Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
XXXXXXXX
xx dne 15. xxxxxxxx 2014
o xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x x stanovení xxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx xxxxxxxxxxxx xxxx xxxxxxx xxxxx §28 xxxx. 2 zákona x. 181/2014 Xx., x xxxxxxxxxxxx bezpečnosti x x změně xxxxxxxxxxxxx zákonů (xxxxx x xxxxxxxxxxxx xxxxxxxxxxx), (xxxx xxx "zákon") x xxxxxxxxx §6 xxxx. x) xx x), §8 odst. 4, §13 odst. 4 a §16 xxxx. 6 xxxxxx.
XXXX PRVNÍ
ÚVODNÍ USTANOVENÍ
§1
Předmět xxxxxx
Xxxxx xxxxxxxxx xx xxxxxxx xxxxx a xxxxxxxxx bezpečnostní xxxxxxxxxxx xxx xxxxxxxxxx systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx, xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxx jejich zavedení, xxxx a xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxxxxxxx x způsob xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx, náležitosti xxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx a xxxx xxxxxxxx a xxxx xxxxxxxx xxxxxxxxxxx xxxxx x jeho formu.
§2
Xxxxxxxx xxxxx
X xxxx xxxxxxxx xx xxxxxx
x) xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx xxxxxx orgánu x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxxxxx xx xxxxxxxx x rizikům xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, která xxxxxxx xxxxxx xxxxxxxx, xxxxxxxx, xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx aktivum,
c) xxxxxxxxx xxxxxxx xxxxxxxxx nebo xxxxxx, kterou zpracovává xxxx xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významný xxxxxxxxxx xxxxxx,
x) podpůrným xxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xx xx xxxxxxx, xxxxxxx, správě nebo xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému kritické xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxx aktivem technické xxxxxxxx, komunikační xxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx x xxxxxxx, xx xxxxxxx xxxx xxxx xxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxx, xx určitá xxxxxx xxxxxxx zranitelnosti xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx x xxxxxxx xxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxx xxxxxx, xxx xxxx xx xxxxxxxx xxxxxxxxxx rizik x xxxxxx xxxxxxxxxx úroveň,
h) xxxxxxx rizik činnost xxxxxxxxxx xxxxxxxxx xxxxx, xxxxx x zavedení xxxxxxxx ke xxxxxxxx xxxxx, sdílení xxxxxxxxx x xxxxxx a xxxxxxxxx x přezkoumání xxxxx,
x) xxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, jejímž xxxxxxxxx může xxx xxxxxxxxx xxxxxx,
x) zranitelností xxxxx xxxxx aktiva xxxx bezpečnostního xxxxxxxx, xxxxx xxxx být xxxxxxxx jednou xxxx xxxx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xx uplatnění bezpečnostních xxxxxxxx, jehož xxxxxx xxxxxxxx xxxxxxxxx pro xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxx x xxxxxxxx, xxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxxx aktiv orgánem x xxxxxx xxxxxxxx x §3 xxxx. x) až e) xxxxxx,
x) xxxxxxxx xxxxxx xxxxxxx xxxxx xxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxx x §3 xxxx. c) xx x) xxxxxx x xxxxxxxxx rozvoje, xxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx osoba xxxxx xxxxx veřejné xxxx, xxxxx xxxxxxx primární xxxxxx,
x) xxxxxxxxxxxxxxx fyzická xxxxx pověřená xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxx, xxxxxx, použití, údržbu x xxxxxxxxxx technického xxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx x rámci xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) stanoví s xxxxxxx xx xxxxxx x xxxxxxxxxxx bezpečnost xxxxxx a xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xx xxxxxx xxxx, xxxxxxx xxxxxxxxxxxxx xxxxx x technických xxxxx se xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx,
x) xxxx xxxxxx xxxxx §4 xxxx. 1,
x) vytvoří x xxxxxxx xxxxxxxxxxxx politiku x xxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx, xxxxx obsahuje hlavní xxxxxx, xxxx, bezpečnostní xxxxxxx, xxxxx x xxxxxxxxxx ve vztahu x řízení xxxxxxxxxxx xxxxxxxxx x na xxxxxxx bezpečnostních potřeb x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx bezpečnostní xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §5 x xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) monitoruje xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxx politiky xxxxx §5,
x) zajistí xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §15, x xx xxxxxxx xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxxxx systému xxxxxx xxxxxxxxxxx informací, xxxxx xxxxxxxx hodnocení xxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací xxxxxx xxxxxx xxxxxxxxx xxxxx, xxxxxxxxx výsledků xxxxxxxxxxx xxxxxxx x auditů xxxxxxxxxxxx bezpečnosti x xxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx, x xx xxxxxxx xxxxxx xxxxx,
x) aktualizuje xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx xx základě xxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx informací a x xxxxxxxxxxx x xxxxxxxxxxx xxxx plánovanými xxxxxxx a
i) xxxx xxxxxx a zdroje xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxxxxxxxx xxxxxxxx xxxxxxx se xxxxxxxx xxxxxx bezpečnosti informací x řízením xxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. e) xxxxxx x rámci xxxxxxx xxxxxx bezpečnosti xxxxxxxxx
x) xxxx xxxxxx xxxxx §4 xxxx. 2,
b) xxxxxxx a schválí xxxxxxxxxxxx politiku x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxx zásady, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx xx vztahu x xxxxxx bezpečnosti xxxxxxxxx x xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §5, a xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxxx xxxxx x xxxxx, xxxxxxxxxxxx politiky, xxxxx xxxxxxxx xxxxx x xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx, x xx nejméně xxxxxx xx tři xxxx xxxx x xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx změnami.
§4
Xxxxxx rizik
(1) Xxxxx x xxxxx uvedená x §3 písm. x) x d) xxxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx rizik xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx rizik,
b) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxx, která xxxxx do rozsahu xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxx §8 x xxxxxxx přílohy č. 1 x této xxxxxxxx x xxxxxxx xxxxxxxxx xx xxxxxx o xxxxxxxxx aktiv x xxxxx,
x) xxxxxxxxxxxx xxxxxx, xxx kterých xxxxxxxx xxxxxx x xxxxxxxxxxxxx, xxxxxxx xxxxx dopady xx aktiva, xxxxxxx xxxx xxxxxx minimálně x xxxxxxx podle přílohy č. 2 x xxxx xxxxxxxx, xxxx x xxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxx zprávu x hodnocení xxxxx x rizik,
d) zpracuje xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x výsledků xxxxxxxxx xxxxx xxxxxxxxxx x aplikovatelnosti, xxxxx xxxxxxxx přehled xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) zpracuje x xxxxxx xxxx xxxxxxxx xxxxx, který obsahuje xxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, lidské x xxxxxxxxxx xxxxxx, xxxxxx xxxxxx zavedení x xxxxx vazeb xxxx xxxxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxxx xxxxxxx xxxxxxxxx x ochranná xxxxxxxx xxxxxx Xxxxxxxx bezpečnostním xxxxxx (dále jen "Xxxx") x xxxxxxxxx xxxxx a x xxxxxxx, xx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxx zranitelnosti spojené x realizací xxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx stanovená xxxxxxxx xxx xxxxxxxxxxxx rizik, xxxxxx xxxx xxxxxxxx xxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx primárních aktiv, xxxxx xxxxx do xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx §8 xxxxxxxxx v xxxxxxx přílohy č. 1 x xxxx xxxxxxxx a xxxxxxx xxxxxxxxx xx xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxxxxxx rizika, xxx xxxxxxx zohlední xxxxxx x xxxxxxxxxxxxx, posoudí xxxxx xxxxxx xx xxxxxxxx aktiva, xxxxxxx xxxx xxxxxx xxxxxxxxx x rozsahu podle přílohy č. 2 k této xxxxxxxx x xxxxxxxx xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxx na xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxxxxxxx x aplikovatelnosti, xxxxx obsahuje xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) zpracuje x zavede xxxx xxxxxxxx xxxxx, xxxxx xxxxxxxx cíle x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx, xxxxxxxx finanční, technické, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxxx xxxxxx xxxxxxxx x xxxxx xxxxx mezi xxxxxxxxxxxxxxxx xxxxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxx bez xxxxxxxxxx xxxxxxx reaktivní x xxxxxxxx xxxxxxxx vydaná Xxxxxx x xxxxxxxxx xxxxx a x xxxxxxx, xx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxx zranitelnosti xxxxxxx x xxxxxxxxx reaktivního xxxx ochranného xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx, xxxxxx plán xxxxxxxx xxxxx.
(3) Xxxxxx xxxxx xxxx být xxxxxxxxx x xxxxxx xxxxxxx, xxx xxx je xxxxxxxxx x xxxxxxxxxx 1 x 2, xxxxx xxxxx a xxxxx xxxxxxx v §3 písm. x) xx x) xxxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx zajišťující xxxxxxx xxxx vyšší xxxxxx xxxxxx xxxxx.
(4) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxx xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxx hrozby
a) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx činností, xxxxxxxx xxxxxxxxx ze xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxx nebo selhání xxxxxxxxxxx anebo xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx identity xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxxx vybavení x xxxxxxx s xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx xxxx x komunikační sítě,
f) xxxxxxxx kód (xxxxxxxxx xxxx, spyware, xxxxxxx xxxx),
x) xxxxxxxxxx při xxxxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx fyzické xxxxxxxxxxx,
x) xxxxxxxxx poskytování xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxx údajů,
k) xxxxxx xxxxxxxx xxxxxx x
x) xxxxxxxx nebo xxxxxxxxx xxxxxx.
(5) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxx hodnocení xxxxx zvažuje xxxxxxx xxxx xxxxxxxxxxxxx
x) nedostatečná xxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx povědomí xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxxxxx údržba xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného informačního xxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx při xxxxxxxxxxxxxx x odhalení xxxxxxxxxxx xxxxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
f) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx x neschopnost xxxxxxx xxxxxx nevhodné nebo xxxxxxx xxxxxxx xxxxxxx x
x) nedostatečné stanovení xxxxxxxxxxxxxx xxxxxxxx, nepřesné xxxx xxxxxxxxxxxxx xxxxxxxx xxxx x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxxxxxxxx rolí.
