxxx xx xxxxxx
x) xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx část systému xxxxxx orgánu x xxxxx uvedené v §3 xxxx. c) xx x) xxxxxx xxxxxxxx xx xxxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx, xxxxx stanoví xxxxxx ustavení, zavádění, xxxxxx, monitorování, přezkoumání, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx aktivum a xxxxxxxx aktivum,
c) primárním xxxxxxx xxxxxxxxx xxxx xxxxxx, kterou zpracovává xxxx xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, zaměstnanci x xxxxxxxxxx podílející xx na xxxxxxx, xxxxxxx, xxxxxx xxxx xxxxxxxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, komunikačního xxxxxxx kritické informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému x xxxxxxx, xx xxxxxxx xxxx xxxx xxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxx, xx xxxxxx hrozba xxxxxxx zranitelnosti informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx x xxxxxxx xxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxx xxxxxx, při xxxx xx xxxxxxxx xxxxxxxxxx xxxxx x xxxxxx přijatelná úroveň,
h) xxxxxxx xxxxx xxxxxxx xxxxxxxxxx hodnocení rizik, xxxxx x xxxxxxxx xxxxxxxx ke zvládání xxxxx, xxxxxxx informací x xxxxxx a xxxxxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxx potencionální xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx nebo kybernetického xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxx xxxx xxx xxxxxxxxx aktiva,
j) xxxxxxxxxxxxx xxxxx xxxxx xxxxxx xxxx bezpečnostního xxxxxxxx, xxxxx může být xxxxxxxx xxxxxx xxxx xxxx hrozbami,
k) xxxxxxxxxxx xxxxxxx riziko xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx xxxxxxxx kritériím xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxx soubor xxxxx x xxxxxxxx, xxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxx xxxxxxx x xxxxxx xxxxxxxx x §3 xxxx. x) xx x) xxxxxx,
x) xxxxxxxx xxxxxx xxxxxxx xxxxx pověřená xxxxxxx xxxx xxxxxx xxxxxxxx x §3 xxxx. x) až x) zákona k xxxxxxxxx xxxxxxx, xxxxxxx x bezpečnosti xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxx xxxxx xxxxxxx xxxx, xxxxx xxxxxxx xxxxxxxx xxxxxx,
x) administrátorem xxxxxxx xxxxx pověřená xxxxxxxx xxxxxx xxxxxxxxxxx správu, xxxxxx, použití, údržbu x xxxxxxxxxx xxxxxxxxxxx xxxxxx.
ČÁST XXXXX
XXXXXXXXXXXX OPATŘENÍ
HLAVA X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx řízení xxxxxxxxxxx informací
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) a x) xxxxxx x rámci xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) stanoví x xxxxxxx xx xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxx x hranice xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xx kterém xxxx, kterých organizačních xxxxx a xxxxxxxxxxx xxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx,
x) xxxx xxxxxx xxxxx §4 xxxx. 1,
x) xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxx xxxxxx bezpečnosti informací, xxxxx obsahuje hlavní xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx a xxxxxxxxxx xx xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxx x xx xxxxxxx xxxxxxxxxxxxxx potřeb x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx bezpečnostní xxxxxxxx x dalších xxxxxxxxx podle §5 x xxxxxx příslušná xxxxxxxxxxxx xxxxxxxx,
x) monitoruje xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx a xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx §5,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §15, x to xxxxxxx xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx účinnosti xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxx řízení xxxxxxxxxxx informací xxxxxx xxxxxx xxxxxxxxx xxxxx, xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx x auditů xxxxxxxxxxxx bezpečnosti a xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx na systém xxxxxx xxxxxxxxxxx xxxxxxxxx, x xx xxxxxxx xxxxxx xxxxx,
x) xxxxxxxxxxx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxxxx auditů kybernetické xxxxxxxxxxx, výsledků vyhodnocení xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x x souvislosti s xxxxxxxxxxx nebo xxxxxxxxxxx xxxxxxx x
x) xxxx xxxxxx x xxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, zaznamenává činnosti xxxxxxx xx systémem xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx.
(2) Xxxxx x osoba xxxxxxx v §3 xxxx. x) xxxxxx x xxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací
a) xxxx xxxxxx podle §4 xxxx. 2,
b) xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, xxxxx xxxxxxxx hlavní xxxxxx, xxxx, xxxxxxxxxxxx potřeby, xxxxx x xxxxxxxxxx xx xxxxxx k xxxxxx xxxxxxxxxxx xxxxxxxxx x xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx hodnocení xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §5, x xxxxxx xxxxxxxxx bezpečnostní xxxxxxxx x
x) xxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxxx aktiv x xxxxx, xxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx rizik x xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx, x xx nejméně xxxxxx xx xxx roky xxxx x xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx.
§4
Xxxxxx xxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx v xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx identifikaci x hodnocení xxxxx xxxxxx stanovení xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx x hodnotí xxxxxxxxxx aktiv, která xxxxx xx rozsahu xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxx §8 x xxxxxxx přílohy č. 1 x této xxxxxxxx x výstupy xxxxxxxxx xx xxxxxx x xxxxxxxxx xxxxx a xxxxx,
x) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx zohlední xxxxxx x zranitelnosti, xxxxxxx xxxxx xxxxxx xx aktiva, xxxxxxx xxxx xxxxxx xxxxxxxxx x xxxxxxx podle přílohy č. 2 x této xxxxxxxx, xxxx x xxxxxxx přijatelná rizika x xxxxxxxx xxxxxx x xxxxxxxxx aktiv x xxxxx,
x) zpracuje xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx rizik prohlášení x aplikovatelnosti, které xxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) zpracuje x xxxxxx plán xxxxxxxx xxxxx, xxxxx obsahuje xxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx, určení xxxxx xxxxxxxxxxx prosazování xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, technické, lidské x informační xxxxxx, xxxxxx jejich xxxxxxxx x xxxxx vazeb xxxx xxxxxx x xxxxxxxxxxx bezpečnostními opatřeními x
x) xxxxxxxx bez xxxxxxxxxx odkladu xxxxxxxxx x xxxxxxxx opatření xxxxxx Xxxxxxxx bezpečnostním xxxxxx (dále jen "Xxxx") x xxxxxxxxx xxxxx a x xxxxxxx, že xxxxxxxxx xxxxx xxxxxxxxxxxxx o xxxx zranitelnosti xxxxxxx x realizací reaktivního xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx kritéria xxx xxxxxxxxxxxx xxxxx, xxxxxx plán xxxxxxxx xxxxx.
(2) Xxxxx a xxxxx uvedená x §3 písm. x) xxxxxx v xxxxx xxxxxx rizik
a) stanoví xxxxxxxx xxx identifikaci x hodnocení xxxxx x pro xxxxxxxxxxxx x hodnocení rizik xxxxxx stanovení kritérií xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx x hodnotí xxxxxxxxxx primárních aktiv, xxxxx xxxxx do xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, podle §8 minimálně v xxxxxxx přílohy č. 1 k xxxx vyhlášce x xxxxxxx xxxxxxxxx xx xxxxxx x hodnocení xxxxx x xxxxx,
x) xxxxxxxxxxxx rizika, při xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxxxxx, xxxxxxx xxxxx xxxxxx na xxxxxxxx xxxxxx, xxxxxxx xxxx xxxxxx xxxxxxxxx x xxxxxxx xxxxx přílohy č. 2 x této xxxxxxxx x xxxxxxxx xxxxxx o hodnocení xxxxx x xxxxx,
x) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx a xxxxxxxx hodnocení xxxxx xxxxxxxxxx x aplikovatelnosti, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) zpracuje x xxxxxx xxxx xxxxxxxx rizik, xxxxx xxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxxxx opatření xxx zvládání xxxxx, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik, xxxxxxxx xxxxxxxx, technické, xxxxxx a xxxxxxxxxx xxxxxx, xxxxxxx jejich xxxxxxxx a xxxxx xxxxx mezi identifikovanými xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx opatřeními a
f) xxxxxxxx xxx xxxxxxxxxx xxxxxxx xxxxxxxxx a xxxxxxxx opatření xxxxxx Xxxxxx x xxxxxxxxx xxxxx x x xxxxxxx, že xxxxxxxxx xxxxx aktualizované o xxxx zranitelnosti spojené x xxxxxxxxx reaktivního xxxx xxxxxxxxxx opatření xxxxxxxx xxxxxxxxx kritéria xxx xxxxxxxxxxxx xxxxx, xxxxxx xxxx xxxxxxxx xxxxx.
(3) Xxxxxx rizik xxxx být xxxxxxxxx x xxxxxx způsoby, xxx jak je xxxxxxxxx x xxxxxxxxxx 1 x 2, xxxxx orgán a xxxxx xxxxxxx x §3 písm. x) xx e) zákona xxxxxxxxx, že používá xxxxxxxx zajišťující stejnou xxxx xxxxx xxxxxx xxxxxx rizik.
(4) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx xxx hodnocení xxxxx zvažuje xxxxxxx xxxx xxxxxx
x) xxxxxxxx xxxxxxxxxxxx politiky, xxxxxxxxx xxxxxxxxxxxxx činností, xxxxxxxx xxxxxxxxx ze xxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx identity xxxxxxx xxxxx,
x) užívání xxxxxxxxxxxx vybavení x xxxxxxx s xxxxxxxxxx xxxxxxxxxx,
x) kybernetický xxxx x komunikační sítě,
f) xxxxxxxx xxx (xxxxxxxxx xxxx, xxxxxxx, xxxxxxx xxxx),
x) xxxxxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx poskytování xxxxxx elektronických xxxxxxxxxx xxxx xxxxxxx elektrické xxxxxxx,
x) xxxxxxxx nebo xxxxxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxx xxxxxxxx hrozby x
x) xxxxxxxx nebo xxxxxxxxx aktiva.
(5) Orgán x xxxxx uvedená x §3 písm. x) xx x) xxxxxx xxx xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxx zranitelnosti
a) nedostatečná xxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx povědomí xxxxxxxxx a xxxxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) nevhodné xxxxxxxxx xxxxxxxxxxxx oprávnění,
e) xxxxxxxxxxxx xxxxxxx xxx xxxxxxxxxxxxxx x odhalení negativních xxxxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxx xxxx xxxxxxx xxxxxxx xxxxxxx x
x) xxxxxxxxxxxx stanovení xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxx nejednoznačné xxxxxxxx xxxx x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx rolí.
