Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
XXXXXXXX
xx dne 15. xxxxxxxx 2014
x bezpečnostních xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx opatřeních x x stanovení xxxxxxxxxxx podání x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x kybernetické xxxxxxxxxxx)
Xxxxxxx bezpečnostní xxxx xxxxxxx podle §28 xxxx. 2 zákona x. 181/2014 Xx., x xxxxxxxxxxxx bezpečnosti x x změně xxxxxxxxxxxxx xxxxxx (xxxxx x kybernetické xxxxxxxxxxx), (xxxx xxx "xxxxx") x xxxxxxxxx §6 xxxx. a) xx x), §8 xxxx. 4, §13 xxxx. 4 x §16 xxxx. 6 zákona.
XXXX PRVNÍ
ÚVODNÍ XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxxx xxxxxxxxx xx xxxxxxx xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxx informační systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx systém kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxx informační xxxxxx, xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxx xxxxxxxx, xxxx x kategorie xxxxxxxxxxxxxx bezpečnostních incidentů, xxxxxxxxxxx x způsob xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx, xxxxxxxxxxx oznámení x xxxxxxxxx reaktivního xxxxxxxx x xxxx xxxxxxxx x vzor xxxxxxxx xxxxxxxxxxx xxxxx x xxxx xxxxx.
§2
Xxxxxxxx xxxxx
X xxxx xxxxxxxx xx rozumí
a) xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx část xxxxxxx xxxxxx orgánu a xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxxxxx xx xxxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx, která xxxxxxx xxxxxx xxxxxxxx, xxxxxxxx, xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx,
x) aktivem xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxxx informace nebo xxxxxx, xxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikační systém xxxxxxxx xxxxxxxxxx infrastruktury xxxx významný informační xxxxxx,
x) podpůrným xxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxx x xxxxxxxxxx podílející xx xx provozu, xxxxxxx, xxxxxx xxxx xxxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxxxxx prostředky x programové vybavení xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému a xxxxxxx, xx xxxxxxx xxxx xxxx xxxxxxx xxxxxxxx,
x) rizikem xxxxxxx, xx xxxxxx xxxxxx xxxxxxx zranitelnosti xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxx aktiva,
g) xxxxxxxxxx xxxxx proces, při xxxx xx určována xxxxxxxxxx xxxxx x xxxxxx xxxxxxxxxx úroveň,
h) xxxxxxx rizik xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx, xxxxx a xxxxxxxx xxxxxxxx xx zvládání xxxxx, xxxxxxx informací x riziku x xxxxxxxxx a xxxxxxxxxxx xxxxx,
x) xxxxxxx potencionální xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxx nebo xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxx může xxx xxxxxxxxx xxxxxx,
x) zranitelností xxxxx místo aktiva xxxx bezpečnostního xxxxxxxx, xxxxx xxxx být xxxxxxxx jednou nebo xxxx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxx xxxxxx zbývající xx xxxxxxxxx bezpečnostních xxxxxxxx, xxxxx úroveň xxxxxxxx xxxxxxxxx pro xxxxxxxxxxxx rizik,
l) xxxxxxxxxxxx xxxxxxxxx xxxxxx zásad x xxxxxxxx, xxxxx xxxxxx způsob xxxxxxxxx xxxxxxx aktiv xxxxxxx x xxxxxx xxxxxxxx x §3 xxxx. x) xx x) xxxxxx,
x) garantem xxxxxx xxxxxxx xxxxx pověřená xxxxxxx xxxx xxxxxx xxxxxxxx x §3 xxxx. c) xx x) xxxxxx x xxxxxxxxx xxxxxxx, použití x xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx osoba xxxxx xxxxx veřejné moci, xxxxx využívá xxxxxxxx xxxxxx,
x) xxxxxxxxxxxxxxx fyzická xxxxx xxxxxxxx garantem xxxxxx xxxxxxxxxxx správu, xxxxxx, xxxxxxx, xxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxx.