(6) Xxxxx x xxxxx uvedená x §3 písm. x) a x) xxxxxx xxx hodnocení xxxxx dále xxxxxxx xxxx hrozby
a) porušení xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx činností, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx ze xxxxxx zaměstnanců,
c) xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,
x) xxxxxxxxxx přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx elektrické xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
x) cílený xxxxxxxxxxxx xxxx pomocí sociálního xxxxxxxxxxx, xxxxxxx špionážních xxxxxxx a
g) xxxxxxxx xxxxxxxxxxxxx technických xxxxxx xxx.
(7) Xxxxx x xxxxx uvedená x §3 písm. x) x x) zákona xxx hodnocení rizik xxxx xxxxxxx tyto xxxxxxxxxxxxx
x) nedostatečná ochrana xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx a
d) xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx ze xxxxxx xxxxxxxxxxx.
§5
Xxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x oblastech
a) xxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) organizační xxxxxxxxxx,
x) xxxxxx xxxxxx x xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxx a xxxxxxxxxx,
x) řízení xxxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx a xxxxxx,
x) xxxxxxxx předávání a xxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx a xxxxxxxxx xxxxxxxxx,
x) xxxxxxx osobních xxxxx,
x) xxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxxx škodlivým xxxxx,
x) nasazení x xxxxxxxxx xxxxxxxx xxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx,
x) využití a xxxxxx xxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x
x) xxxxxxxxx kryptografické xxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) xxxxxx xxxxxxx bezpečnostní xxxxxxxx x oblastech
a) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxx,
x) xxxxxx dodavatelů,
d) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx provozu x komunikací,
g) xxxxxx xxxxxxxx,
x) bezpečné chování xxxxxxxxx,
x) xxxxxxxxxx x xxxxxx,
x) poskytování x xxxxxxxx licencí programového xxxxxxxx x xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxx škodlivým xxxxx a
n) xxxxxxxx x xxxxxxxxx nástroje xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
(3) Orgán x osoba uvedená x §3 písm. x) xx x) xxxxxx xxxxxxxxxx hodnotí xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xx.
§6
Organizační xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx zavede xxxxxxxxxx xxxxxx bezpečnosti xxxxxxxxx, x xxxxx xxxxx xxxx xxxxx pro xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxx xxxx x xxxxxx xxxxx x povinnosti xxxxxxxxxxx x informačním xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx xxxxxxxxxxxx xxxx
x) xxxxxxx xxxxxxxxxxxx bezpečnosti,
b) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx bezpečnosti x
x) xxxxxx xxxxxx podle §2 xxxx. x).
(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xxxx xxxxxxxxxxxx xxxx přiměřeně xxxxx xxxxxxxx 2.
(4) Xxxxxxx kybernetické bezpečnosti xx xxxxx, odpovědná xx systém řízení xxxxxxxxxxx xxxxxxxxx, která xx pro xxxx xxxxxxx vyškolena a xxxxxxx odbornou xxxxxxxxxxx xxxxx s xxxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxx xxxxxxx xxx xxx.
(5) Xxxxxxxxx kybernetické xxxxxxxxxxx xx xxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx odbornou xxxxxxxxxxx xxxxx s xxxxxxxxxxx bezpečnostní architektury xx xxxx xxxxxxx xxx xxx.
(6) Auditor xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xx xxx tuto xxxxxxx xxxxxxxxx x xxxxxxx odbornou xxxxxxxxxxx xxxxx x prováděním xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxx nejméně xxx xxx. Auditor xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xxxx nestranně x xxxxx jeho xxxx xx xxxxxxx xx xxxxxx xxxx xxxxxxxxx v xxxxxxxx 2 xxxx. x), x) xxxx x).
(7) Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx, xxxxx xxxx xxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xx xxxxxxxx xxxxxxxx xx xxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxx s xxxxxxxxxxxxx xxxxxxxxxxx těchto xxxxxxx.
(8) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona xxxxxxx xxxxxxx xxxxxxx xxxx, xxxxx zastávají xxxxxxxxxxxx role x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 odst. 1 písm. b).
§7
Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxx dodavatele
(1) Orgán x osoba uvedená x §3 xxxx. x) xx x) xxxxxx xxxxxx pravidla xxx xxxxxxxxxx, xxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, x xxxxxxxx je u xxxxxxxxxx xxxx jiných xxxx, xxxxx se xxxxxxxx na xxxxxxx, xxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xxxxxx zapojení xxxxxxxxxx xx xxxxxxx, provozu xxxx zajištění xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxxxxx, xxxxx xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a d) xxxxxx u xxxxxxxxxx xxxxxxxxx x xxxxxxxx 1 dále
a) xxxx xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxx přílohy č. 2 k xxxx xxxxxxxx, která xxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx smlouvu x xxxxxx xxxxxx, xxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx za xxxxxxxx a xxxxxxxx xxxxxxxxxxxxxx opatření, x
x) xxxxxxx pravidelné xxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx u poskytovaných xxxxxx a xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxx xx dohodě s xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxx.
§8
Řízení xxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx v xxxxx xxxxxx aktiv
a) identifikuje x xxxxxxx xxxxxxxx xxxxxx,
x) xxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xx primární xxxxxx, x
x) xxxxxxx xxxxxxxxxx primárních aktiv x xxxxxxxx důvěrnosti, xxxxxxxxx a xxxxxxxxxxx x xxxxxx xx xx xxxxxxxxxxxx úrovní xxxxxxxxx x xxxxxxx xxxxx přílohy č. 1 k xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx xxxxxxxxxxx primárních xxxxx xx xxxxx xxxxxxxxx posoudit
a) xxxxxx x xxxxxxxxxx osobních xxxxx xxxx xxxxxxxxxx xxxxxxxxx,
x) rozsah xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx vnitřních xxxxxxxx x kontrolních xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, obchodních xxxx xxxxxxxxxxxx xxxxx,
x) xxxxx finanční ztráty,
f) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx orgánu x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona,
g) xxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x
x) xxxxxx na xxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx xxxxx xxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxx,
x) určí xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx za xxxxxxxx xxxxxx, x
x) xxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.
(4) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxx
x) xxxxxxx pravidla xxxxxxx, xxxxx pro xxxxxxxxxxx jednotlivých úrovní xxxxx xxx, že
1. xxxx způsoby xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxx xxxxxxxx pro xxxxxxxxxx a xxxxxxxx x aktivy podle xxxxxx xxxxx, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx sdílení x xxxxxxx přenášení xxxxx x
3. stanoví xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx,
x) xxxxxx pravidla xxxxxxx xxxxxxxxxxxx úrovni aktiv x
x) xxxx xxxxxxx xxx xxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx dat s xxxxxxx na úroveň xxxxx.
§9
Xxxxxxxxxx xxxxxxxx xxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) až x) xxxxxx x xxxxx xxxxxx xxxxxxxxxxx xxxxxxxx zdrojů
a) xxxxxxx xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx obsahuje xxxxx, obsah x xxxxxx xxxxxxxxxx školení x určí xxxxx xxxxxxxxxxx realizaci jednotlivých xxxxxxxx, které xxxx x plánu xxxxxxx,
x) x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx poučení xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx bezpečnostní xxxx x xxxxxx xxxxxxxxxxxx a x xxxxxxxxxxxx politice formou xxxxxxxxx x pravidelných xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx strany xxxxxxxxx, xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx role x
x) zajistí xxxxxxx xxxxxxxxx aktiv x xxxxxxxx přístupových xxxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxx, xxxxxxxxxxxxxx nebo osobami xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx vede x xxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxx, které xxxxxxx xxxxxxxxxxx.
(3) Orgán a xxxxx xxxxxxx v §3 písm. x) x x) xxxxxx xxxx
x) stanoví xxxxxxxx xxx xxxxxx xxxx, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx xxxx, xxxx xxxxxxxxxxxxxx xxxx uživatelů,
b) xxxxxxx xxxxxxxx plánu xxxxxxx bezpečnostního povědomí, xxxxxxxxxxx školení a xxxxxxx xxxxxxxx spojených x xxxxxxxxxxxxx bezpečnostního xxxxxxxx,
x) xxxx xxxxxxxx x postupy pro xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) xxxxxxx změnu xxxxxxxxxxxx xxxxxxxxx při xxxxx xxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx bezpečnostní xxxx.
§10
Xxxxxx xxxxxxx x xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 písm. c) xx e) xxxxxx x rámci xxxxxx xxxxxxx a xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx v §21 xx 23 xxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxx a na xxxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxx x §13.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxx řízení xxxxxxx a komunikací xxxx xxxxxxxxx bezpečný xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx informačního systému. Xx xxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxx x postupy.
(3) Xxxxxxxx xxxxxxxx a xxxxxxx xxxxxx a xxxxx xxxxxxx v §3 xxxx. c) x x) xxxxxx xxxxxxxx
x) xxxxx x povinnosti xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, administrátorů x xxxxxxxxx,
x) postupy xxx xxxxxxxx x xxxxxxxx xxxxx xxxxxxx, pro xxxxxxx xxxx xxxxxxxx xxxxx systému xx xxxxxxx a xxx xxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x pro ochranu xxxxxxxx k xxxxxxxx x těchto xxxxxxxxxx,
x) xxxxxxx na kontaktní xxxxx, xxxxx xxxx xxxxxx xxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxx technických xxxxxx,
x) postupy xxxxxx x xxxxxxxxxxx provozních xxxx a
f) xxxxxxx xxx sledování, xxxxxxxxx x xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxx.
(4) Řízení provozu xxxxxx a osoby xxxxxxx x §3 xxxx. c) až x) xxxxxx spočívá x xxxxxxxxx pravidelného xxxxxxxxxx a prověřování xxxxxxxxxxxxx xxxxxxxxxxx xxxxx.
(5) Xxxxxx xxxxxxx orgánu x osoby uvedené x §3 písm. x) x x) xxxxxx xxxxxxx v
a) xxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx Úřadem xxx, xx xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx
1. posoudí xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xx informační systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, vyhodnotí xxxxx xxxxxxxxx účinky x xxx zbytečného xxxxxxx xx oznámí Xxxxx a
2. xxxxxxx xxxxxx rychlého xxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxxxxxx možné negativní xxxxxx, x xxxx xxxxxx xxxx xxxx xxxxxxxxx.