(6) Orgán x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx při xxxxxxxxx xxxxx xxxx zvažuje xxxx hrozby
a) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, zneužití xxxxxxxxx ze xxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xx xxxxxx xxxxxxxxxxx,
x) zneužití xxxxxxxxx xxxxxxxxxx, xxxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxxxxxxxxx energie xxxx xxxxxx xxxxxxxxxx xxxxxx,
x) nedostatek xxxxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxxxxxxx xxxx xxxxxx sociálního xxxxxxxxxxx, xxxxxxx špionážních xxxxxxx a
g) xxxxxxxx xxxxxxxxxxxxx technických nosičů xxx.
(7) Xxxxx x xxxxx uvedená v §3 xxxx. x) x d) xxxxxx xxx hodnocení rizik xxxx xxxxxxx xxxx xxxxxxxxxxxxx
x) nedostatečná xxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) nevhodná xxxxxxxxxxxx xxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx x
x) xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx strany xxxxxxxxxxx.
§5
Xxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxxxxx bezpečnostní xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxx,
x) xxxxxx vztahů s xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxxx,
x) xxxxxx přístupu,
h) xxxxxxxx xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx a obnova,
j) xxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx,
x) bezpečné xxxxxxxxx xxxxxxxxx zařízení,
m) xxxxxxxxxxx a nabývání xxxxxxx xxxxxxxxxxxx vybavení x xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx,
x) xxxxxxx osobních xxxxx,
x) xxxxxxx bezpečnost,
q) xxxxxxxxxx komunikační sítě,
r) xxxxxxx před xxxxxxxxx xxxxx,
x) nasazení a xxxxxxxxx xxxxxxxx xxx xxxxxxx kybernetických bezpečnostních xxxxxxxx,
x) využití x xxxxxx nástroje pro xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xxxxxx xxxxxxx bezpečnostní xxxxxxxx v oblastech
a) xxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxx,
x) xxxxxx xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxx x komunikací,
g) xxxxxx xxxxxxxx,
x) xxxxxxxx chování xxxxxxxxx,
x) xxxxxxxxxx a xxxxxx,
x) xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx a informací,
k) xxxxxxx xxxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxx škodlivým xxxxx x
x) nasazení x používání xxxxxxxx xxx xxxxxxx kybernetických xxxxxxxxxxxxxx událostí.
(3) Orgán x xxxxx xxxxxxx x §3 xxxx. x) až e) xxxxxx pravidelně xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xx.
§6
Xxxxxxxxxxx bezpečnost
(1) Orgán x xxxxx xxxxxxx x §3 písm. x) až e) xxxxxx zavede organizaci xxxxxx bezpečnosti informací, x xxxxx xxxxx xxxx výbor xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x bezpečnostní xxxx x xxxxxx xxxxx x povinnosti xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx systémem xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x x) zákona xxxx xxxxxxxxxxxx xxxx
x) xxxxxxx xxxxxxxxxxxx bezpečnosti,
b) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxx xxxxxx xxxxx §2 xxxx. m).
(3) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) určí xxxxxxxxxxxx xxxx přiměřeně xxxxx xxxxxxxx 2.
(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx, xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xx xxx tuto xxxxxxx xxxxxxxxx x xxxxxxx odbornou xxxxxxxxxxx xxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxx xxxxxxx xxx xxx.
(5) Xxxxxxxxx kybernetické xxxxxxxxxxx xx xxxxx xxxxxxxxxxx návrh a xxxxxxxxxxxx bezpečnostních xxxxxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx praxí x xxxxxxxxxxx bezpečnostní architektury xx dobu xxxxxxx xxx xxx.
(6) Xxxxxxx xxxxxxxxxxxx bezpečnosti je xxxxx xxxxxxxxxxx audit xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x prováděním xxxxxx xxxxxxxxxxxx bezpečnosti xx xxxx nejméně xxx xxx. Auditor xxxxxxxxxxxx xxxxxxxxxxx vykonává xxxxx roli nestranně x xxxxx xxxx xxxx xx xxxxxxx xx výkonu xxxx xxxxxxxxx v odstavci 2 písm. x), x) xxxx x).
(7) Xxxxx xxx řízení xxxxxxxxxxxx bezpečnosti je xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx, xxxxx jsou xxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx, anebo xx xxxxxxxx podílejí xx xxxxxx x koordinaci xxxxxxxx spojených x xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx.
(8) Xxxxx a xxxxx xxxxxxx v §3 písm. x) xx x) zákona xxxxxxx xxxxxxx xxxxxxx xxxx, xxxxx zastávají xxxxxxxxxxxx xxxx v xxxxxxx s plánem xxxxxxx xxxxxxxxxxxxxx povědomí xxxxx §9 xxxx. 1 xxxx. x).
§7
Stanovení bezpečnostních požadavků xxx dodavatele
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxxxxx pravidla xxx dodavatele, která xxxxxxxxxx potřeby xxxxxx xxxxxxxxxxx xxxxxxxxx, a xxxxxxxx xx x xxxxxxxxxx nebo xxxxxx xxxx, které xx xxxxxxxx na xxxxxxx, xxxxxxx nebo xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx systému. Xxxxxx xxxxxxxx dodavatelů xx xxxxxxx, provozu xxxx xxxxxxxxx bezpečnosti xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx xxxxxxxx, jejíž součástí xx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx x xxxxxxxxxx xxxxxxxxx x odstavci 1 dále
a) před xxxxxxxxx xxxxxxx provádí xxxxxxxxx rizik podle přílohy č. 2 x této xxxxxxxx, která xxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) uzavírá xxxxxxx x xxxxxx xxxxxx, xxxxx stanoví způsoby x xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx a xxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx za xxxxxxxx a kontrolu xxxxxxxxxxxxxx opatření, a
c) xxxxxxx pravidelné hodnocení xxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxx nebo xx dohodě x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxx.
§8
Řízení xxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx v rámci xxxxxx xxxxx
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxx,
x) xxxx xxxxxxx xxxxx, xxxxx jsou xxxxxxxxx za xxxxxxxx xxxxxx, a
c) hodnotí xxxxxxxxxx primárních xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti x xxxxxx xx xx jednotlivých xxxxxx xxxxxxxxx x xxxxxxx xxxxx přílohy č. 1 x xxxx xxxxxxxx.
(2) Při xxxxxxxxx xxxxxxxxxxx primárních xxxxx xx xxxxx xxxxxxxxx xxxxxxxx
x) xxxxxx x xxxxxxxxxx osobních xxxxx xxxx xxxxxxxxxx xxxxxxxxx,
x) rozsah dotčených xxxxxxxx xxxxxxxxxx nebo xxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxxx řídících x kontrolních xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, obchodních xxxx xxxxxxxxxxxx zájmů,
e) xxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx xxxxxx a xxxxx uvedené v §3 xxxx. x) xx x) xxxxxx,
x) xxxxxx spojené x xxxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x
x) xxxxxx na zachování xxxxxxx jména xxxx xxxxxxx dobré xxxxxxx.
(3) Xxxxx a osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxx,
x) xxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx za xxxxxxxx xxxxxx, x
x) xxxx vazby xxxx xxxxxxxxxx a xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxx závislostí mezi xxxxxxxxxx x podpůrnými xxxxxx.
(4) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxx
x) stanoví pravidla xxxxxxx, xxxxx pro xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx xxx, xx
1. xxxx xxxxxxx rozlišování xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxx xxxxxxxx xxx xxxxxxxxxx a xxxxxxxx x xxxxxx podle xxxxxx xxxxx, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxxx xxxxx x
3. stanoví xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx,
x) xxxxxx xxxxxxxx ochrany xxxxxxxxxxxx xxxxxx xxxxx x
x) xxxx xxxxxxx xxx xxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx xxx x xxxxxxx xx xxxxxx xxxxx.
§9
Xxxxxxxxxx xxxxxxxx xxxxxx
(1) Xxxxx x osoba xxxxxxx v §3 xxxx. x) xx x) xxxxxx v xxxxx řízení xxxxxxxxxxx xxxxxxxx xxxxxx
x) xxxxxxx xxxx xxxxxxx bezpečnostního xxxxxxxx, xxxxx xxxxxxxx xxxxx, xxxxx x xxxxxx xxxxxxxxxx xxxxxxx x xxxx xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, které xxxx x xxxxx uvedeny,
b) x souladu s xxxxxx rozvoje bezpečnostního xxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx bezpečnostní xxxx x xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) xxxxxxx kontrolu xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx strany xxxxxxxxx, xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) xxxxxxx vrácení xxxxxxxxx xxxxx a xxxxxxxx přístupových xxxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxx x uživateli, xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxxxx bezpečnostní role.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxx x školení xxxxx xxxxxxxx 1 xxxxxxxx, xxxxx xxxxxxxx předmět xxxxxxx x seznam xxxx, které xxxxxxx xxxxxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx xxxx
x) stanoví pravidla xxx xxxxxx xxxx, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx xxxx, xxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx plánu xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxx a xxxxxxx činností spojených x prohlubováním xxxxxxxxxxxxxx xxxxxxxx,
x) xxxx xxxxxxxx x postupy xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx bezpečnostních pravidel xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní xxxx x
x) xxxxxxx změnu xxxxxxxxxxxx oprávnění xxx xxxxx xxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx bezpečnostní xxxx.
§10
Řízení xxxxxxx x xxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxx řízení xxxxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx x §21 xx 23 detekuje xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxx x xx xxxxxxxx nedostatky xxxxxxx x xxxxxxx x §13.
(2) Xxxxx x xxxxx uvedená v §3 písm. x) xx x) xxxxxx x rámci xxxxxx xxxxxxx a komunikací xxxx xxxxxxxxx xxxxxxxx xxxxxx informačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xx xxxxx xxxxxx xxxxxxx provozní xxxxxxxx x xxxxxxx.