ČÁST XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) a x) xxxxxx x rámci xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) stanoví s xxxxxxx na aktiva x xxxxxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx, xx xxxxxx xxxx, kterých xxxxxxxxxxxxx xxxxx a xxxxxxxxxxx xxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx,
x) xxxx xxxxxx xxxxx §4 xxxx. 1,
x) xxxxxxx x xxxxxxx xxxxxxxxxxxx politiku x oblasti systému xxxxxx xxxxxxxxxxx informací, xxxxx obsahuje xxxxxx xxxxxx, cíle, xxxxxxxxxxxx xxxxxxx, práva a xxxxxxxxxx ve vztahu x xxxxxx bezpečnosti xxxxxxxxx a na xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx hodnocení xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx v dalších xxxxxxxxx podle §5 x xxxxxx příslušná xxxxxxxxxxxx opatření,
d) xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx a xxxxxxxx xxxxxxxxxxxx politiky xxxxx §5,
f) zajistí xxxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx xxxxx §15, x to xxxxxxx xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx obsahuje xxxxxxxxx xxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx včetně xxxxxx hodnocení rizik, xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx a auditů xxxxxxxxxxxx xxxxxxxxxxx a xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx informací, x to xxxxxxx xxxxxx xxxxx,
x) xxxxxxxxxxx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx x x xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx x
x) řídí xxxxxx x xxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx, xxxxxxxxxxx xxxxxxxx xxxxxxx se systémem xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx x rámci systému xxxxxx bezpečnosti xxxxxxxxx
x) xxxx xxxxxx podle §4 odst. 2,
b) xxxxxxx x schválí xxxxxxxxxxxx politiku x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxx zásady, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx xx xxxxxx k xxxxxx xxxxxxxxxxx informací x xx základě xxxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x dalších oblastech xxxxx §5, x xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x
x) provádí xxxxxxxxxxx zprávy x xxxxxxxxx xxxxx x xxxxx, bezpečnostní politiky, xxxxx zvládání rizik x xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx, x xx xxxxxxx xxxxxx xx tři xxxx xxxx x souvislosti x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx.
§4
Řízení xxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx identifikaci x hodnocení xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxx, xxxxx xxxxx xx xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxx §8 x xxxxxxx přílohy č. 1 x této xxxxxxxx x výstupy xxxxxxxxx xx xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) identifikuje xxxxxx, xxx xxxxxxx zohlední xxxxxx a xxxxxxxxxxxxx, xxxxxxx xxxxx xxxxxx xx aktiva, hodnotí xxxx rizika xxxxxxxxx x rozsahu xxxxx přílohy č. 2 x této xxxxxxxx, xxxx x xxxxxxx xxxxxxxxxx rizika x zpracuje xxxxxx x xxxxxxxxx xxxxx x rizik,
d) xxxxxxxx xx xxxxxxx bezpečnostních xxxxxx x výsledků xxxxxxxxx rizik xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx x xxxxxx xxxx xxxxxxxx xxxxx, který xxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx, určení xxxxx zajišťující prosazování xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, lidské x xxxxxxxxxx xxxxxx, xxxxxx xxxxxx xxxxxxxx x popis xxxxx xxxx riziky x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxx bez xxxxxxxxxx xxxxxxx reaktivní x xxxxxxxx xxxxxxxx xxxxxx Xxxxxxxx bezpečnostním xxxxxx (xxxx xxx "Xxxx") x xxxxxxxxx xxxxx a v xxxxxxx, xx hodnocení xxxxx xxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx reaktivního xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx stanovená xxxxxxxx xxx xxxxxxxxxxxx rizik, xxxxxx plán zvládání xxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx v rámci xxxxxx rizik