(6) Orgán x xxxxx uvedená v §3 písm. x) x x) xxxxxx x xxxxx xxxxxx xxxxxxxxxx
x) xxxxxxxxx xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx xxxx x xxxxxxxxxx xxxxxxxxxxxxx služeb xxxxx §17,
x) xxxx pravidla x postupy xxx xxxxxxx informací, xxxxx xxxx přenášeny xxxxxxxxxxxxx xxxxxx,
x) provádí xxxxxx x xxxxxxxxx informací xx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx předpisy xx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx informací x xxxx xxxxxxxx xxxxxxxxxxx x
x) x xxxxxxx xx xxxxxxxxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx informací xx xxxxxxx xxxxxxxxx xxxxx, xxxxxxx xxxxxxxx je xxxxxxxxxx x bezpečnosti xxxxxxxxx.
§11
Xxxxxx xxxxxxxx x xxxxxxxx chování xxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) až x) xxxxxx na xxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významnému xxxxxxxxxxxx xxxxxxx x přidělí xxxxxxx uživateli jednoznačný xxxxxxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx xxxxxx xxxxxxxx, která xxxxxx x zajištění xxxxxxx údajů, xxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx informačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx systému xxxxx §18 x 19, x xxxxx xxxxx ve xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx xxxx x rámci xxxxxx xxxxxxxx
x) xxxxxxx xxxxxxxxxxxxx aplikacím xxxxxxxxxx xxxxxxxxxxxxx,
x) omezí xxxxxxxxxxx xxxxxxxxxxxxxxxxxx oprávnění,
c) xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx x souladu x xxxxxxxxx xxxxxx xxxxxxxx,
x) provádí xxxxxxxxxx xxxxxxxxxxx nastavení xxxxxxxxxxxx xxxxxxxxx xxxxxx rozdělení xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx skupinách xxxx xxxxxx,
x) využívá nástroj xxx xxxxxxxxx identity xxxxxxxxx xxxxx §18 x xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §19 x
x) xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxx mobilních zařízení, xxxxxxxx x bezpečnostní xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx zařízení, xxxxxxx xxxxx a xxxxx xxxxxxx v §3 xxxx. c) x d) xxxxxx xxxxxxxxxxx.
§12
Xxxxxxxx, xxxxx x xxxxxx
(1) Xxxxx a xxxxx xxxxxxx v §3 písm. x) xx e) zákona xxxxxxx xxxxxxxxxxxx xxxxxxxxx xx změny xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační infrastruktury xxxx xxxxxxxxxx informačního xxxxxxx xxxxxxx x xxxxxx akvizicí, xxxxxxx x xxxxxxx x xxxxxx je xx xxxxxxxx akvizice, vývoje x xxxxxx systému.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxx
x) xxxxxxxxxxxx, xxxxxxx x xxxx rizika xxxxxxxxxxx x xxxxxxxx, xxxxxxx x údržbou xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx; xxx xxxxxxx xxxxxxxxx a xxxxxx xxxxx xx xxxxxxxx xxxxx §4 odst. 1 xxxx. a) xxxxxxx obdobně,
b) zajistí xxxxxxxxxx xxxxxxxxxx prostředí x zajistí xxxxxxx xxxxxxxxxxx xxxxxxxxxxx dat x
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx změn xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx jejich xxxxxxxxx do xxxxxxx.
§13
Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx xxx zvládání xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx, která zajistí xxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx ze xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx zastávajících xxxxxxxxxxxx xxxx x o xxxxxxxxxx xxxx záznamy,
b) xxxxxxxx prostředí pro xxxxxxxxxxx oznámených kybernetických xxxxxxxxxxxxxx událostí x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx §21 xx 23, xxxxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx,
x) xxxxxxx klasifikaci kybernetických xxxxxxxxxxxxxx incidentů, xxxxxxx xxxxxxxx pro xxxxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle §32 a xxxxxxx xxxx xxxxxxxxxxx podkladů xxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx,
x) xxxxxxxx x xxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx, xxxxxxxxx xxxxxxxx xxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx x xx xxxxxxx vyhodnocení xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx x zamezení xxxxxxxxx xxxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
§14
Xxxxxx xxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona x xxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxxx
x) xxxxx x xxxxxxxxxx xxxxxxx xxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxx řízení xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. minimální xxxxxx xxxxxxxxxxxxx xxxxxx, xxxxx xx přijatelná xxx xxxxxxx, xxxxxx a xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
2. xxxx xxxxxxxx chodu, xxxxx xxxxx bude xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx minimální xxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx, a
3. xxxx xxxxxxxx xxx xxxx xxxxxxx, xx xxxxxxx xxxxx obnovena xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx, x
x) xxxxxxxxx řízení xxxxxxxxxx xxxxxxxx, která xxxxxxxx xxxxxxxx cílů xxxxx xxxxxxx x).
(2) Orgán x osoba xxxxxxx x §3 xxxx. x) a d) xxxxxx xxxx
x) xxxxxxxxx x dokumentuje xxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx x posoudí xxxxx xxxxxx související x ohrožením xxxxxxxxxx xxxxxxxx,
x) xxxxxxx, xxxxxxxxxxx x pravidelně xxxxxxx xxxxx kontinuity xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) realizuje xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx pro xxxxxxxxxxx xxxxxx dostupnosti xxxxx §26 a
d) stanoví x xxxxxxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx xxxxx §13 x 14 xxxxxx, xx xxxxxxx xxxxxxxx
1. výsledky hodnocení xxxxx xxxxxxxxx xxxxxxxx,
2. xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
3. vyhodnocení xxxxxxxxxx xxxxxxxxxxx dopadů xx xxxxxx x xxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§15
Xxxxxxxx a xxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významných xxxxxxxxxxxx xxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx e) zákona x xxxxx kontroly x xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx informačních xxxxxxx (xxxx jen "audit xxxxxxxxxxxx xxxxxxxxxxx")
x) posuzuje xxxxxx bezpečnostních opatření x xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx a smluvními xxxxxxx xxxxxxxxxxxx xx x informačnímu systému xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému x určí opatření xxx xxxx xxxxxxxxxxx x
x) provádí a xxxxxxxxxxx xxxxxxxxxx kontroly xxxxxxxxxx bezpečnostní xxxxxxxx x výsledky těchto xxxxxxx xxxxxxxx v xxxxx xxxxxxx bezpečnostního xxxxxxxx a xxxxx xxxxxxxx rizik.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx xxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti xxxxxx x odbornou xxxxxxxxxxx xxxxx §6 xxxx. 6, xxxxx xxxxxxx xxxxxxxxx x xxxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) zákona xxxx xxx informační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x komunikační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx prostředků xxxxxx xxxxxxxxxxxxxxxx nástrojů x xxxxxx xxxxxxx xxxxxxxxxxx x reaguje xx zjištěné xxxxxxxxxxxxx.
XXXXX XX
XXXXXXXXX OPATŘENÍ
§16
Fyzická xxxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 písm. x) xx x) zákona x xxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxx nezbytná xxxxxxxx k xxxxxxxx xxxxxxxxxxxxx vstupu xx xxxxxxxxxx xxxxxxx, xxx xxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx informačního systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx nezbytná xxxxxxxx x xxxxxxxx poškození x zásahům xx xxxxxxxxxx xxxxxxx, xxx xxxx xxxxxxxx informace x xxxxxxxx technická xxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního systému, x
x) předchází xxxxxxxxx, xxxxxxx xxxx zneužití xxxxx xxxx xxxxxxxxx xxxxxxxxxxx služeb xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx.
(2) Orgán a xxxxx xxxxxxx v §3 písm. c) x x) xxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) pro xxxxxxxxx xxxxxxx xx xxxxxx xxxxxxx a
b) xxx zajištění xxxxxxx x rámci xxxxxxx xxxxxxxxxx xxxxxxx bezpečnosti xxxxxxxxxx xxxxxxx, ve xxxxxxx jsou umístěna xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.
(3) Xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxx
x) xxxxxxxxxx zábranné xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx zabezpečovací xxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxx požárů,
d) xxxxxxxxxx xxxxxxxxx xxxxxxxx projevů xxxxxxxxx xxxxxxxx,
x) systémy xxx xxxxxxxx xxxxxx,
x) xxxxxxxx systémy,
g) zařízení xxx xxxxxxxxx xxxxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx napájení x
x) xxxxxxxx xxx zajištění xxxxxxxxxxx provozních xxxxxxxx.
§17
Xxxxxxx xxx ochranu xxxxxxxxx xxxxxxxxxxxxx xxxx
(1) Xxxxx a xxxxx xxxxxxx v §3 xxxx. c) až x) xxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxx xxxxxx komunikační xxxx, xxxxx xxxx pod xxxxxxx xxxxxx nebo xxxxx, x vnitřní xxxxxxxxxxx sítě, xxxxx xx xxx správou xxxxxx nebo osoby, xxxxxx
x) xxxxxx xxxxxxxxxx xxxxxxxx mezi xxxxxx x vnitřní xxxx,
x) xxxxxxxxxx zejména xxxxxxxx xxxxxxxxxxxxxxxxxx xxx xxxx xxxxxxxxxxx typu sítě xxxxxxxxxxx xx zvýšení xxxxxxxxxxx aplikací xxxxxxxxxx x xxxxxx xxxx x x zamezení xxxxx xxxxxxxxxx xxxxxxx xxxx x vnější xxxx,
x) xxxxxxxxxxxxxx xxxxxxxxxx (§25) xxx xxxxxxxx xxxxxxx, xxxxxxxxx správu xxxx pro přístup xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxxxx pro xxxxxxxxxx xxxx blokování xxxxxxxxxxx dat, xxxxx xxxxxxxxxxxx xxxxxxxxxx xx xxxxxxx xxxxxxxxx komunikační xxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 písm. c) x x) zákona xxxx xxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxx komunikační sítě, xxxxx xxxxxxx její xxxxxxxxxx.
§18
Nástroj xxx xxxxxxxxx xxxxxxxx uživatelů
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx x administrátorů xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx xxxx zahájením xxxxxx xxxxxxx x informačním xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačním systému xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxx xxxxxxxxxxx xxxxxxx.