(3) Xxxxxxxx xxxxxxxx x xxxxxxx xxxxxx a xxxxx xxxxxxx v §3 xxxx. x) a x) xxxxxx xxxxxxxx
x) xxxxx x xxxxxxxxxx xxxx xxxxxxxxxxxxx bezpečnostní xxxx, xxxxxxxxxxxxxx x xxxxxxxxx,
x) xxxxxxx xxx xxxxxxxx x ukončení xxxxx xxxxxxx, pro xxxxxxx xxxx obnovení xxxxx xxxxxxx xx xxxxxxx x pro xxxxxxxx chybových stavů xxxx xxxxxxxxxxx jevů,
c) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxx ochranu xxxxxxxx x záznamům x xxxxxx xxxxxxxxxx,
x) xxxxxxx xx xxxxxxxxx xxxxx, xxxxx xxxx xxxxxx xxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxx technických xxxxxx,
x) xxxxxxx řízení x xxxxxxxxxxx xxxxxxxxxx xxxx x
x) xxxxxxx xxx xxxxxxxxx, plánování x řízení xxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxx.
(4) Xxxxxx xxxxxxx xxxxxx a xxxxx xxxxxxx x §3 xxxx. c) až x) zákona spočívá x xxxxxxxxx pravidelného xxxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxx provedených záloh.
(5) Xxxxxx provozu xxxxxx x xxxxx uvedené x §3 písm. x) x d) xxxxxx xxxxxxx x
x) xxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) xxxxxx reaktivních xxxxxxxx xxxxxxxx Xxxxxx xxx, že xxxxx x xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx
1. xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xx xxxxxxxx xxxxxxxxxxxx opatření, vyhodnotí xxxxx negativní xxxxxx x xxx xxxxxxxxxx xxxxxxx xx oznámí Xxxxx a
2. xxxxxxx xxxxxx rychlého xxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxxxxxx xxxxx negativní xxxxxx, a xxxx xxxxxx xxxx jeho xxxxxxxxx.
(6) Orgán x xxxxx xxxxxxx x §3 písm. c) x x) zákona x rámci xxxxxx xxxxxxxxxx
x) zajišťuje xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx xxxx x bezpečnost xxxxxxxxxxxxx xxxxxx xxxxx §17,
x) xxxx xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxx x předávání xxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxxxxxxx právními xxxxxxxx xx xxxxxxxxxx zajištění xxxxxxxxxxx xxxxxxxxx a xxxx xxxxxxxx xxxxxxxxxxx x
x) x xxxxxxx xx xxxxxxxxxxx xxxxx xxxxxxx výměnu x xxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxx smluv, xxxxxxx xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx.
§11
Xxxxxx xxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx na xxxxxxx xxxxxxxxxx a xxxxxxxxxxxxxx xxxxxx řídí xxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačnímu xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx informačnímu xxxxxxx x xxxxxxx xxxxxxx xxxxxxxxx jednoznačný xxxxxxxxxxxxx.
(2) Xxxxx x xxxxx uvedená v §3 xxxx. c) xx x) xxxxxx xxxxxx opatření, která xxxxxx x xxxxxxxxx xxxxxxx xxxxx, které xxxx xxxxxxxxx xxx xxxxxxxxxx uživatelů a xxxxxxxxxxxxxx informačního xxxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx §18 x 19, x která xxxxx ve xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(3) Xxxxx x xxxxx uvedená x §3 písm. x) x d) xxxxxx xxxx v xxxxx xxxxxx xxxxxxxx
x) xxxxxxx xxxxxxxxxxxxx xxxxxxxxx samostatný xxxxxxxxxxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx x xxxxxxxxx řízení xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx nastavení xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx skupinách xxxx xxxxxx,
x) xxxxxxx xxxxxxx xxx xxxxxxxxx identity xxxxxxxxx xxxxx §18 x xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §19 x
x) xxxxxx xxxxxxxxxxxx opatření xxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxx s xxxxxxxx xxxxxxxxxxx zařízení, xxxxxxx xxxxx a xxxxx xxxxxxx x §3 písm. c) x x) zákona xxxxxxxxxxx.
§12
Akvizice, xxxxx a xxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona xxxxxxx xxxxxxxxxxxx požadavky xx xxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx xxxxxxx x xxxxxx akvizicí, vývojem x údržbou x xxxxxx xx do xxxxxxxx akvizice, vývoje x údržby xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxxxxxxx, xxxxxxx a xxxx xxxxxx xxxxxxxxxxx x xxxxxxxx, xxxxxxx x údržbou informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx; xxx postupy xxxxxxxxx x xxxxxx xxxxx xx xxxxxxxx xxxxx §4 odst. 1 písm. x) xxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx prostředí x zajistí ochranu xxxxxxxxxxx testovacích dat x
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx změn informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx před xxxxxx xxxxxxxxx do provozu.
§13
Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxx xxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx, která xxxxxxx xxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významného informačního xxxxxxx xx xxxxxx xxxxxxxxx, administrátorů a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx a x xxxxxxxxxx xxxx xxxxxxx,
x) xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí a xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí xxxxxxxxxxxx technickými nástroji xxxxx §21 až 23, xxxxxxx jejich xxxxxxxxxxx a identifikuje xxxxxxxxxxxx bezpečnostní incidenty,
c) xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxx xxx odvrácení x xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx hlášení kybernetického xxxxxxxxxxxxxx xxxxxxxxx xxxxx §32 x xxxxxxx xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx pro analýzu xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx x xxxx xxxxxxx kybernetického bezpečnostního xxxxxxxxx, vyhodnotí xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xx xxxxxxx xxxxxxxxxxx stanoví xxxxx bezpečnostní xxxxxxxx x xxxxxxxx opakování xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
§14
Xxxxxx xxxxxxxxxx činností
(1) Xxxxx a osoba xxxxxxx x §3 xxxx. x) xx x) zákona x xxxxx řízení kontinuity xxxxxxxx xxxxxxx
x) xxxxx x povinnosti xxxxxxx xxxxx, xxxxxxxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx xxxx,
x) xxxx řízení xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx úrovně xxxxxxxxxxxxx xxxxxx, xxxxx xx xxxxxxxxxx pro xxxxxxx, xxxxxx a xxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx systému,
2. xxxx xxxxxxxx chodu, xxxxx které xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx služeb xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému, a
3. xxxx xxxxxxxx xxx xxxx xxxxxxx, xx xxxxxxx xxxxx xxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx, a
c) xxxxxxxxx řízení xxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx cílů podle xxxxxxx b).
(2) Orgán x osoba uvedená x §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxxxx x xxxxxxxxxxx xxxxx xxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxx xxxxx rizika související x xxxxxxxxx xxxxxxxxxx xxxxxxxx,
x) stanoví, xxxxxxxxxxx x xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxx xxx zvýšení xxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxx xxxxxxx xxx zajišťování xxxxxx xxxxxxxxxxx xxxxx §26 x
x) stanoví x xxxxxxxxxxx postupy xxx xxxxxxxxx opatření xxxxxxxx Xxxxxx podle §13 a 14 xxxxxx, ve xxxxxxx xxxxxxxx
1. xxxxxxxx hodnocení xxxxx provedení opatření,
2. xxxx xxxxxxxxx bezpečnostních xxxxxxxx a
3. xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury.
§15
Xxxxxxxx a xxxxx xxxxxxxx informační infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx x xxxxx kontroly x xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx (xxxx xxx "xxxxx xxxxxxxxxxxx xxxxxxxxxxx")
x) posuzuje xxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxx, xxxxxxxxx předpisy, xxxxxx xxxxxxxx a xxxxxxxxx xxxxxxx vztahujícími xx x informačnímu xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému x určí opatření xxx xxxx xxxxxxxxxxx x
x) xxxxxxx x xxxxxxxxxxx pravidelné xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx politiky x výsledky xxxxxx xxxxxxx xxxxxxxx x xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx xxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxxxxxxx xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxxx xxxxx §6 xxxx. 6, která xxxxxxx správnost x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) zákona xxxx xxx xxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx provádí xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxx a xxxxxxx xx xxxxxxxx xxxxxxxxxxxxx.
XXXXX XX
XXXXXXXXX XXXXXXXX
§16
Xxxxxxx xxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx x xxxxx xxxxxxx xxxxxxxxxxx
x) přijme xxxxxxxx xxxxxxxx k xxxxxxxx xxxxxxxxxxxxx xxxxxx xx xxxxxxxxxx prostor, xxx xxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxx technická xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx nezbytná xxxxxxxx x zamezení poškození x xxxxxxx xx xxxxxxxxxx prostor, xxx xxxx uchovány informace x umístěna xxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx, x
x) xxxxxxxxx poškození, xxxxxxx xxxx xxxxxxxx xxxxx xxxx xxxxxxxxx xxxxxxxxxxx služeb xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxx xxxxxxxxx xxxxxxx xx xxxxxx xxxxxxx a
b) xxx xxxxxxxxx xxxxxxx x xxxxx objektů xxxxxxxxxx zvýšené xxxxxxxxxxx xxxxxxxxxx prostor, xx xxxxxxx jsou xxxxxxxx xxxxxxxxx xxxxxx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.
(3) Prostředky fyzické xxxxxxxxxxx xxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxx xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx,
x) prostředky omezující xxxxxxxx xxxxxx,
x) prostředky xxxxxxxxx působení xxxxxxx xxxxxxxxx událostí,
e) systémy xxx xxxxxxxx xxxxxx,
x) xxxxxxxx xxxxxxx,
x) zařízení xxx zajištění ochrany xxxx xxxxxxxx dodávky xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxx pro zajištění xxxxxxxxxxx provozních podmínek.
§17
Xxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxx xxxxxxx integrity xxxxxxxx xxxxxx xxxxxxxxxxx sítě, xxxxx xxxx xxx xxxxxxx xxxxxx xxxx xxxxx, a vnitřní xxxxxxxxxxx xxxx, xxxxx xx xxx xxxxxxx xxxxxx nebo xxxxx, xxxxxx
x) xxxxxx xxxxxxxxxx xxxxxxxx xxxx vnější x xxxxxxx sítí,
b) xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxxxxxx xxx jako xxxxxxxxxxx typu sítě xxxxxxxxxxx xx xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx x vnější xxxx x x zamezení xxxxx komunikace vnitřní xxxx s xxxxxx xxxx,
x) xxxxxxxxxxxxxx prostředky (§25) xxx xxxxxxxx xxxxxxx, vzdálenou správu xxxx pro xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x
x) opatření pro xxxxxxxxxx xxxx blokování xxxxxxxxxxx xxx, které xxxxxxxxxxxx xxxxxxxxxx na xxxxxxx xxxxxxxxx komunikační xxxx.