a) xxxxxxx xxxxxxxx xxx identifikaci x hodnocení xxxxx x pro identifikaci x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx kritérií xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx a xxxxxxx xxxxxxxxxx xxxxxxxxxx aktiv, xxxxx xxxxx xx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, xxxxx §8 xxxxxxxxx v xxxxxxx přílohy č. 1 k xxxx vyhlášce a xxxxxxx xxxxxxxxx xx xxxxxx x xxxxxxxxx xxxxx x rizik,
c) xxxxxxxxxxxx rizika, xxx xxxxxxx xxxxxxxx xxxxxx x zranitelnosti, posoudí xxxxx xxxxxx na xxxxxxxx aktiva, xxxxxxx xxxx xxxxxx xxxxxxxxx x rozsahu podle přílohy č. 2 x xxxx xxxxxxxx x zpracuje xxxxxx x hodnocení xxxxx x xxxxx,
x) xxxxxxxx na xxxxxxx xxxxxxxxxxxxxx xxxxxx a xxxxxxxx hodnocení xxxxx xxxxxxxxxx x aplikovatelnosti, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx x zavede xxxx xxxxxxxx xxxxx, který xxxxxxxx xxxx a xxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx rizik, xxxxxx xxxxx zajišťující xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x xxxxxxxxxx xxxxxx, termíny jejich xxxxxxxx a popis xxxxx mezi xxxxxxxxxxxxxxxx xxxxxx x příslušnými xxxxxxxxxxxxxx opatřeními x
x) xxxxxxxx xxx xxxxxxxxxx xxxxxxx reaktivní x xxxxxxxx xxxxxxxx xxxxxx Xxxxxx x hodnocení xxxxx x x xxxxxxx, xx hodnocení xxxxx aktualizované o xxxx xxxxxxxxxxxxx xxxxxxx x realizací reaktivního xxxx ochranného opatření xxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx, xxxxxx xxxx xxxxxxxx xxxxx.
(3) Xxxxxx rizik xxxx xxx zajištěno x jinými způsoby, xxx xxx je xxxxxxxxx x xxxxxxxxxx 1 x 2, xxxxx xxxxx a xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx zajišťující xxxxxxx xxxx xxxxx xxxxxx xxxxxx xxxxx.
(4) Orgán x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx při xxxxxxxxx xxxxx zvažuje xxxxxxx xxxx xxxxxx
x) porušení xxxxxxxxxxxx politiky, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, zneužití xxxxxxxxx xx xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxx selhání xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx x xxxxxxxxxx xxxxxxxxxx,
x) kybernetický xxxx x xxxxxxxxxxx xxxx,
x) xxxxxxxx kód (xxxxxxxxx xxxx, xxxxxxx, xxxxxxx xxxx),
x) nedostatky při xxxxxxxxxxx služeb xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
x) narušení xxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx komunikací xxxx dodávek xxxxxxxxxx xxxxxxx,
x) zneužití xxxx xxxxxxxxxxx modifikace údajů,
k) xxxxxx xxxxxxxx hrozby x
x) xxxxxxxx xxxx xxxxxxxxx xxxxxx.
(5) Xxxxx x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx xxx xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx vnějšího perimetru,
b) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
x) xxxxxxxxxxxx údržba informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx xxx xxxxxxxxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxx, kybernetických xxxxxxxxxxxxxx událostí a xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx x xxxxxxxxxxx odhalit xxxxxx nevhodné xxxx xxxxxxx xxxxxxx xxxxxxx x
x) xxxxxxxxxxxx stanovení xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxx xxxx x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxxxxxxxx rolí.
(6) Orgán x osoba uvedená x §3 xxxx. x) x x) xxxxxx při xxxxxxxxx xxxxx xxxx xxxxxxx xxxx xxxxxx
x) xxxxxxxx xxxxxxxxxxxx politiky, xxxxxxxxx xxxxxxxxxxxxx činností, zneužití xxxxxxxxx xx xxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xx xxxxxx xxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxx, sabotáž,
d) xxxxxxxxxx přerušení poskytování xxxxxx xxxxxxxxxxxxxx komunikací, xxxxxxx elektrické xxxxxxx xxxx jiných důležitých xxxxxx,
x) xxxxxxxxxx zaměstnanců x xxxxxxxxx odbornou xxxxxx,
x) cílený xxxxxxxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx, použití xxxxxxxxxxx xxxxxxx x
x) zneužití xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxx.