(3) Xxxxxxx pro xxxxxxxxx xxxxxxxx uživatelů, xxxxx xxxxxxx xxxxxxxxxxx xxxxx heslem, xxxxxxxxx
x) xxxxxxxxx xxxxx xxxxx xxx xxxxx,
x) xxxxxxxxx xxxxxxxxx xxxxx tak, xx xxxxx bude xxxxxxxxx xxxxxxx 3 x následujících xxxx xxxxxxxxx
1. nejméně xxxxx xxxxx písmeno,
2. xxxxxxx xxxxx xxxx písmeno,
3. xxxxxxx xxxxx xxxxxxx, xxxx
4. nejméně jeden xxxxxxxxx znak odlišný xx xxxxxxxxx xxxxxxxxx x xxxxxx 1 xx 3,
c) maximální xxxx xxx povinnou xxxxxx hesla xxxxxxxxxxxxx xxx xxx; xxxxx xxxxxxxxx není vyžadován xxx samostatné identifikátory xxxxxxxx.
(4) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x x) zákona xxxx
x) xxxxxxx xxxxxxx xxx ověření identity, xxxxx
1. xxxxxx opětovnému xxxxxxxxx dříve xxxxxxxxxxx xxxxx x xxxxxxxx xxxx xxxx xxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx období, xxxxx xxxx xxx xxxxxxx 24 hodin, x
2. xxxxxxx xxxxxxxx ověření xxxxxxxx po určené xxxx nečinnosti a
b) xxxxxxx nástroj pro xxxxxxxxx identity xxxxxxxxxxxxxx. X případě, xx xxxxx xxxxxxx xxxxxxx xxxxxxxxxxx heslem, xxxxxxx xxxxxxxxx minimální xxxxx xxxxx xxxxxxx znaků xxx dodržení xxxxxxxxx xxxxx odstavce 3 xxxx. b) a x).
(5) Nástroj xxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxx xxx xxxxxxxx x xxxxxx xxxxxxx, xxx jaké xxxx xxxxxxxxx v xxxxxxxxxx 3 xx 5, xxxxx xxxxx x xxxxx xxxxxxx v §3 písm. x) xx x) xxxxxx xxxxxxxxx, že xxxxxxx xxxxxxxx xxxxxxxxxxx stejnou xxxx xxxxx úroveň xxxxxxxxx xxxxx.
§19
Xxxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 písm. x) až x) xxxxxx xxxxxxx xxxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxx, xxxxxx zajistí xxxxxx xxxxxxxxx
x) xxx xxxxxxx x jednotlivým xxxxxxxxx a xxxxx x
x) xxx čtení xxx, xxx zápis xxx a pro xxxxx oprávnění.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx používá xxxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxx, který xxxxxxxxxxx xxxxxxx přístupových xxxxxxxxx x xxxxxxx x xxxxxxxxxxxxxx potřebami x xxxxxxxx hodnocení xxxxx.
§20
Xxxxxxx xxx xxxxxxx xxxx škodlivým kódem
Orgán x xxxxx xxxxxxx x §3 písm. x) až e) xxxxxx xxx xxxxxx xxxxx spojených x xxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxx xxx xxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx, xxxxx zajistí xxxxxxx x xxxxxx kontrolu
a) xxxxxxxxxx xxxx vnitřní xxxx x xxxxxx xxxx,
x) xxxxxxx x xxxxxxxxx datových xxxxxxx x
x) xxxxxxxxxx xxxxxx,
xxxxxxx xxxxxxx pravidelnou a xxxxxxx aktualizaci xxxxxxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxx, xxxx xxxxxxx x xxxxxxxx.
§21
Xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxxxxx xxxxxxx xxx zaznamenávání xxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému, xxxxx zajistí
a) xxxx xxxxxxxxx o provozních x xxxxxxxxxxxxxx činnostech, xxxxxxx typ xxxxxxxx, xxxxx x čas, xxxxxxxxxxxx technického aktiva, xxxxx xxxxxxx xxxxxxxxxxx, xxxxxxxxxxxx původce x xxxxx xxxxxxxx x xxxxxxxxx nebo neúspěšnost xxxxxxxx a
b) ochranu xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxx xxxxxx nebo xxxxxx.
(2) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxx xxxxxx xxxxxxxx xxx zaznamenávání xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a významného xxxxxxxxxxxx systému xxxxxxxxxxx
x) xxxxxxxxxx x xxxxxxxxx xxxxxxxxx x administrátorů,
b) xxxxxxxx provedené administrátory,
c) xxxxxxxx xxxxxxx xx xxxxx přístupových xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x další xxxxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxx xxxx xxxxxxx xxxxxxx technických xxxxx,
x) xxxxxxxx k záznamům x činnostech, pokusy x xxxxxxxxxx xx xxxxxxx x xxxxxxxxxx x změny nastavení xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx x
x) použití xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxx xxxxxx změny xxxxx, které xxxxxx x přihlášení.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx podle xxxxxxxx 2 xxxxxxxx nejméně xx xxxx 3 xxxxxx.
(4) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx e) xxxxxx xxxxxxxxx xxxxxxx xxxxxx xx 24 hodin xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx technických xxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného informačního xxxxxxx.
§22
Xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) až x) xxxxxx používá xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx xx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx x xxxxx xxxxxxx xxxxxxx, kontrolu x xxxxxxxx zablokování xxxxxxxxxx mezi vnitřní xxxxxxxxxxx xxxx x xxxxxx sítí.
(2) Orgán x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx dále xxxxxxx xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxxxx xxxxxxx xxxxxxx, xxxxxxxx x xxxxxxxx xxxxxxxxxxx komunikace
a) v xxxxx xxxxxxx xxxxxxxxxxx xxxx x
x) xxxxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.
§23
Nástroj pro sběr x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Orgán x osoba uvedená x §3 xxxx. x) x d) xxxxxx xxxxxxx xxxxxxx xxx sběr x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxxxx x souladu x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx
x) integrovaný xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury a xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikačním xxxxxxx krit x xxxxxxxxxx infrastruktury x
x) xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, včetně xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxx.
(2) Orgán x osoba uvedená x §3 písm. x) x x) xxxxxx xxxx xxxxxxx
x) xxxxxxxxxxx xxxxxxxxxxx nastavení xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxx varování, xxx byly xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx nebo xxxxxxx xxxxxxxxx xxxxxxxx, x
x) xxxxxxxxx informací, xxxxx xxxx xxxxxxxxxx xxxxxxxxx xxx sběr x xxxxxxxxxxx kybernetických bezpečnostních xxxxxxxx, xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§24
Xxxxxxxxx xxxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 písm. x) až x) xxxxxx provádí xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx aplikací, xxxxx xxxx xxxxxxxxx x xxxxxx xxxx, x xx před xxxxxx xxxxxxxx xx xxxxxxx a po xxxxx zásadní xxxxx xxxxxxxxxxxxxx mechanismů.
(2) Orgán x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx xxxx x xxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx
x) xxxxxxxx x informací xxxxxxxxxx z vnější xxxx xxxx neoprávněnou xxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxx, kompromitací nebo xxxxxxxxxxxxxxx změnou x
x) xxxxxxxxx xxxx xxxxxx xxxxxxxxxxxx, xxxxxxxxxx směrováním, xxxxxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx obsahu, xxxxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxx.
§25
Xxxxxxxxxxxxxx xxxxxxxxxx
(1) Xxxxx x osoba uvedená x §3 xxxx. x) xx x) xxxxxx
x) pro xxxxxxxxx xxxxxxxxxxxxxx ochrany stanoví
1. xxxxxx xxxxxxx s xxxxxxx xx xxx x xxxx kryptografického xxxxxxxxx a
2. xxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx xxx přenosu xx xxxxxxxxxxxxx xxxxxx xxxx xxx xxxxxxx na xxxxxxx xxxxxxxx nebo xxxxxxxxxxx xxxxxxxxx xxxxxx xxx x
x) v xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x výsledky xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, které xxxxxxx xxxxxxx xxxxxxxxxx x integrity xxxxxxxxxxx xxxx xxxxxxxxxx xxx x xxxxxxxxx xxxxxxxxxxxx xxxxx xx xxxxxxxxx xxxxxxxx.
(2) Orgán x xxxxx uvedená v §3 písm. x) x x) xxxxxx xxxx
x) xxxxxxx pro xxxxxxxxx kryptografických xxxxxxxxxx xxxxxx xxxxxx klíčů, xxxxx zajistí xxxxxxxxxx, xxxxxxxxxx, ukládání, xxxxxxxxx, xxxxx, xxxxxx, xxxxxxxx x xxxxx xxxxx, x
x) xxxxxxx xxxxxx xxxxxxxxxxxxxx algoritmy a xxxxxxxxxxxxxx klíče; x xxxxxxx xxxxxxxxx s xxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxxx uvedenými x příloze č. 3 x xxxx xxxxxxxx xxxx xxxxxx spojená x xxxxx xxxxxxxxxx.
§26
Xxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx v xxxxxxx x bezpečnostními potřebami x xxxxxxxx hodnocení xxxxx používá xxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxxxxxx xxxxxxx xxx zajišťování xxxxxx xxxxxxxxxxx xxxxxxxxx, který xxxxxxx
x) dostupnost xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxx xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x komunikačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx vůči kybernetickým xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx xxxxx snížit xxxxxxxxxx, x
x) xxxxxxxxxx xxxxxxxxxx technických xxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx
1. xxxxxxxx xxxxxxxxxx x návrhu xxxxxx a
2. zajištěním xxxxxxxxxx xxxxxxxxxxx aktiv x určeném xxxx.
§27
Bezpečnost průmyslových a xxxxxxxx xxxxxxx
Xxxxx a xxxxx uvedená x §3 xxxx. c) x x) xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx, xxxxx xxxx informačním xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxxx xxxx xxxxxx součástí, používá xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx xxxxxxxxx xxxxxxxx x xxxx a xxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx,
x) omezení xxxxxxxxx a vzdáleného xxxxxxxx x xxxx xxxxxxxxxxxx a řídicích xxxxxxx,
x) ochranu xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx xxxx využitím xxxxxxx xxxxxxxxxxxxx x
x) obnovení xxxxx průmyslových a xxxxxxxx systémů xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
XXXXX XXX
XXXXXXXXXXXX XXXXXXXXXXX
§28
Xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx x xxxxxxxxxxx xxxxxxxxxxxx dokumentaci, která xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxx xxxxx §5 xxxx. 1,
x) zprávy x xxxxxx kybernetické xxxxxxxxxxx xxxxx §3 odst. 1 písm. x),
x) xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx §3 xxxx. 1 xxxx. x),
x) xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxx xxxxx a pro xxxxxxxxxxxx a hodnocení xxxxx,
x) xxxxxx x xxxxxxxxx aktiv a xxxxx,
x) prohlášení x xxxxxxxxxxxxxxxx,
x) plán zvládání xxxxx,
x) xxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 odst. 1 xxxx. x),
x) zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. x),
x) xxxxxxxxx xxxxxx xxxxxxxxxx činností xxxxx §14 xxxx. 1 xxxx. x) x
x) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx a xxxxxxxxx závazků xxxxx §15 xxxx. 1 xxxx. x).