(2) Orgán a xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxx využívá nástroje xxx xxxxxxx integrity xxxxxxx xxxxxxxxxxx xxxx, xxxxx xxxxxxx xxxx xxxxxxxxxx.
§18
Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx xxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx x administrátorů xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významného xxxxxxxxxxxx xxxxxxx.
(2) Nástroj xxx xxxxxxxxx identity xxxxxxxxx x administrátorů xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxx zahájením xxxxxx xxxxxxx v informačním xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačním systému xxxxxxxx informační infrastruktury x významném xxxxxxxxxxx xxxxxxx.
(3) Nástroj pro xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxx xxxxxxx autentizaci xxxxx xxxxxx, xxxxxxxxx
x) xxxxxxxxx xxxxx hesla xxx znaků,
b) minimální xxxxxxxxx xxxxx xxx, xx heslo xxxx xxxxxxxxx xxxxxxx 3 x xxxxxxxxxxxxx xxxx xxxxxxxxx
1. nejméně xxxxx xxxxx písmeno,
2. xxxxxxx xxxxx xxxx xxxxxxx,
3. xxxxxxx xxxxx xxxxxxx, xxxx
4. xxxxxxx xxxxx xxxxxxxxx znak xxxxxxx xx xxxxxxxxx uvedených x bodech 1 xx 3,
c) maximální xxxx pro povinnou xxxxxx hesla nepřesahující xxx dnů; xxxxx xxxxxxxxx není vyžadován xxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(4) Xxxxx x xxxxx xxxxxxx x §3 písm. c) x d) zákona xxxx
x) používá nástroj xxx ověření xxxxxxxx, xxxxx
1. xxxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxx x neumožní xxxx změn xxxxx xxxxxxx uživatele xxxxx xxxxxxxxxxx xxxxxx, které xxxx xxx xxxxxxx 24 hodin, x
2. xxxxxxx opětovné xxxxxxx xxxxxxxx po xxxxxx xxxx nečinnosti a
b) xxxxxxx xxxxxxx xxx xxxxxxxxx identity xxxxxxxxxxxxxx. X xxxxxxx, xx xxxxx nástroj xxxxxxx xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxxxx minimální délky xxxxx xxxxxxx xxxxx xxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx. x) a x).
(5) Xxxxxxx xxx xxxxxxxxx identity xxxxxxxxx xxxx xxx xxxxxxxx x xxxxxx xxxxxxx, xxx xxxx jsou xxxxxxxxx x odstavcích 3 až 5, xxxxx orgán x xxxxx xxxxxxx x §3 písm. c) xx x) xxxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx zajišťující xxxxxxx xxxx xxxxx úroveň xxxxxxxxx xxxxx.
§19
Xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxxxx nástroj xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, kterým xxxxxxx xxxxxx xxxxxxxxx
x) xxx xxxxxxx k jednotlivým xxxxxxxxx x xxxxx x
x) xxx xxxxx xxx, xxx zápis xxx a xxx xxxxx oprávnění.
(2) Xxxxx x osoba uvedená x §3 xxxx. x) a x) xxxxxx xxxx xxxxxxx xxxxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxxxxx xxxxxxx přístupových xxxxxxxxx v souladu x xxxxxxxxxxxxxx potřebami x xxxxxxxx xxxxxxxxx xxxxx.
§20
Xxxxxxx xxx ochranu xxxx xxxxxxxxx xxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až e) xxxxxx xxx xxxxxx xxxxx xxxxxxxxx x xxxxxxxxx škodlivého xxxx xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx, xxxxx xxxxxxx ověření x xxxxxx kontrolu
a) xxxxxxxxxx xxxx vnitřní xxxx a xxxxxx xxxx,
x) xxxxxxx x xxxxxxxxx datových xxxxxxx x
x) xxxxxxxxxx xxxxxx,
xxxxxxx xxxxxxx xxxxxxxxxxx x xxxxxxx aktualizaci xxxxxxxx xxx xxxxxxx před xxxxxxxxx kódem, xxxx xxxxxxx x xxxxxxxx.
§21
Xxxxxxx xxx zaznamenávání xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxxx xxxxxxxxx x administrátorů
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) zákona používá xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxx
x) xxxx xxxxxxxxx o provozních x bezpečnostních xxxxxxxxxx, xxxxxxx typ xxxxxxxx, xxxxx x xxx, xxxxxxxxxxxx technického xxxxxx, xxxxx xxxxxxx xxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx x xxxxx xxxxxxxx x xxxxxxxxx xxxx neúspěšnost xxxxxxxx x
x) xxxxxxx xxxxxxxxx informací xxxx xxxxxxxxxxxx xxxxxx xxxx xxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 písm. x) xx e) zákona xxxx xxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxxxxxx a odhlášení xxxxxxxxx x administrátorů,
b) xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxx xx xxxxx přístupových oprávnění,
d) xxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x další xxxxxxxxx xxxxxxxx uživatelů,
e) xxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxx xxxx xxxxxxx xxxxxxx technických xxxxx,
x) xxxxxxxx x xxxxxxxx x xxxxxxxxxx, xxxxxx x xxxxxxxxxx xx xxxxxxx o xxxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx pro xxxxxxxxxxxxx xxxxxxxx x
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxx xxxxxx změny xxxxx, xxxxx slouží x xxxxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a d) xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx podle xxxxxxxx 2 uchovává nejméně xx xxxx 3 xxxxxx.
(4) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxxxxxxx xxxxxxx jednou xx 24 hodin xxxxxxxxxxxxx jednotného systémového xxxx xxxxxxxxxxx aktiv xxxxxxxxx do informačního xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx.
§22
Xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx xx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx a xxxxx xxxxxxx xxxxxxx, kontrolu x případně zablokování xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxx x xxxxxx xxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxx xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxxxx xxxxxxx xxxxxxx, xxxxxxxx x případně xxxxxxxxxxx xxxxxxxxxx
x) x xxxxx xxxxxxx xxxxxxxxxxx xxxx x
x) xxxxxxx xxxxxxxxx xx informačního xxxxxxx kritické informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx.
§23
Xxxxxxx pro xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx používá nástroj xxx xxxx a xxxxxxxx xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí, xxxxx x xxxxxxx s xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxxxx
x) xxxxxxxxxxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) poskytování xxxxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x informačním xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo komunikačním xxxxxxx krit x xxxxxxxxxx xxxxxxxxxxxxxx a
c) xxxxxxxxxxx xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxx identifikace kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxx xxxxxxxx určených xxxxxxxxxxxxxx rolí.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxx zajistí
a) xxxxxxxxxxx aktualizaci xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx, xxx xxxx xxxxxxxxx xxxxxxx xxxxxxxxxxx vyhodnocení xxxxxxxx xxxx xxxxxxx xxxxxxxxx varování, x
x) xxxxxxxxx informací, xxxxx xxxx připraveny nástrojem xxx sběr a xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxx optimální xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury.
§24
Aplikační xxxxxxxxxx
(1) Orgán x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx aplikací, xxxxx xxxx xxxxxxxxx x xxxxxx xxxx, x xx xxxx xxxxxx xxxxxxxx xx xxxxxxx x po xxxxx xxxxxxx xxxxx xxxxxxxxxxxxxx mechanismů.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx dále v xxxxx aplikační xxxxxxxxxxx xxxxxxx xxxxxxx ochranu
a) xxxxxxxx a xxxxxxxxx xxxxxxxxxx x xxxxxx xxxx xxxx xxxxxxxxxxxx xxxxxxxx, popřením xxxxxxxxxxx xxxxxxxx, kompromitací xxxx xxxxxxxxxxxxxxx xxxxxx a
b) xxxxxxxxx xxxx jejich xxxxxxxxxxxx, nesprávným směrováním, xxxxxxxxxxxxxxx změnou předávaného xxxxxxxx obsahu, xxxxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxxxxxxxx nebo xxxxxxxxxx.
§25
Xxxxxxxxxxxxxx xxxxxxxxxx
(1) Orgán x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx
x) xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxx
1. xxxxxx ochrany s xxxxxxx xx xxx x xxxx kryptografického xxxxxxxxx x
2. pravidla xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx nebo xxx uložení xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx nosiče xxx x
x) v xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x výsledky xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx prostředky, které xxxxxxx xxxxxxx xxxxxxxxxx x xxxxxxxxx předávaných xxxx xxxxxxxxxx xxx x průkaznou identifikaci xxxxx za xxxxxxxxx xxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxxx
x) stanoví xxx xxxxxxxxx kryptografických xxxxxxxxxx xxxxxx správy klíčů, xxxxx zajistí generování, xxxxxxxxxx, xxxxxxxx, archivaci, xxxxx, xxxxxx, kontrolu x xxxxx xxxxx, x
x) používá xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxx; v xxxxxxx xxxxxxxxx s xxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxx x příloze č. 3 x xxxx vyhlášce xxxx xxxxxx xxxxxxx x xxxxx xxxxxxxxxx.
§26
Nástroj xxx zajišťování xxxxxx xxxxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx e) xxxxxx v souladu x xxxxxxxxxxxxxx xxxxxxxxx x výsledky hodnocení xxxxx používá xxxxxxx xxx xxxxxxxxxxx úrovně xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x osoba uvedená x §3 xxxx. x) a x) xxxxxx používá xxxxxxx xxx zajišťování xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxx
x) dostupnost xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxx xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx vůči xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx xxxxx snížit xxxxxxxxxx, x
x) xxxxxxxxxx xxxxxxxxxx technických aktiv xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx
1. xxxxxxxx xxxxxxxxxx x návrhu xxxxxx x
2. xxxxxxxxxx xxxxxxxxxx technických xxxxx x určeném xxxx.