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxx x aktualizuje bezpečnostní xxxxxxxxxxx, xxxxx xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxx xxxxx §5 xxxx. 2,
x) xxxxxxxx xxx identifikaci x xxxxxxxxx aktiv x xxx xxxxxxxxxxxx x hodnocení rizik xxxxx §4 xxxx. 2 xxxx. a),
c) xxxxxx o hodnocení xxxxx a rizik xxxxx §4 odst. 2 písm. x) x x),
x) xxxxxxxxxx x xxxxxxxxxxxxxxxx xxxxx §4 xxxx. 2 xxxx. x),
x) plán xxxxxxxx rizik xxxxx §4 xxxx. 2 xxxx. x),
x) xxxx xxxxxxx xxxxxxxxxxxxxx povědomí xxxxx §9 xxxx. 1 písm. a),
g) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. e),
h) strategii xxxxxx kontinuity xxxxxxxx xxxxx §14 xxxx. 1 xxxx. c) x
x) přehled xxxxxxxx xxxxxxxx, vnitřních předpisů x xxxxxx předpisů x xxxxxxxxx závazků xxxxx §15 odst. 1 xxxx. a).
(3) Xxxxx x osoba xxxxxxx x §3 xxxx. c) až x) xxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx xxx, xxx xxxxxxx o xxxxxxxxxxx xxxxxxxxxx xxxx xxxxx, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx x aby xx daly xxxxxx xxxxxxxx. Xxxxxxxx potřebná x xxxxxxxxxxxx, xxxxxxx, xxxxxxx, xxxxxxxxx, xxxx xxxxxxxxx x xxxxxxxxxx xxxxxxx o xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx.
(4) Doporučená xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx stanovena v příloze č. 4 k xxxx xxxxxxxx.
§29
Prokázání xxxxxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona, xxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury nebo xxxxxxxx xxxxxxxxxx systém xx xxxxx xxxxxxx xx xxxxxxx systému xxxxxx xxxxxxxxxxx informací, xxxxx xxx xxxxxxxxxxxx xxxxx xxxxxxxxx technické xxxxx1) xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx, a xxxxx xxxx xxxxxxxxx xxxxxxxxxx
x) xxxxx rozsahu xxxxxxx xxxxxx bezpečnosti informací,
b) xxxxxxxxxx xxxxxxxx x xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxx metody xxxxxxxxx xxxxx x zprávu x xxxxxxxxx xxxxx,
x) xxxxxxxxxx x xxxxxxxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx příslušné technické xxxxx xxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxx1),
x) záznam x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx x xxxxxxx přezkoumání x
x) zprávu z xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx o xxxxxxx xxxxxxxxxx neshod s xxxxxxxxxx xxxxxx,
xxxxxxx xxxxxxxxx xx xxxxxxxx bezpečnostních xxxxxxxx xxxxx xxxxxx x této xxxxxxxx.
ČÁST XXXXX
XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX
§30
Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx příčiny xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx rozděleny do xxxxxxxxxxxxx xxxx
x) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx událostí xxxxxxx x xxxxxxx xx xxxxxxx xxxx k xxxxxxx xxxxxxxxxxx služeb,
b) xxxxxxxxxxxx bezpečnostní incident xxxxxxxxx škodlivým xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxx technických xxxxxxxx,
x) kybernetický xxxxxxxxxxxx xxxxxxxx způsobený porušením xxxxxxxxxxxxx xxxxxxxx,
x) kybernetický xxxxxxxxxxxx xxxxxxxx spojený x projevem xxxxxx xxxxxxxxxx xxxxxx x
x) xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx xxxxxxxxx kybernetickým xxxxxx.
(2) Xxxxx xxxxxx xxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx xxxx
x) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx důvěrnosti aktiv,
b) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx narušení xxxxxxxxx xxxxx,
x) kybernetický bezpečnostní xxxxxxxx xxxxxxxxxxx narušení xxxxxxxxxxx xxxxx, xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx v písmenech x) až x).
§31
Kategorie xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx podle xxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx kterém xx přímo x xxxxxxxx xxxxxxxx bezpečnost xxxxxxxxxxxxx služeb xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx zásahy xxxxxxx x xxx, xx musí být xxxxx dostupnými prostředky xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx škod.
b) Xxxxxxxxx XX - xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx narušena bezpečnost xxxxxxxxxxxxx xxxxxx nebo xxxxx. Jeho xxxxxx xxxxxxxx xxxxxxxxxx zásahy xxxxxxx x xxx, xx xxxx xxx xxxxxxxx xxxxxxxxxx zabráněno xxxxxxx šíření xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx škod.
c) Kategorie X - méně xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xxxxxxx x méně xxxxxxxxxx narušení xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho xxxxxx xxxxxxxx xxxxxx xxxxxxx x xxx, že xxxx xxx vhodnými xxxxxxxxxx xxxxxxx další xxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace xxxxxxxxx xxxx.
(2) Xxxxx x osoba xxxxxxx x §3 písm. x) xx e) xxxxxx při xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx 1 zohlední
a) xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx,
x) xxxxxx na xxxxxxxxxxx služby xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx informační xxxxxxxxxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x
x) xxxxxxxxxxxxx xxxxx x xxxxx xxxxxx.
§32
Forma x náležitosti xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx
x) x xxxxxxxxxxxx xxxxxx prostřednictvím
1. xxxxxxxxxxxxxx xxxxxxxxx zveřejněného xx xxxxxxxxxxxxx stránkách Xxxxx,
2. xxxxxx na xxxxxx xxxxxxxxxxxx xxxxx Xxxxx xxxxxx pro xxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Úřadu,
3. xxxxxx xxxxxx xx xxxxxx schránky Xxxxx, xxxx
4. xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx, jehož xxxxx xx zveřejněn xx internetových xxxxxxxxx Xxxxx, xxxxx
x) v xxxxxxxx xxxxxx xx xxxxxx Xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti, zveřejněné xx internetových xxxxxxxxx Xxxxx.
(2) Xxxxxxx v xxxxxxxx podobě se xxxxxx xxxxx x xxxxxxxxx, xxx xxxxx xxxxxx xxxxx xx xxxxxxx uvedených v xxxxxxxx 1 xxxx. x).
(3) Náležitosti xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxx uvedeny v příloze č. 5 x této xxxxxxxx.
XXXX XXXXXX
XXXXXXXXX XXXXXXXX X XXXXXXXXX XXXXX
§33
Xxxxxxxxx xxxxxxxx
Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxx xxxxxxxxx reaktivního xxxxxxxx x jeho xxxxxxxx xx formuláři, xxxxx xxxx xx uveden x příloze č. 6 x xxxx vyhlášce.
§34
Kontaktní údaje
Orgán x xxxxx uvedená v §3 xxxxxx oznamuje xxxxxxxxx xxxxx xx xxxxxxxxx, xxxxx xxxx xx xxxxxx v příloze č. 7 k xxxx xxxxxxxx. Orgán x xxxxx uvedená v §3 xxxx. x) xx x) xxxxxx xxxxxxxx kontaktní xxxxx xxxxxx xxxxxxxx x §32 xxxx. 1 xxxx. a).
ČÁST XXXX
XXXXXXXX
§35
Xxxx xxxxxxxx xxxxxx xxxxxxxxx xxxx 1. ledna 2015.
Ředitel:
Ing. Xxxxxxxx v. x.
Příloha č. 1 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxxx a xxxxxx xxxxxxxxxxx xxxxx
Xxx xxxxxxxxx xxxxxxxxxxx aktiv xxxx xxxxxxx xxxxxxxx x čtyřech xxxxxxxx. Xxxxx xxxx osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxx xxxxxxxx odlišný xxxxx xxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxx xxxx xx uveden x xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx xx xxxxxxxxxx xxxxxxxx hodnocení důležitosti xxxxx x xxxxxxxxxx x úrovněmi pro xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx xxxx xxxxxxx x této xxxxxxx.
X xxxxxxx použití xxx xxxxxx hodnocení důležitosti xxxxx je xxxxxxxxx xxxxxxx xxx xxxxxx xxxxx x střední, xxxx xxxxxx xxxxxx x xxxxxxxx.
Xxxxxxxx pro xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxx jsou xxxxxxx xxxxxxxxx xxxx xxxx xxxxxx ke xxxxxxxxxx (xxxx. na xxxxxxx zákona č. 106/1999 Sb., x svobodném xxxxxxxx x xxxxxxxxxx, xx xxxxx xxxxxxxxxx předpisů). Xxxxxxxx xxxxxxxxxx aktiv xxxxxxxxxx xxxxxxxxx zájmy xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxxxx xxxxxxx přístupná x xxxxx know-how xxxxxx x osoby xxxxxxx x §3 xxxx. x) xx e) xxxxxx, xxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxx předpisem nebo xxxxxxxx ujednáním. |
Pro ochranu xxxxxxxxxx jsou využívány xxxxxxxxxx xxx řízení xxxxxxxx. |
|
Xxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx x xxxxxx xxxxxxx je xxxxxxxxxx xxxxxxxx xxxxxxxx, jinými xxxxxxxx nebo xxxxxxxxx xxxxxxxxxx (např. obchodní xxxxxxxxx podle xxxxxx č. 89/2012 Sb., občanský xxxxxxx, xxxxxx xxxxx xxxxx xxxxxx č. 101/2000 Sb., x xxxxxxx xxxxxxxx xxxxx, xx xxxxx xxxxxxxxxx xxxxxxxx). |
Xxx xxxxxxx důvěrnosti xxxx využívány xxxxxxxxxx, xxxxx zajistí xxxxxx x zaznamenávání xxxxxxxx. Xxxxxxx informací xxxxxx xxxxxxxxxxx xxxx jsou xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx nejsou veřejně xxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxx xxx xxxxx předchozí xxxxxxxxx (např. xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxx xxxxx). |
Xxx xxxxxxx xxxxxxxxxx je požadována xxxxxxxx osob, xxxxx x xxxxxxx xxxxxxxxxxx, x xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xx strany xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx jsou xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx x hlediska xxxxxxxxx. Xxxxxxxx xxxxxxxxx aktiva xxxxxxxxxx xxxxxxxxx zájmy xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona. |
Není vyžadována xxxxx ochrana. |
|
Střední |
Aktivum xxxx xxxxxxxxx ochranu x xxxxxxxx integrity. Narušení xxxxxxxxx aktiva xxxx xxxx k poškození xxxxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 písm. c) xx x) zákona x může xx xxxxxxxx méně xxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx integrity xxxx xxxxxxxxx standardní xxxxxxxx (xxxx. omezení xxxxxxxxxxxx xxxx xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx vyžaduje xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity aktiva xxxx k xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx x osoby uvedené x §3 písm. x) až e) xxxxxx x podstatnými xxxxxx na xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxxxxx provedených xxxx a zaznamenat xxxxxxxx osoby provádějící xxxxx. Xxxxxxx integrity informací xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx prostředků. |
|
Kritická |
Aktivum vyžaduje xxxxxxx z xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxx x xxxxx xxxxxxx poškození oprávněných xxxxx xxxxxx x xxxxx uvedené x §3 xxxx. x) xx x) xxxxxx x přímými x xxxxx xxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx jsou xxxxxxxxx xxxxxxxxx prostředky xxxxxxxxxxx xxxxxxxxxxxx osoby xxxxxxxxxxx xxxxx (xxxx. xxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx). |
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xxxx xxxxxxxx x v xxxxxxx xxxxxxx xx xxxxx tolerováno xxxxx xxxxxx období xxx xxxxxxx (xxx xx 1 xxxxx). |
Xxx ochranu xxxxxxxxxxx je xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx xxxx pracovního xxx, xxxxxxxxxxxxx xxxxxxx xxxx x možnému xxxxxxxx xxxxx orgánu x osoby xxxxxxx x §3 písm. x) xx x) xxxxxx. |
Xxx xxxxxxx dostupnosti xxxx xxxxxxxxx běžné xxxxxx xxxxxxxxxx a xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx by xxxxxx xxxxxxxxx xxxx xxxxxxxx hodin. Xxxxxxxx xxxxxxx je xxxxx xxxxx neprodleně, xxxxxxx xxxx x xxxxxxx xxxxxxxx xxxxx xxxxxx x xxxxx uvedené x §3 xxxx. x) až x) xxxxxx. Xxxxxx jsou xxxxxxxxxx xxxx velmi xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx systémy x xxxxxx poskytování xxxxxx xxxx xxx xxxxxxxxx xxxxxx xxxxxxx xxxx xxxxxxx technických xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx přípustné x x krátkodobá xxxxxxxxxxxx (x xxxx několika xxxxx) xxxx x xxxxxxx ohrožení xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx. Aktiva xxxx xxxxxxxxxx xxxx xxxxxxxx. |
Xxx xxxxxxx dostupnosti xxxx xxxxxxxxx xxxxxxx systémy x obnova xxxxxxxxxxx xxxxxx xx xxxxxxxxxx x xxxxxxxxxxxxxx. |
Příloha č. 2 x vyhlášce x. 316/2014 Xx.
Xxxxxxxxx xxxxx
Xxxxxxxxx xxxxx je xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxx xxxxx, xxxxxx x zranitelnost.
Pro xxxxxxxxx xxxxx lze použít xxxxxxx xxxx funkci
riziko = xxxxx x xxxxxx x zranitelnost.
Jednoznačné xxxxxx xxxxxx xxx xxxxxx xxxxxx xx xxxxxxxxx xxxxxxxx metodiky xxx identifikaci x xxxxxxxxx xxxxxx
|
Xxxxxxxx pro xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxx xx x omezeném xxxxxxx xxxxxx x xxxxxx xxxxxxx x xxxxx xxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxx x) 10 xxxxxxxxx xxxx x xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx materiální xxxxxx xx 5 000 000 Xx anebo c) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx služeb xxxx xxxxxx závažného zásahu xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxxx 250 xxxx. |
|
Xxxxxxx |
Xxxxx je xxxxxxxxx xxxxxxx a x xxxxxxxx xxxxxxx xxxxxx. Xxxxxx xxxxxxxxxx xxxx xx xxxxxxxx x rozmezí a) xx 10 xxxxxxx xxxx od 11 xx 100 osob x xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx nebo xxxxxxxxxx ztráty xx 5&xxxx;000&xxxx;000 Xx xx 50&xxxx;000&xxxx;000 Xx anebo c) xxxxxxxxxxx xxxxx xx xxxxxxxxx s xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx jiného závažného xxxxxx do xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx od 251 xx 2&xxxx;500 xxxx. |
|
Xxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx, ale trvalý xxxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xx xxxxxxxx x xxxxxxx x) xx 11 xx 100 xxxxxxx xxxx xx 101 xx 1 000 xxxx x xxxxxxxxx xxxxxxxxxxxxx po xxxx xxxxx xxx 24 xxxxx nebo b) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xx 50 000 000 Xx xx 500&xxxx;000&xxxx;000 Xx anebo c) xxxxxxxxxxx xxxxx na veřejnost x xxxxxxxxx omezením xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xx 2&xxxx;501 xx 25&xxxx;000 osob. |
|
Kritický |
Dopad xx xxxxxx xxxxxxxx, xxxxxx x katastrofický. Rozsah xxxxxxxxxx škod se xxxxxxxx x xxxxxxx x) 10 x více xxxxxxx a 1 001 x xxxx xxxx x následnou xxxxxxxxxxxxx po xxxx xxxxx xxx 24 xxxxx nebo b) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxxxxxx 500&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx dopad xx veřejnost x xxxxxxxxx xxxxxxxx nezbytných xxxxxx nebo xxxxxx xxxxxxxxx xxxxxx do xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxx než 25 000 xxxx. |
|
Xxxxxxxx pro hodnocení xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx nebo xx xxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxx xxxxxxxx xxx xxxxxx xx 5 xxx. |
|
Xxxxxxx |
Xxxxxx je málo xxxxxxxxxxxxx až xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx hrozby xx x xxxxxxx xx 1 xxxx xx 5 xxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxxxxx až xxxxx pravděpodobná. Předpokládaná xxxxxxxxx xxxxxx xx x rozpětí od 1 xxxxxx do 1 roku. |
|
Kritická |
Hrozba xx xxxxx xxxxxxxxxxxxx až xxxxxxxx jistá. Xxxxxxxxxxxxx xxxxxxxxx hrozby xx xxxxxxxx xxx xxxxxx xx xxxxx. |
|
Xxxxxxxx pro xxxxxxxxx xxxxxxxxxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx neexistuje xxxx xx xxxxxxxx xxxxxxxxxxxxx málo pravděpodobné. Xxxxxxxx xxxxxxxx bezpečnostní xxxxxxxx, xxxxx jsou xxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxx nebo xxxxxxxx xxxxxx o xxxxxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxxxxxx xx xxxx pravděpodobná xx xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx opatření, xxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx. Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxx detekovat xxxxx xxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxx opatření je xxxxxxx. Xxxxxx xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx xx xxxxxxxxxxxxx xx xxxxx pravděpodobná. Xxxxxxxxxxxx opatření existují, xxx xxxxxx xxxxxxxx xxxxxxxxx všechny xxxxxxxx xxxxxxx x není xxxxxxxxxx xxxxxxxxxxxx. Xxxx xxxxx xxxxx úspěšné xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxxxxxx je xxxxx xxxxxxxxxxxxx xx xx xxxxxxxx xxxxx xxxxxxxx. Xxxxxxxxxxxx opatření xxxxxx xxxxxxxxxxx xxxxx xx xxxxxx xxxxxxxx xxxxxx xxxxxxx. Xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Jsou xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx pro xxxxxxxxx xxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx za xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx xxxxxxx xxxx náročnými xxxxxxxxxx xxxx v případě xxxxx xxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx dlouhodobě xxxxxxxxxxx x xxxx být xxxxxxxx xxxxxxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxxxxxxxx x xxxx být xxxxxxxxxx xxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
X xxxxxxx, xx xxxxx xxxx xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxxxx xxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx, xxxxx nerozlišuje xxxxxxxxx xxxxxx a xxxxxxxxxxxxx, je možné xxxxxxxx pro xxxxxxxxx xxxxxx a xxxxxxxxxxxxx xxxxxxx. Sloučení stupnic xx xxxxxx vést xx xxxxxx xxxxxxxxxx xxxxxxxxx míry hrozby x zranitelnosti. Xx xxxxx xxxxxx xxx xxxxxx xxxxxxxxx komentář, xxxxx xxxxxxxx xxxxxxx xxx xxxxxx xxxxxx, xxx i xxxxxx xxxxxxxxxxxxx. Obdobně xxxxxxxxx x xxxxx xxxx xxxxx xxxxxxx x §3 písm. c) xx e) zákona, xxxxx xxxxxxx jiný xxxxx úrovní xxx xxxxxxxxx xxxxxx, xxxxxx, xxxxxxxxxxxxx x xxxxx.
Xxxxxxx x. 3 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx požadavky xx kryptografické xxxxxxxxx
(1) Xxxxxxxxxx algoritmy
a) Blokové x proudové šifry xxx xxxxxxx xxxxxxxxxx x xxxxxxxxx
1. Xxxxxxxx Xxxxxxxxxx Xxxxxxxx (XXX) x xxxxxxxx xxxxx xxxxx 128, 192 x 256 xxxx Xxxxxx Xxxx Xxxxxxxxxx Xxxxxxxx (3DES) x xxxxxxxx xxxxx xxxxx 168 xxxx, xxxxxxx xxxxxxx xxx se xxxxxxxxx klíče menším xxx 10 XX, xxxxxxxx xxxxxxxxx xx XXX.