§27
Xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx
Xxxxx x xxxxx uvedená x §3 písm. x) x x) xxxxxx xxx xxxxxxxxxx průmyslových x xxxxxxxx xxxxxxx, xxxxx jsou xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxx xxxxxx součástí, xxxxxxx xxxxxxxx, které xxxxxxx
x) xxxxxxx xxxxxxxxx xxxxxxxx x xxxx a xxxxxxxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxx,
x) omezení xxxxxxxxx a vzdáleného xxxxxxxx x xxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx,
x) xxxxxxx jednotlivých xxxxxxxxxxx aktiv průmyslových x xxxxxxxx xxxxxxx xxxx xxxxxxxx známých xxxxxxxxxxxxx x
x) obnovení xxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
XXXXX XXX
XXXXXXXXXXXX DOKUMENTACE
§28
Bezpečnostní xxxxxxxxxxx
(1) Orgán x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx xxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, která xxxxxxxx
x) bezpečnostní xxxxxxxx xxxxx §5 xxxx. 1,
x) xxxxxx z xxxxxx kybernetické xxxxxxxxxxx xxxxx §3 odst. 1 písm. x),
x) xxxxxx z přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx podle §3 xxxx. 1 xxxx. x),
x) metodiku xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx a pro xxxxxxxxxxxx a xxxxxxxxx xxxxx,
x) zprávu x xxxxxxxxx xxxxx x xxxxx,
x) prohlášení x xxxxxxxxxxxxxxxx,
x) xxxx zvládání xxxxx,
x) plán rozvoje xxxxxxxxxxxxxx xxxxxxxx podle §9 xxxx. 1 xxxx. a),
i) zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. x),
x) xxxxxxxxx xxxxxx xxxxxxxxxx činností podle §14 odst. 1 xxxx. x) a
k) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx a xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxx §15 odst. 1 xxxx. a).
(2) Xxxxx x osoba uvedená x §3 písm. x) xxxxxx xxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, která xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxx xxxxx §5 xxxx. 2,
b) xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxx aktiv x xxx identifikaci x xxxxxxxxx rizik xxxxx §4 xxxx. 2 písm. x),
x) xxxxxx x xxxxxxxxx xxxxx x rizik xxxxx §4 xxxx. 2 xxxx. x) x x),
x) xxxxxxxxxx x aplikovatelnosti podle §4 xxxx. 2 xxxx. x),
x) xxxx xxxxxxxx xxxxx xxxxx §4 odst. 2 xxxx. x),
x) plán xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. x),
x) xxxxxxxxx xxxxxx xxxxxxxxxx činností xxxxx §14 xxxx. 1 xxxx. c) x
x) přehled právních xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx předpisů x smluvních xxxxxxx xxxxx §15 xxxx. 1 xxxx. x).
(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx tak, xxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxx xxxxx, čitelné, xxxxxx xxxxxxxxxxxxxxxxx x xxx xx xxxx snadno xxxxxxxx. Xxxxxxxx potřebná x xxxxxxxxxxxx, xxxxxxx, xxxxxxx, xxxxxxxxx, xxxx xxxxxxxxx x xxxxxxxxxx xxxxxxx o xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx.
(4) Doporučená xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx stanovena x příloze č. 4 k xxxx xxxxxxxx.
§29
Prokázání xxxxxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx, xxxxx informační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxx informační systém xx zcela xxxxxxx xx xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxx xxx xxxxxxxxxxxx xxxxx xxxxxxxxx technické xxxxx1) akreditovaným xxxxxxxxxxxxx xxxxxxx, x xxxxx xxxx dokumenty obsahující
a) xxxxx rozsahu systému xxxxxx bezpečnosti informací,
b) xxxxxxxxxx politiky x xxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxx metody xxxxxxxxx xxxxx x zprávu x xxxxxxxxx xxxxx,
x) xxxxxxxxxx x aplikovatelnosti,
e) xxxxxxxxxx systému řízení xxxxxxxxxxx informací splňující xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxx1),
x) xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx vstupů x xxxxxxx přezkoumání x
x) xxxxxx x xxxxxx xxxxxxxxxxx certifikačním xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx o xxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxxxx xxxxxx,
xxxxxxx xxxxxxxxx xx xxxxxxxx bezpečnostních xxxxxxxx podle xxxxxx x xxxx vyhlášky.
ČÁST XXXXX
XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX
§30
Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx příčiny xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx do xxxxxxxxxxxxx xxxx
x) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx událostí xxxxxxx x průniku do xxxxxxx xxxx x xxxxxxx xxxxxxxxxxx služeb,
b) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx porušením xxxxxxxxxxxxx xxxxxxxx,
x) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxx x projevem trvale xxxxxxxxxx hrozeb x
x) xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx.
(2) Xxxxx dopadu xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx do xxxxxxxxxxxxx xxxx
x) kybernetický xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx narušení xxxxxxxxxxx xxxxx, xxxx
x) xxxxxxxxxxxx bezpečnostní incident xxxxxxxxxxx kombinaci xxxxxx xxxxxxxxx v xxxxxxxxx x) xx x).
§31
Xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Xxx xxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xx xxxxx xxxxxxxx x negativních xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx dělí xx xxxxxxxxxxxxx kategorií
a) Kategorie XXX - velmi xxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx xxxxx a xxxxxxxx narušena xxxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx zásahy xxxxxxx x xxx, xx xxxx xxx xxxxx dostupnými prostředky xxxxxxxxx dalšímu šíření xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx vzniklých x potenciálních xxxx.
x) Xxxxxxxxx XX - xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx narušena xxxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx. Xxxx řešení xxxxxxxx xxxxxxxxxx zásahy xxxxxxx x xxx, xx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
x) Xxxxxxxxx X - xxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xxxxxxx x xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxx xxxxxxx x tím, xx xxxx být vhodnými xxxxxxxxxx xxxxxxx další xxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
(2) Xxxxx x xxxxx uvedená x §3 písm. x) až x) xxxxxx při xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle xxxxxxxx 1 zohlední
a) důležitost xxxxxxxxx aktiv informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx významného xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx služby xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) dopady na xxxxxx xxxxxxxxxxx jinými xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx a
d) xxxxxxxxxxxxx xxxxx x xxxxx xxxxxx.
§32
Xxxxx x xxxxxxxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxx kybernetický bezpečnostní xxxxxxxx
x) x xxxxxxxxxxxx xxxxxx prostřednictvím
1. xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
2. xxxxxx na adresu xxxxxxxxxxxx xxxxx Xxxxx xxxxxx xxx příjem xxxxxxx kybernetických bezpečnostních xxxxxxxxx, zveřejněné xx xxxxxxxxxxxxx xxxxxxxxx Úřadu,
3. xxxxxx xxxxxx do xxxxxx xxxxxxxx Úřadu, xxxx
4. xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx, jehož xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx, xxxxx
x) v xxxxxxxx xxxxxx xx xxxxxx Xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxx xx internetových xxxxxxxxx Xxxxx.
(2) Xxxxxxx v xxxxxxxx xxxxxx xx xxxxxx pouze x xxxxxxxxx, xxx nelze xxxxxx xxxxx xx xxxxxxx uvedených x xxxxxxxx 1 xxxx. x).
(3) Xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxx uvedeny x příloze č. 5 x této xxxxxxxx.
ČÁST XXXXXX
XXXXXXXXX XXXXXXXX X XXXXXXXXX ÚDAJE
§33
Reaktivní xxxxxxxx
Xxxxx x osoba xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx xx xxxxxxxxx, jehož xxxx je uveden x příloze č. 6 x xxxx vyhlášce.
§34
Xxxxxxxxx xxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxxxx oznamuje xxxxxxxxx xxxxx xx xxxxxxxxx, xxxxx xxxx xx xxxxxx x příloze č. 7 x této xxxxxxxx. Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxxxx xxxxxxxxx údaje xxxxxx xxxxxxxx x §32 xxxx. 1 xxxx. a).
XXXX XXXX
XXXXXXXX
§35
Xxxx xxxxxxxx xxxxxx xxxxxxxxx dnem 1. ledna 2015.
Xxxxxxx:
Xxx. Xxxxxxxx x. x.
Příloha x. 1 x xxxxxxxx x. 316/2014 Sb.
Hodnocení x xxxxxx důležitosti aktiv
Pro xxxxxxxxx xxxxxxxxxxx xxxxx xxxx xxxxxxx xxxxxxxx x čtyřech xxxxxxxx. Xxxxx xxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxx xxxxxxxx xxxxxxx počet xxxxxx xxx hodnocení xxxxxxxxxxx xxxxx, xxx xxxx je uveden x této příloze, xxxxxx-xx jednoznačné vazby xxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx x stupnicemi x xxxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx xxxx uvedeny x xxxx xxxxxxx.
X xxxxxxx použití xxx xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xx přípustné xxxxxxx buď xxxxxx xxxxx x střední, xxxx xxxxxx xxxxxx x kritická.