2. Triple Data Xxxxxxxxxx Standard (3XXX) x xxxxxxxx xxxxx xxxxx 112 xxxx, xxxxxxx použití xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX, postupně xxxxxxxxx xx AES. Doporučeno xxxxxxx xxxxxxxxxxx xxxxx xxx xxxxxx zprávu.
3. Xxxxxxxx s xxxxxxxx xxxxxxxxx xxxxx xxxxx 128 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx menším xxx 10 GB.
4. Xxxxxx s xxxxxxxx xxxxx xxxxx 128 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx než 10 XX.
5. Xxxxxxx x využitím xxxxx xxxxx 128 xx 256 xxxx.
6. Xxxxxxx x xxxxxxxx délky xxxxx 128, 192, 256 xxxx.
7. Camellia x využitím xxxxx xxxxx 128, 192 x 256 xxxx.
8. XXXX 2.0, XXXX 3X x xxxxxxxx xxxxx klíčů 128, 256 xxxx.
x) Xxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx
1. XXX,
2. XXX,
3. XXX,
4. Složená schémata xxxx "Encrypt-then-MAC".
Poznámka:
Schémata xxxx "Xxxxxxx-xxxx-XXX",xxxx xxxxxxxx x xxxxxxxxx xxxxx xxxxxxx xxxxxxxxx módy x x výpočtu MAC xxxxx xxxxxxx módy xxx xxxxxxx xxxxxxxxx.
x) Xxxx xxxxxxxxx
1. XXX,
2. XXX,
3. CBC,
4. CFB,
Poznámka:
Módy XXX a XXX xxxx xxx xxxxxxx x xxxxxxxx, pro xxxxxxxx xxxxxxxxxxxxxxxxxx inicializačním xxxxxxxx, při použití xxxx XXX xx xxx xxxx klíč xxxxx opakovat hodnota xxxxxxxxxxxxxxx vektoru, xxx xxxxxxx xxxx XXX xx xxx xxxx xxxx xxxxx xxxxxxxx xxxxxxx čítače, x xxxxxxx použití CBC xxxx x xxxxxxxxx xxx ochrany xxxxxxxxx xx xxxxx ověřit xxxxxxxx xxxxx xxxxx xx padding XXX xxxx.
x) Módy xxx xxxxxxx integrity
1. HMAC,
2. XXX-XXX-X9.19, xxxxxxx xxxxxxx xxx xx zatížením xxxxxx než 109 XXX,
3. XXX-XXX-XXXX,
4. CMAC.
(2) Xxxxxxxxxxx xxxxxxxxx
x) Pro xxxxxxxxxxx xxxxxxxxxxx xxxxxxx
1. Xxxxxxx Xxxxxxxxx Xxxxxxxxx (XXX) s xxxxxxxx xxxxx klíčů 2048 xxxx x více, xxxxx parametru xxxxxxxx xxxxxxxx 224 xxxx x více.
2. Xxxxxxxx Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxxxxx (XX-XXX) x xxxxxxxx délky xxxxx 224 xxxx a xxxx.
3. Xxxxxx-Xxxxxx-Xxxxxxx Xxxxxxxxxxxx Xxxxxxxxx Xxxxxx (XXX-XXX) x využitím délky xxxxx 2048 bitů x xxxx.
x) Xxx xxxxxxx dohod xx xxxxx a šifrování xxxxx
1. Xxxxxx-Xxxxxxx (XX) x xxxxxxxx délky xxxxx 2048 bitů x více, délky xxxxxxxxx xxxxxxx xxxxxxxx 224 xxxx x xxxx.
2. Elliptic Xxxxx Xxxxxx-Xxxxxxx (XXXX) s xxxxxxxx xxxxx klíčů 224 xxxx x xxxx.
3. Xxxxxxxx Xxxxx Xxxxxxxxxx Xxxxxxxxxx Xxxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (ECIES-KEM) x xxxxxxxx délky klíčů 256 xxxx x xxxx.
4. Xxxxxxxx Xxxxxx Xxxxxxxx Curve - Xxx Xxxxxxxxxxxxx Mechanism (XXXX-XXX) x xxxxxxxx xxxxx xxxxx 256 xxxx xxxx.
5. Asymetrie Xxxxxxx and Xxx Xxxxxxxxxxxxx Xxxxxxxxx (ACE-KEM) x xxxxxxxx xxxxx xxxxx 256 bitů x více.
6. Xxxxxx Xxxxxx Xxxxxxx - Xxxxxxx Xxxxxxxxx Encryption Xxxxxxx (XXX-XXXX) x xxxxxxxx délky xxxxx 2048 x více.
7. Xxxxxx Xxxxxx Adleman - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) s xxxxxxxx délky klíčů 2048 x více.
(3) Xxxxxxxxx xxxx xxxxxx
x) XXX-2
1. SHA-224,
2. XXX-256,
3. XXX-384,
4. XXX-512,
5. SHA-512/224,
6. XXX-512/256.
x) SHA-3
1. SHA3-224,
2. XXX3-256,
3. SHA3-384,
4. XXX3-512,
5. XXXXX-128,
6. XXXXX-256.
x) Xxxxxxx xxxxxxxx funkce
1. Xxxxxxxx,
2. XXXXXX-160,
3. XXX 1 x xxxxxxxx použitím.
Poznámka x. 1:
SHA-1 xx xxxxx xxxxxxxx xxx xxxxxxxxxx nových xxxxxxxxxxx xxxxxxx, xxxxxxxx xxxxxxx, xxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx XXX-1.
Xxxxxxxx x. 2:
XXX-1 xxx xxxxxxxx xxxxx xxx xxxxxxxxx již xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxx, xxxxxxxxxx x xxxxxxxxx HMAC-SHA1, xxxxxx xxx xxxxxxxxxx xxxxx x pseudonáhodné xxxxxxxxxx.
Xxxxxxx x. 4 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx bezpečnostní xxxxxxxxxxx
Xxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx, xxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxx závazné a xx xx orgánu xxxx osobě xxxxxxx x §3 xxxx. x) xx x) xxxxxx, xxxx přístup x tvorbě bezpečnostní xxxxxxxxxxx použije. Xxxxxxxxx xx x xxxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxx více xxxxx xx xxxxxxx xxxxxxxxx.
X. Xxxxxxxxx bezpečnostní xxxxxxxx
(1) Politika xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx*
[§5 xxxx. 1 písm. x), §5 odst. 2 písm. a)]
a) Xxxx, principy x xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx x xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxx xxxxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxx zdrojů a xxxxxxx systému xxxxxx xxxxxxxxxxx informací.
e) Xxxxxxxx x postupy pro xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx přezkoumání xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Pravidla a xxxxxxx pro xxxxxxxx xxxxxxxx a zlepšování xxxxxxx řízení bezpečnosti xxxxxxxxx.
(2) Xxxxxxxx organizační xxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxxxxxxxxx xxxx x xxxxxx xxxx x xxxxxxxxxx,
1. xxxxx a xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
2. xxxxx x povinnosti xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
3. xxxxx a xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
4. xxxxx x xxxxxxxxxx xxxxxxx aktiv,
5. xxxxx x xxxxxxxxxx výboru xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxx na xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx bezpečnostních rolí.
(3) Xxxxxxxx řízení xxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx a principy xxx xxxxx xxxxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx xxxxx xxxxxxxxxx.
x) Xxxxxxxxxxx xxxxxxx x úrovni xxxxxx x způsobů x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a x určení xxxxxxxx xxxxxxx odpovědnosti.
d) Pravidla xxx xxxxxxxxx kontroly xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx.
(4) Xxxxxxxx klasifikace xxxxx**
[§5 xxxx. 1 xxxx. d), §5 xxxx. 2 písm. x)]
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. určení x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. hodnocení xxxxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx.
x) Xxxxxxxxxxxx, hodnocení a xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x evidence xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx jejich xxxxxxx,
2. určení xxxxx xxxx primárními a xxxxxxxxxx aktivy.
c) Pravidla xxxxxxx jednotlivých xxxxxx xxxxx
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx xxx manipulaci x xxxxxxxx aktiv xxxxx xxxxxx xxxxx,
3. xxxxxxxxx způsoby xxxxxxxxx xxxxx.
x) Způsoby spolehlivého xxxxxxx nebo ničení xxxxxxxxxxx xxxxxx xxx.
(5) Xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx**
[§5 xxxx. 1 xxxx. e), §5 xxxx. 2 písm. x)]
x) Pravidla xxxxxxx xxxxxxxxxxxxxx povědomí x xxxxxxx jeho hodnocení
1. xxxxxxx x formy xxxxxxx uživatelů,
2. způsoby x xxxxx poučení xxxxxxx xxxxx,
3. xxxxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx x xxxxx xxxxxxx xxxxxxx xxxx zastávajících xxxxxxxxxxxx xxxx.
x) Bezpečnostní xxxxxxx xxxxxx xxxxxxxxxxx.
x) Pravidla xxx xxxxxx xxxxxxx xxxxxxxx bezpečnostní xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx pracovního xxxxxx xxxx xxxxx xxxxxxxx xxxxxx.
1. xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx xxxx při ukončení xxxxxxxxxx xxxxxx,
2. xxxxx xxxxxxxxxxxx oprávnění xxx xxxxx xxxxxxxx xxxxxx.
(6) Xxxxxxxx řízení provozu x xxxxxxxxxx**
[§5 odst. 1 xxxx. f), §5 xxxx. 2 xxxx. x)]
x) Pravomoci x xxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx provozu.
c) Xxxxxxxxx x xxxxxxxxx xxxxxxxxxx provozu.
d) Xxxxxx xxxxxxxxxxx zranitelností.
e) Xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx.
(7) Xxxxxxxx xxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Princip xxxxxxxxxxx xxxxxxxxx/xxxxxxx znát (xxxx xx know).
b) Požadavky xx xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxx xxxxxxxx.
x) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.
x) Řízení přístupu xxx xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx přístupových xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx.
(8) Xxxxxxxx xxxxxxxxxx xxxxxxx uživatelů*
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. h)]
a) Xxxxxxxx xxx bezpečné xxxxxxxxx x xxxxxx.
x) Xxxxxxxx xxxxxxx přístupového xxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx x xxxxxxxx na xxxxxxxx.
x) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx xxxxxxx na xxxxxxxxxx xxxxxx.
x) Bezpečnost xx vztahu x xxxxxxxx xxxxxxxxx.
(9) Politika xxxxxxxxxx x xxxxxx**
[§5 xxxx. 1 písm. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxxx xx xxxxxxxxxx x xxxxxx.
x) Pravidla x postupy zálohování.
c) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxx.
x) Pravidla x xxxxxxx testování xxxxxxxxxx a obnovy.
(10) Xxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla a xxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx.
x) Pravidla pro xxxxxxxxx xxxxxxxxxxxxxx ochrany.
(11) Xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx**
[§5 xxxx. 1 xxxx. k)]
a) Pravidla xxx xxxxxxx instalace xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx programových balíčků,
c) Xxxxxxxx a xxxxxxx xxxxxxxxx xxxxx programového xxxxxxxx,
x) Pravidla x xxxxxxx nasazení xxxxx xxxxxxxxxxxx vybavení.
(12) Politika xxxxxxxxxx používání xxxxxxxxx xxxxxxxx*
[§5 xxxx. 1 xxxx. 1)]
x) Xxxxxxxx x postupy xxx xxxxxxxx používání mobilních xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, kterými xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxxxxxx.
(13) Xxxxxxxx xxxxxxxxxxx x xxxxxxxx licencí xxxxxxxxxxxx xxxxxxxx a xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x postupy xxxxxxxx xxxxxxxxxxxx vybavení x xxxx xxxxxxxx.
x) Xxxxxxxx x postupy xxx kontrolu xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
(14) Politika xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx informací*
[§5 xxxx. x xxxx. n)]
a) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxx.
x) Xxxxxxx xxxxxxxxxxxxx xxxxxxxxx a záznamů.
c) Xxxxxxxx xxxxxxxx k xxxxxxxxxxxx dokumentům a xxxxxxxx.
(15) Xxxxxxxx xxxxxxx xxxxxxxx údajů*
[§5 odst. x xxxx. o), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx osobních xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx ochranu osobních xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxx údajů.
(16) Xxxxxxxx xxxxxxx xxxxxxxxxxx**
[§5 xxxx. x xxxx. x)]
x) Xxxxxxxx pro ochranu xxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx pro xxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxx bezpečnosti.
(17) Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx sítě**
[§5 xxxx. 1 písm. x)]
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxx.
x) Určení xxxx x xxxxxxxxxx xx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxxx x xxxxx xxxx.
x) Xxxxxxxx a xxxxxxx xxx ochranu xxxxxxxxxx přístupu x xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx xxxx a vyhodnocování xxxxxxxxxx xxxxxxx.
(18) Xxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx*
[§5 odst. x xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx a xxxxxxx xxx ochranu xxxxxxxxxx mezi xxxxxxx x xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx serverů x xxxxxxxxx datových xxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxx.
(19) Xxxxxxxx xxxxxxxx a používání xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x postupy xxxxxxxx nástroje xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx xxxxxxxxxxxxx x xxxxxxxxx xx detekované xxxxxxxxxxxx bezpečnostní události.
c) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx detekci xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
(20) Xxxxxxxx využití x xxxxxx nástroje xxx xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx x xxxxxxx pro xxxxxxxx x vyhodnocení kybernetických xxxxxxxxxxxxxx událostí.
b) Xxxxxxxx x xxxxxxx pravidelné xxxxxxxxxxx xxxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Pravidla a xxxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx vlastností xxxxxxxx xxx sběr x vyhodnocení kybernetických xxxxxxxxxxxxxx xxxxxxxx.
(21) Xxxxxxxx xxxxxxxxxx používání xxxxxxxxxxxxxx xxxxxxx**
[§5 xxxx. 1 xxxx. u), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx ochrany x ohledem xx xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx
1. xxx xxxxxxx xx xxxxxxxxxxxxx sítích,
2. xxx xxxxxxx xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx nosič xxx,
x) Xxxxxx xxxxxx xxxxx.
XX. Xxxxxxxxx xxxxx xxxxxxxxxxx
(1) Xxxxxx z auditu xxxxxxxxxxxx xxxxxxxxxxx**
[§28 xxxx. 1 xxxx. x)]
x) Xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti.
c) Kritéria xxxxxx xxxxxxxxxxxx bezpečnosti.
d) Xxxxxxxxxxxxxx týmu auditorů x xxxx, které xx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx.
x) Xxxxx x xxxxx, xxx xxxx prováděny xxxxxxxx xxx auditu kybernetické xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(2) Xxxxxx x xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx informací**
[§28 xxxx. 1 xxxx. c)]
a) Xxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx přezkoumání systému xxxxxx bezpečnosti informací,
b) Xxxxxxxxxxxx xxxx x xxxxxxxxx, xxxxx xxxxx xxx xxxx na xxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxx vazba x výkonnosti řízení xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x xxxxxxxx xxxxxxxx,
2. xxxxxxxx xxxxxxxxxxxx x xxxxxx,
3. výsledky xxxxxx,
4. xxxxxxxx xxxx bezpečnosti,
d) Xxxxxxxx xxxxxxxxx xxxxx x stav xxxxx xxxxxxxx rizik.
e) Xxxxxxxxxxxx xxxxxxxx xxx neustálé xxxxxxxxxx.
x) Xxxxxxxxxx potřebných xxxxxxxxxx, xxxxxxxxx xxxxxxxx x xxxx zajišťujících xxxxx jednotlivých xxxxxxxx.
(3) Xxxxxxxx xxx identifikaci x hodnocení aktiv x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. b)]
a) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxx xxxxx,
2. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxx,
3. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.
x) Xxxxxx stupnice pro xxxxxxxxx rizik
1. určení xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxx,
2. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxx,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx,
4. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxx,
x) Xxxxxx x xxxxxxxx pro xxxxxxxx xxxxx.
x) Způsoby xxxxxxxxxxx přijatelných xxxxx.
(4) Xxxxxx o hodnocení xxxxx x xxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx primárních aktiv
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxxxxx primárních xxxxx x hlediska důvěrnosti, xxxxxxxxx a xxxxxxxxxxx.
x) Xxxxxxx podpůrných aktiv (xxxxxxx pro orgány x xxxxx xxxxxxx x §3 písm. x) zákona)
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxx xxxxx xxxx primárními x xxxxxxxxxx xxxxxx,
x) Xxxxxxxxxxxxxx a xxxxxxxxx xxxxx
1. xxxxxxxxx xxxxxxx xxxxxx xx xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx hrozeb,
3. xxxxxxxxx existujících xxxxxxxxxxxxx, xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx xxxx úrovně x kritérii xxx xxxxxxxxxxxx xxxxx,
5. určení x xxxxxxxxx xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxx
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. xxxxx xxxxxxxx x jejich xxxxxxxxx.
(5) Xxxxxxxxxx o xxxxxxxxxxxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx včetně xxxxxxxxxx xxxxxx výběru x xxxxxx vazby na xxxxxxxxxxxxxx xxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx opatření.
(6) Xxxx xxxxxxxx xxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. e)]
a) Xxxxx x xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
b) Xxxxxxxx zdroje xxx xxxxxxxxxx bezpečnostní opatření xxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
d) Xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
x) Způsoby hodnocení xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx rizik.
(7) Plán xxxxxxx bezpečnostního xxxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. f)]
a) Xxxxx x termíny xxxxxxx xxxxxxxxx.
x) Obsah x termíny xxxxxxx xxxxxxx aktiv (neplatí xxx orgány a xxxxx xxxxxxx v §3 písm. e) xxxxxx).
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxxxxxxxxx (xxxxxxx xxx xxxxxx x xxxxx uvedené x §3 písm. x) zákona).
d) Obsah x xxxxxxx poučení xxxxxxx xxxx zastávajících xxxxxxxxxxxx role.
e) Xxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Formy x xxxxxxx xxxxxxxxx xxxxx.
(8) Xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Definování xxxxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx.
x) Pravidla a xxxxxxx xxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxx zlepšování xxxxxxxxxxxx bezpečnosti.
(9) Xxxxxxxxx xxxxxx kontinuity činností**
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxx xxxxxx xxxxxxxxxx xxxxxxxx
1. xxxxxxxxx úroveň poskytovaných xxxxxx,
2. doba xxxxxxxx xxxxx,
3. xxx xxxxxxxx xxxxx.
x) Strategie řízení xxxxxxxxxx činností xxx xxxxxxxx xxxx kontinuity.
d) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx kontinuitu a xxxxxxxxxx xxxxxxxxxxxxx xxxxx.
x) Xxxxxx x xxxxx xxxxxxxxxx xxxxx kontinuity.
f) Xxxxxxx xxx realizaci xxxxxxxx xxxxxxxx Národním xxxxxxxxxxxxx xxxxxx.
(10) Přehled xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x jiných xxxxxxxx x xxxxxxxxx xxxxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. i)]
a) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx předpisů.
b) Xxxxxxx xxxxxxxxx předpisů x xxxxxx předpisů.
c) Přehled xxxxxxxxx závazků.
Poznámka:
* Xxxxxxxxx xxxxxxxxx xxxxxxxxx xx xx xxxxxx xxxxxxx xxxxx xxxxxxxx uvedené x příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.
** Xxxxxxxxx xxxxxxxxx xxxxxxxxx xx xx xxxxxx xxxxxx xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx a xxxxxx xxxxx.
Příloha x. 5 x xxxxxxxx č. 316/2014 Sb.
Formulář xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
Vyplnitelný formulář ve formátu PDF
Příloha č. 6 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxx xxxxxxxx x provedení xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Příloha č. 7 x vyhlášce č. 316/2014 Xx.
Xxxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxxxx
Xxxxxx předpis x. 316/2014 Xx. xxxxx xxxxxxxxx xxxx 1.1.2015.
Xx xxx xxxxxxxx xxxxxx xxxxxxx nebyl xxxxx xx xxxxxxxxx.
Xxxxxx xxxxxxx x. 316/2014 Sb. xxx xxxxxx právním xxxxxxxxx č. 82/2018 Sb. x xxxxxxxxx xx 28.5.2018.
Xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx x odkazech xxxx xxxxxxxxxxxxx, pokud xx xxxx netýká xxxxxxxxx xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
1) XXX/XXX 27001:2013, xxxxxxxx XXX XXX/XXX 27001:2014