Stupnice xxx xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxx xxxx xxxxxxx xxxxxxxxx xxxx xxxx xxxxxx ke xxxxxxxxxx (xxxx. xx xxxxxxx zákona č. 106/1999 Sb., x xxxxxxxxx přístupu x xxxxxxxxxx, ve xxxxx pozdějších předpisů). Xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona. |
Není xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxx know-how xxxxxx x osoby uvedené x §3 xxxx. x) xx x) xxxxxx, ochrana aktiv xxxx xxxxxxxxxx žádným xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxxxxx. |
Xxx ochranu xxxxxxxxxx jsou xxxxxxxxx xxxxxxxxxx pro řízení xxxxxxxx. |
|
Xxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx a xxxxxx xxxxxxx xx xxxxxxxxxx xxxxxxxx předpisy, xxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx (xxxx. xxxxxxxx xxxxxxxxx podle xxxxxx č. 89/2012 Sb., občanský xxxxxxx, xxxxxx xxxxx xxxxx xxxxxx č. 101/2000 Sb., x xxxxxxx xxxxxxxx xxxxx, xx xxxxx pozdějších xxxxxxxx). |
Xxx ochranu xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx informací xxxxxx xxxxxxxxxxx sítí xxxx xxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx míru xxxxxxx xxx xxxxx předchozí xxxxxxxxx (např. xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxx xxxxx). |
Xxx xxxxxxx xxxxxxxxxx je xxxxxxxxxx xxxxxxxx xxxx, xxxxx x xxxxxxx xxxxxxxxxxx, x metody xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xx xxxxxx xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx x hlediska xxxxxxxxx. Xxxxxxxx xxxxxxxxx aktiva xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx xxxxxxxxx xxxxxxx z xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx aktiva může xxxx x xxxxxxxxx xxxxxxxxxxx zájmů xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) zákona x může se xxxxxxxx xxxx xxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány xxxxxxxxxx xxxxxxxx (např. xxxxxxx xxxxxxxxxxxx xxxx xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx vyžaduje xxxxxxx x xxxxxxxx integrity. Xxxxxxxx integrity aktiva xxxx x xxxxxxxxx xxxxxxxxxxx zájmů orgánu x osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxxxxxxxx xxxxxx na primární xxxxxx. |
Xxx xxxxxxx integrity xxxx xxxxxxxxx speciální xxxxxxxxxx, které xxxxxxxx xxxxxxxx xxxxxxxx provedených xxxx a zaznamenat xxxxxxxx osoby xxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx informací xxxxxxxxxxx vnějšími komunikačními xxxxxx xx xxxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x hlediska xxxxxxxxx. Xxxxxxxx integrity xxxx k velmi xxxxxxx poškození xxxxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx x xxxxxxx x xxxxx xxxxxxx xxxxxx xx xxxxxxxx aktiva. |
Pro ochranu xxxxxxxxx xxxx využívány xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx osoby xxxxxxxxxxx xxxxx (xxxx. xxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx). |
Xxxxxxxx xxx xxxxxxxxx dostupnosti
|
Úroveň |
Popis |
Ochrana |
|
Nízká |
Narušení xxxxxxxxxxx xxxxxx není xxxxxxxx x x xxxxxxx xxxxxxx xx xxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxx xxxxxxx (xxx do 1 xxxxx). |
Xxx xxxxxxx xxxxxxxxxxx xx postačující xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx dobu pracovního xxx, xxxxxxxxxxxxx výpadek xxxx k xxxxxxx xxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva by xxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxx. Xxxxxxxx xxxxxxx xx nutné xxxxx xxxxxxxxxx, xxxxxxx xxxx x xxxxxxx xxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) až e) xxxxxx. Xxxxxx xxxx považována xxxx xxxxx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx poskytování xxxxxx xxxx být xxxxxxxxx zásahy xxxxxxx xxxx xxxxxxx technických xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxxx x x xxxxxxxxxx nedostupnost (x xxxx několika xxxxx) xxxx x xxxxxxx xxxxxxxx zájmů orgánu x xxxxx uvedené x §3 xxxx. x) xx x) xxxxxx. Xxxxxx jsou xxxxxxxxxx jako xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx systémy x xxxxxx xxxxxxxxxxx xxxxxx je krátkodobá x automatizovaná. |
Xxxxxxx x. 2 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx xxxxx
Xxxxxxxxx xxxxx xx xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxx dopad, xxxxxx x xxxxxxxxxxxx.
Xxx hodnocení xxxxx xxx xxxxxx xxxxxxx xxxx funkci
riziko = xxxxx x xxxxxx x xxxxxxxxxxxx.
Xxxxxxxxxxx xxxxxx xxxxxx pro xxxxxx xxxxxx je xxxxxxxxx xxxxxxxx xxxxxxxx xxx identifikaci a xxxxxxxxx xxxxxx
|
Xxxxxxxx xxx xxxxxxxxx dopadů |
|
|
Úroveň |
Popis |
|
Nízký |
Dopad xx x xxxxxxxx xxxxxxx xxxxxx x malého xxxxxxx x xxxxx xxx katastrofický. Rozsah případných xxxx xxxxxxxxxxx x) 10 xxxxxxxxx xxxx s xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx než 24 xxxxx xxxx x) xxxxxxxx nebo materiální xxxxxx xx 5&xxxx;000&xxxx;000 Xx xxxxx x) představuje xxxxx na veřejnost x rozsáhlým xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxxx 250 xxxx. |
|
Xxxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx x v xxxxxxxx xxxxxxx xxxxxx. Xxxxxx xxxxxxxxxx xxxx xx xxxxxxxx x xxxxxxx x) xx 10 xxxxxxx xxxx xx 11 xx 100 xxxx x xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 hodin xxxx x) xxxxxxxx nebo xxxxxxxxxx ztráty xx 5&xxxx;000&xxxx;000 Kč xx 50&xxxx;000&xxxx;000 Kč xxxxx x) xxxxxxxxxxx dopad xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx služeb xxxx xxxxxx xxxxxxxxx xxxxxx do xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx od 251 xx 2 500 xxxx. |
|
Xxxxxx |
Xxxxx xx omezeného xxxxxxx, xxx trvalý xxxx xxxxxxxxxxxxx. Xxxxxx případných xxxx xx xxxxxxxx x xxxxxxx x) od 11 xx 100 xxxxxxx xxxx xx 101 xx 1 000 xxxx x xxxxxxxxx xxxxxxxxxxxxx xx xxxx delší xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx od 50&xxxx;000&xxxx;000 Xx xx 500&xxxx;000&xxxx;000 Xx anebo c) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx zásahu xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xx 2 501 xx 25 000 xxxx. |
|
Xxxxxxxx |
Xxxxx xx plošný xxxxxxxx, xxxxxx x katastrofický. Rozsah xxxxxxxxxx xxxx se xxxxxxxx x rozmezí a) 10 x xxxx xxxxxxx x 1 001 x více xxxx s následnou xxxxxxxxxxxxx po xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx ztráty xxxxxxxxxxx 500&xxxx;000&xxxx;000 Kč xxxxx x) představuje xxxxx xx xxxxxxxxx s xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx nebo xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx života xxxxxxxxxxxxx xxxx xxx 25 000 xxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx xxxx xx xxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxx častější než xxxxxx xx 5 xxx. |
|
Xxxxxxx |
Xxxxxx xx xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx x rozpětí xx 1 xxxx xx 5 xxx. |
|
Xxxxxx |
Xxxxxx xx pravděpodobná xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx x xxxxxxx od 1 xxxxxx xx 1 roku. |
|
Kritická |
Hrozba je xxxxx pravděpodobná xx xxxxxxxx jistá. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx je xxxxxxxx xxx jednou xx xxxxx. |
|
Xxxxxxxx pro xxxxxxxxx zranitelností |
|
|
Úroveň |
Popis |
|
Nízká |
Zranitelnost xxxxxxxxxx xxxx je xxxxxxxx xxxxxxxxxxxxx málo xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, které xxxx xxxxxxx xxxx detekovat xxxxx xxxxxxx nebo xxxxxxxx xxxxxx x xxxxxxxxx opatření. |
|
Střední |
Zranitelnost xx xxxx pravděpodobná až xxxxxxxxxxxxx. Xxxxxxxx kvalitní xxxxxxxxxxxx opatření, jejichž xxxxxxxx xx pravidelně xxxxxxxxxxxx. Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx včas xxxxxxxxx xxxxx xxxxxxx xxxx xxxxxxxx xxxxxx o xxxxxxxxx opatření xx xxxxxxx. Xxxxxx xxxxx xxxxx úspěšné xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx xx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx opatření xxxxxxxx, xxx xxxxxx účinnost xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx a xxxx xxxxxxxxxx xxxxxxxxxxxx. Xxxx xxxxx dílčí úspěšné xxxxxx o překonání xxxxxxxxxxxxxx opatření. |
|
Kritická |
Zranitelnost xx xxxxx pravděpodobná xx xx xxxxxxxx jisté xxxxxxxx. Bezpečnostní xxxxxxxx xxxxxx xxxxxxxxxxx xxxxx xx xxxxxx xxxxxxxx xxxxxx xxxxxxx. Xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Jsou xxxxx xxxxxxx xxxxxx překonání xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx pro xxxxxxxxx xxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx za xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx být sníženo xxxx náročnými xxxxxxxxxx xxxx x případě xxxxx xxxxxxxxxx xxxxxxxx xx xxxxxx přijatelné. |
|
Vysoké |
Riziko xx xxxxxxxxxx nepřípustné x xxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxx x jeho xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxxxxxxxx x xxxx být xxxxxxxxxx xxxxxxxx kroky x xxxx odstranění. |
V xxxxxxx, xx xxxxx xxxx xxxxx xxxxxxx v §3 xxxx. x) xx e) zákona xxxxxxx xxxxxx xxx xxxxxxxxxxxx a xxxxxxxxx xxxxx, xxxxx nerozlišuje xxxxxxxxx xxxxxx a xxxxxxxxxxxxx, xx xxxxx xxxxxxxx pro xxxxxxxxx xxxxxx a xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx stupnic xx nemělo vést xx ztrátě xxxxxxxxxx xxxxxxxxx xxxx xxxxxx x zranitelnosti. Xx xxxxx xxxxxx xxx xxxxxx například xxxxxxxx, xxxxx xxxxxxxx vyjádří xxx úroveň xxxxxx, xxx x xxxxxx xxxxxxxxxxxxx. Obdobně xxxxxxxxx x xxxxx nebo xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona, xxxxx používá xxxx xxxxx úrovní xxx xxxxxxxxx dopadů, xxxxxx, xxxxxxxxxxxxx x xxxxx.
Xxxxxxx x. 3 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxxx požadavky xx kryptografické xxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxx
x) Xxxxxxx x xxxxxxxx šifry xxx ochranu xxxxxxxxxx x xxxxxxxxx
1. Xxxxxxxx Xxxxxxxxxx Standard (XXX) x využitím délky xxxxx 128, 192 x 256 xxxx Xxxxxx Xxxx Encryption Xxxxxxxx (3XXX) x xxxxxxxx xxxxx klíčů 168 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx menším xxx 10 XX, xxxxxxxx xxxxxxxxx xx XXX.
2. Xxxxxx Xxxx Xxxxxxxxxx Xxxxxxxx (3DES) x využitím délky xxxxx 112 xxxx, xxxxxxx použití xxx xx zatížením klíče xxxxxx než 10 XX, xxxxxxxx xxxxxxxxx xx XXX. Xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx xxx každou zprávu.
3. Xxxxxxxx s využitím xxxxxxxxx délky xxxxx 128 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX.
4. Xxxxxx x využitím xxxxx klíčů 128 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX.
5. Twofish x využitím xxxxx xxxxx 128 xx 256 xxxx.
6. Serpent x xxxxxxxx xxxxx xxxxx 128, 192, 256 xxxx.
7. Xxxxxxxx x xxxxxxxx délky xxxxx 128, 192 x 256 xxxx.
8. XXXX 2.0, XXXX 3X x využitím xxxxx xxxxx 128, 256 xxxx.
x) Xxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx
1. XXX,
2. XXX,
3. XXX,
4. Xxxxxxx schémata xxxx "Xxxxxxx-xxxx-XXX".
Xxxxxxxx:
Xxxxxxxx typu "Xxxxxxx-xxxx-XXX",xxxx používat k xxxxxxxxx xxxxx uvedené xxxxxxxxx xxxx x x xxxxxxx XXX xxxxx xxxxxxx módy xxx xxxxxxx xxxxxxxxx.
x) Xxxx šifrování
1. XXX,
2. XXX,
3. CBC,
4. CFB,
Poznámka:
Módy XXX x XXX xxxx být xxxxxxx x náhodným, pro xxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxxx xxxx XXX se xxx daný klíč xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxxx xxxxxxx, při xxxxxxx xxxx CTR xx xxx xxxx xxxx nesmí xxxxxxxx xxxxxxx xxxxxx, v xxxxxxx xxxxxxx XXX xxxx x xxxxxxxxx xxx xxxxxxx xxxxxxxxx xx xxxxx ověřit xxxxxxxx proti xxxxx xx xxxxxxx XXX xxxx.
x) Xxxx xxx xxxxxxx integrity
1. XXXX,
2. XXX-XXX-X9.19, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxxx než 109 XXX,
3. XXX-XXX-XXXX,
4. CMAC.
(2) Xxxxxxxxxxx xxxxxxxxx
x) Xxx xxxxxxxxxxx xxxxxxxxxxx podpisu
1. Xxxxxxx Xxxxxxxxx Xxxxxxxxx (XXX) x využitím xxxxx klíčů 2048 xxxx x více, xxxxx parametru cyklické xxxxxxxx 224 xxxx x více.
2. Xxxxxxxx Xxxxx Xxxxxxx Signature Xxxxxxxxx (XX-XXX) x xxxxxxxx xxxxx xxxxx 224 xxxx a xxxx.
3. Xxxxxx-Xxxxxx-Xxxxxxx Probablistic Xxxxxxxxx Scheme (RSA-PSS) x xxxxxxxx xxxxx xxxxx 2048 bitů x xxxx.
x) Xxx xxxxxxx dohod na xxxxx x xxxxxxxxx xxxxx
1. Xxxxxx-Xxxxxxx (XX) x využitím xxxxx xxxxx 2048 xxxx x xxxx, délky xxxxxxxxx cylické podgrupy 224 bitů x xxxx.
2. Xxxxxxxx Xxxxx Xxxxxx-Xxxxxxx (ECDH) x xxxxxxxx délky klíčů 224 xxxx x xxxx.
3. Xxxxxxxx Curve Xxxxxxxxxx Xxxxxxxxxx System - Xxx Encapculation Xxxxxxxxx (XXXXX-XXX) x xxxxxxxx xxxxx xxxxx 256 xxxx a xxxx.
4. Xxxxxxxx Xxxxxx Xxxxxxxx Curve - Xxx Xxxxxxxxxxxxx Mechanism (XXXX-XXX) s xxxxxxxx xxxxx xxxxx 256 xxxx xxxx.
5. Xxxxxxxxx Xxxxxxx and Key Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) x využitím xxxxx xxxxx 256 xxxx x xxxx.
6. Xxxxxx Xxxxxx Adleman - Xxxxxxx Xxxxxxxxx Xxxxxxxxxx Xxxxxxx (XXX-XXXX) x xxxxxxxx xxxxx xxxxx 2048 x více.
7. Xxxxxx Xxxxxx Adleman - Xxx Encapculation Xxxxxxxxx (XXX-XXX) s xxxxxxxx délky xxxxx 2048 a xxxx.
(3) Xxxxxxxxx hash funkcí
a) XXX-2
1. XXX-224,
2. XXX-256,
3. XXX-384,
4. XXX-512,
5. XXX-512/224,
6. XXX-512/256.
x) SHA-3
1. SHA3-224,
2. XXX3-256,
3. XXX3-384,
4. XXX3-512,
5. XXXXX-128,
6. SHAKE-256.
c) Xxxxxxx xxxxxxxx funkce
1. Xxxxxxxx,
2. XXXXXX-160,
3. XXX 1 x omezeným xxxxxxxx.
Xxxxxxxx x. 1:
XXX-1 xx xxxxx xxxxxxxx xxx xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx, xxxxxxxx xxxxxxx, xxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx SHA-1.
Poznámka x. 2:
XXX-1 xxx xxxxxxxx xxxxx xxx xxxxxxxxx již xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxx, xxxxxxxxxx x xxxxxxxxx XXXX-XXX1, xxxxxx xxx xxxxxxxxxx xxxxx x xxxxxxxxxxxxx xxxxxxxxxx.
Xxxxxxx x. 4 x vyhlášce č. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
Xxxx xxxxxxx obsahuje xxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx. Navrhované xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx, xxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxx pokrývají, přičemž xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxx závazné x xx na xxxxxx xxxx xxxxx uvedené x §3 xxxx. x) xx x) xxxxxx, jaký xxxxxxx x tvorbě xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx. Přípustná xx x změna xxxxx xxxxxxxxxxxx dokumentů xxxx integrování xxxx xxxxx xx xxxxxxx xxxxxxxxx.
X. Xxxxxxxxx bezpečnostní xxxxxxxx
(1) Xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. a)]
a) Xxxx, xxxxxxxx x xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x postupy xxx xxxxxx xxxxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxx zdrojů x xxxxxxx systému xxxxxx xxxxxxxxxxx informací.
e) Xxxxxxxx x postupy xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx xxx nápravná xxxxxxxx x xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
(2) Politika xxxxxxxxxxx xxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Určení xxxxxxxxxxxxxx xxxx a xxxxxx xxxx a xxxxxxxxxx,
1. xxxxx a xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
2. xxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx bezpečnosti,
3. xxxxx a xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
4. xxxxx x xxxxxxxxxx xxxxxxx aktiv,
5. xxxxx x povinnosti xxxxxx xxx xxxxxx kybernetické xxxxxxxxxxx.
x) Požadavky xx xxxxxxxx xxxxxx činností xxxxxxxxxxxx xxxxxxxxxxxxxx xxxx.
(3) Xxxxxxxx řízení xxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x xxxxxxxx xxx xxxxx xxxxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx xxxxx dodavatelů.
c) Náležitosti xxxxxxx o xxxxxx xxxxxx x xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x x xxxxxx xxxxxxxx xxxxxxx odpovědnosti.
d) Xxxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx.
(4) Politika xxxxxxxxxxx xxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. určení x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx včetně xxxxxx xxxxxx xxxxxxx,
2. hodnocení xxxxxxxxxxx xxxxxxxxxx aktiv x hlediska xxxxxxxxxx, xxxxxxxxx x dostupnosti.
b) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x evidence xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx určení xxxxxx xxxxxxx,
2. určení vazeb xxxx primárními a xxxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx pro xxxxxxxxxx x xxxxxxxx xxxxx xxxxx xxxxxx xxxxx,
3. xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx.
x) Xxxxxxx spolehlivého xxxxxxx xxxx ničení xxxxxxxxxxx xxxxxx xxx.
(5) Xxxxxxxx xxxxxxxxxxx lidských xxxxxx**
[§5 xxxx. 1 xxxx. e), §5 xxxx. 2 písm. x)]
x) Pravidla xxxxxxx xxxxxxxxxxxxxx povědomí a xxxxxxx xxxx hodnocení
1. xxxxxxx a formy xxxxxxx xxxxxxxxx,
2. xxxxxxx x xxxxx xxxxxxx xxxxxxx xxxxx,
3. xxxxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx x xxxxx poučení xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxxxxxxxxx školení xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxx řešení případů xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx změnu pracovní xxxxxx.
1. xxxxxxx xxxxxxxxx xxxxx x odebrání xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxx,
2. xxxxx xxxxxxxxxxxx oprávnění xxx xxxxx xxxxxxxx xxxxxx.
(6) Xxxxxxxx xxxxxx xxxxxxx x komunikací**
[§5 xxxx. 1 xxxx. f), §5 xxxx. 2 xxxx. f)]
a) Xxxxxxxxx x xxxxxxxxxxxx spojené x xxxxxxxxx xxxxxxxx.
x) Xxxxxxx bezpečného xxxxxxx.
x) Xxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxx.
x) Řízení xxxxxxxxxxx zranitelností.
e) Xxxxxxxx x omezení pro xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x bezpečnostních xxxxx.
(7) Politika xxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxx/xxxxxxx znát (need xx know).
b) Xxxxxxxxx xx xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxx řízení xxxxxxxx.
x) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.
x) Řízení přístupu xxx xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx přezkoumání xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx.
(8) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxx xxx xxxxxxxx xxxxxxxxx s xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx.
x) Bezpečné xxxxxxx xxxxxxxxxxxx pošty a xxxxxxxx xx xxxxxxxx.
x) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx xxxxxxx xx xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx xx xxxxxx k xxxxxxxx zařízením.
(9) Xxxxxxxx xxxxxxxxxx x obnovy**
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxxx xx zálohování x xxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxxx.
x) Xxxxxxxx bezpečného xxxxxxx xxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxx x xxxxxx.
(10) Xxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxx**
[§5 xxxx. 1 písm. x)]
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxxx informací.
b) Xxxxxxx xxxxxxx xxxxxxxxxxxx výměny xxxxxxxxx.
x) Pravidla xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(11) Xxxxxxxx řízení xxxxxxxxxxx xxxxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) Pravidla x xxxxxxx xxxxxxxxxxx xxxxxxxxx programových xxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx a xxxxxxx xxxxxxxx oprav xxxxxxxxxxxx xxxxxxxx.
(12) Politika xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx*
[§5 odst. 1 xxxx. 1)]
x) Xxxxxxxx x postupy xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx nedisponuje.
(13) Xxxxxxxx xxxxxxxxxxx x xxxxxxxx licencí programového xxxxxxxx x xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. j)]
a) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx x jeho evidence.
b) Xxxxxxxx a xxxxxxx xxx xxxxxxxx dodržování xxxxxxxxxx xxxxxxxx.
(14) Politika xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx*
[§5 xxxx. x xxxx. x)]
x) Xxxxxxxx a postupy xxxxxxxxx xxxxxxxxx x xxxxxxx.
x) Ochrana xxxxxxxxxxxxx xxxxxxxxx a xxxxxxx.
x) Xxxxxxxx přístupu x xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx.
(15) Xxxxxxxx xxxxxxx xxxxxxxx xxxxx*
[§5 xxxx. x písm. x), §5 xxxx. 2 xxxx. x)]
x) Charakteristika xxxxxxxxxxxxxx xxxxxxxx xxxxx.
x) Xxxxx přijatých x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx technických xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
(16) Politika xxxxxxx xxxxxxxxxxx**
[§5 xxxx. x xxxx. x)]
x) Xxxxxxxx pro ochranu xxxxxxx.
x) Pravidla xxx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx xxx xxxxxxx xxxxxxxx.
x) Detekce xxxxxxxx xxxxxxx bezpečnosti.
(17) Politika xxxxxxxxxxx xxxxxxxxxxx xxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx a xxxxxxx xxx zajištění xxxxxxxxxxx xxxx.
x) Xxxxxx xxxx x xxxxxxxxxx xx bezpečný xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxxx x xxxxx xxxx.
x) Pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxxxx k xxxx.
x) Xxxxxxxx x xxxxxxx xxx monitorování xxxx x xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.
(18) Xxxxxxxx xxxxxxx před škodlivým xxxxx*
[§5 odst. l xxxx. r), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxx ochranu xxxxxxxxxx xxxx xxxxxxx x vnější xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxx x sdílených datových xxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxx.
(19) Xxxxxxxx xxxxxxxx x používání xxxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí**
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. n)]
a) Xxxxxxxx a xxxxxxx xxxxxxxx nástroje xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx postupy xxx xxxxxxxxxxxxx a xxxxxxxxx na xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx události.
c) Xxxxxxxx x postupy xxx optimalizaci xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(20) Xxxxxxxx xxxxxxx x xxxxxx xxxxxxxx xxx xxxx a vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí**
[§5 xxxx. 1 písm. x)]
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
b) Xxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxxx pravidel xxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro optimální xxxxxxxxx bezpečnostních xxxxxxxxxx xxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(21) Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxx x xxxxxxx na xxx x sílu xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx ochrany xxxxxxxxx
1. xxx xxxxxxx po xxxxxxxxxxxxx xxxxxx,
2. xxx xxxxxxx xx xxxxxxx xxxxxxxx xxxx vyměnitelný xxxxxxxxx nosič xxx,
x) Xxxxxx správy klíčů.
II. Xxxxxxxxx xxxxx xxxxxxxxxxx
(1) Xxxxxx z auditu xxxxxxxxxxxx xxxxxxxxxxx**
[§28 xxxx. 1 xxxx. b)]
a) Xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Předmět xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Kritéria xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx xxxx auditorů x xxxx, xxxxx xx xxxxxx kybernetické xxxxxxxxxxx xxxxxxxxxx.
x) Datum x místo, xxx xxxx prováděny xxxxxxxx xxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxx kybernetické bezpečnosti.
g) Xxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
(2) Xxxxxx z xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx informací**
[§28 xxxx. 1 xxxx. c)]
a) Xxxxxxxxxxx opatření z xxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) Xxxxxxxxxxxx xxxx a xxxxxxxxx, xxxxx xxxxx xxx xxxx xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxx vazba x xxxxxxxxxx řízení xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x xxxxxxxx xxxxxxxx,
2. xxxxxxxx xxxxxxxxxxxx a xxxxxx,
3. xxxxxxxx xxxxxx,
4. xxxxxxxx cílů bezpečnosti,
d) Xxxxxxxx xxxxxxxxx xxxxx x xxxx plánu xxxxxxxx xxxxx.
x) Xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, stanovení opatření x osob zajišťujících xxxxx jednotlivých xxxxxxxx.
(3) Xxxxxxxx pro xxxxxxxxxxxx x hodnocení xxxxx x xxx xxxxxxxxxxxx x hodnocení xxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxx stupnice xxx xxxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx pro xxxxxxxxx úrovní důvěrnosti xxxxx,
2. určení xxxxxxxx xxx hodnocení xxxxxx xxxxxxxxx aktiv,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx dostupnosti aktiv.
b) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,
2. určení xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxx,
3. xxxxxx xxxxxxxx pro hodnocení xxxxxx zranitelnosti,
4. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxx,
x) Xxxxxx x přístupy pro xxxxxxxx rizik.
b) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx rizik.
(4) Xxxxxx x hodnocení xxxxx x rizik**
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx a xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx primárních xxxxx,
3. xxxxxxxxx primárních aktiv x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti.
b) Xxxxxxx xxxxxxxxxx aktiv (xxxxxxx xxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) zákona)
1. identifikace x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx aktiv,
3. určení xxxxx xxxx primárními x podpůrnými aktivy,
c) Xxxxxxxxxxxxxx a xxxxxxxxx xxxxx
1. posouzení xxxxxxx xxxxxx xx xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx existujících zranitelností, xxxxxxxxx existujících xxxxxxxx,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx xxxx xxxxxx x xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
5. určení x schválení přijatelných xxxxx.
x) Xxxxxxxx rizik
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. xxxxx xxxxxxxx x xxxxxx realizace.
(5) Xxxxxxxxxx x aplikovatelnosti*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. x)]
x) Xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxx zdůvodnění xxxxxx xxxxxx x xxxxxx vazby xx xxxxxxxxxxxxxx xxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx opatření.
(6) Xxxx xxxxxxxx rizik**
[§28 xxxx. 1 písm. x), §28 odst. 2 xxxx. x)]
x) Xxxxx a xxxx xxxxxxxxx bezpečnostních xxxxxxxx xxx xxxxxxxx rizik.
b) Xxxxxxxx xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx zvládání xxxxx.
x) Xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
(7) Plán xxxxxxx xxxxxxxxxxxxxx povědomí*
[§28 xxxx. 1 písm. x), §28 odst. 2 xxxx. x)]
x) Xxxxx x xxxxxxx xxxxxxx uživatelů.
b) Xxxxx x xxxxxxx xxxxxxx xxxxxxx xxxxx (neplatí xxx orgány x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx).
x) Xxxxx x xxxxxxx poučení xxxxxxxxxxxxxx (xxxxxxx pro orgány x xxxxx xxxxxxx x §3 xxxx. x) zákona).
d) Obsah x xxxxxxx xxxxxxx xxxxxxx osob xxxxxxxxxxxxx xxxxxxxxxxxx role.
e) Xxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Formy x xxxxxxx xxxxxxxxx xxxxx.
(8) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů**
[§28 odst. 1 xxxx. i), §28 odst. 2 xxxx. g)]
a) Definování xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx evidenci x zvládání xxxxxxxxxxxx xxxxxxxxx kybernetických bezpečnostních xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx testování systému xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
x) Pravidla a xxxxxxx xxx vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů x xxx zlepšování xxxxxxxxxxxx xxxxxxxxxxx.
(9) Xxxxxxxxx xxxxxx kontinuity xxxxxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. x)]
x) Xxxxx a xxxxxxxxxx xxxxxxxxxxxx osob.
b) Xxxx xxxxxx xxxxxxxxxx xxxxxxxx
1. xxxxxxxxx xxxxxx poskytovaných xxxxxx,
2. xxxx obnovení xxxxx,
3. bod xxxxxxxx xxxxx.
x) Xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxx xxxxxxxx cílů kontinuity.
d) Xxxxxxx xxxxxxxxx dopadů xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx kontinuitu x xxxxxxxxxx souvisejících xxxxx.
x) Xxxxxx x xxxxx xxxxxxxxxx xxxxx xxxxxxxxxx.
x) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxxxx xxxxxxxxxxxxx úřadem.
(10) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx předpisů x xxxxxx xxxxxxxx x smluvních závazků*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx předpisů a xxxxxx xxxxxxxx.
x) Přehled xxxxxxxxx xxxxxxx.
Xxxxxxxx:
* Očekávaná xxxxxxxxx xxxxxxxxx xx xx xxxxxx střední xxxxx stupnice xxxxxxx x příloze č. 1: Xxxxxxxxx x úroveň xxxxx.
** Xxxxxxxxx xxxxxxxxx dokumentu xx xx xxxxxx xxxxxx xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.
Xxxxxxx x. 5 x vyhlášce x. 316/2014 Xx.
Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx č. 6 x vyhlášce č. 316/2014 Xx.
Xxxxxxxx xxxxxxxx x xxxxxxxxx reaktivního xxxxxxxx a jeho xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx č. 7 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx xxx xxxxxxx kontaktních xxxxx
Vyplnitelný formulář ve formátu PDF
Informace
Právní xxxxxxx x. 316/2014 Xx. xxxxx xxxxxxxxx xxxx 1.1.2015.
Ke xxx xxxxxxxx xxxxxx xxxxxxx xxxxx měněn xx doplňován.
Právní xxxxxxx x. 316/2014 Xx. xxx zrušen xxxxxxx xxxxxxxxx č. 82/2018 Sb. x xxxxxxxxx xx 28.5.2018.
Xxxxx xxxxxxxxxxxx právních norem xxxxxx právních xxxxxxxx x odkazech xxxx xxxxxxxxxxxxx, xxxxx xx xxxx netýká xxxxxxxxx xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
1) ISO/IEC 27001:2013, xxxxxxxx ČSN XXX/XXX 27001:2014