(7) Orgán a xxxxx xxxxxxx v §3 písm. x) x d) zákona xxx xxxxxxxxx rizik xxxx xxxxxxx xxxx xxxxxxxxxxxxx
x) xxxxxxxxxxxx ochrana xxxxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx,
x) nevhodná xxxxxxxxxxxx xxxxxxxxxxxx,
x) xxxxxxxxxxxx míra xxxxxxxxx xxxxxxxx x
x) xxxxxxxxxxx včasného odhalení xxxxxxxxx xx xxxxxx xxxxxxxxxxx.
§5
Xxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxx,
x) xxxxxx vztahů x xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx lidských zdrojů,
f) xxxxxx xxxxxxx x xxxxxxxxxx,
x) xxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x obnova,
j) xxxxxxxx předávání x xxxxxx informací,
k) řízení xxxxxxxxxxx xxxxxxxxxxxxx,
x) bezpečné xxxxxxxxx xxxxxxxxx zařízení,
m) xxxxxxxxxxx a xxxxxxxx xxxxxxx xxxxxxxxxxxx vybavení x xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx,
x) ochrana xxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx komunikační xxxx,
x) xxxxxxx xxxx xxxxxxxxx xxxxx,
x) xxxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx x xxxxxx nástroje xxx xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(2) Orgán x xxxxx xxxxxxx v §3 xxxx. x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x oblastech
a) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx bezpečnost,
c) xxxxxx dodavatelů,
d) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx lidských xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxxx,
x) xxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxx,
x) zálohování x xxxxxx,
x) xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx,
x) xxxxxxx osobních údajů,
l) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx před xxxxxxxxx xxxxx x
x) nasazení x používání xxxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
(3) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xx.
§6
Xxxxxxxxxxx xxxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, x xxxxx xxxxx xxxx xxxxx pro xxxxxx kybernetické bezpečnosti x bezpečnostní xxxx x xxxxxx xxxxx x povinnosti xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx systémem xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) zákona xxxx xxxxxxxxxxxx role
a) manažer xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx bezpečnosti x
x) xxxxxx xxxxxx xxxxx §2 xxxx. x).
(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xxxx xxxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxx 2.
(4) Xxxxxxx kybernetické bezpečnosti xx osoba, xxxxxxxxx xx systém xxxxxx xxxxxxxxxxx informací, která xx pro xxxx xxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx s xxxxxxx xxxxxxxxxxx xxxxxxxxx po xxxx nejméně xxx xxx.
(5) Architekt xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx xxxxxxxxxxx návrh a xxxxxxxxxxxx xxxxxxxxxxxxxx opatření, xxxxx xx xxx xxxx xxxxxxx vyškolena x xxxxxxx odbornou xxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxxxxx architektury xx xxxx xxxxxxx xxx xxx.
(6) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx bezpečnosti, xxxxx xx pro tuto xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti xx xxxx xxxxxxx xxx let. Xxxxxxx xxxxxxxxxxxx bezpečnosti vykonává xxxxx roli xxxxxxxxx x výkon jeho xxxx xx xxxxxxx xx výkonu rolí xxxxxxxxx v xxxxxxxx 2 písm. a), x) xxxx d).
(7) Xxxxx pro xxxxxx xxxxxxxxxxxx bezpečnosti xx xxxxxxxxxxxx xxxxxxx tvořená xxxxxxx, xxxxx xxxx xxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného informačního xxxxxxx, anebo xx xxxxxxxx podílejí xx xxxxxx a xxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx bezpečností těchto xxxxxxx.
(8) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxxxx xxxxxxx xxxxxxx xxxx, které zastávají xxxxxxxxxxxx role v xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx povědomí xxxxx §9 odst. 1 písm. b).
§7
Stanovení xxxxxxxxxxxxxx požadavků xxx dodavatele
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx zavede xxxxxxxx xxx xxxxxxxxxx, která xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, x xxxxxxxx xx x xxxxxxxxxx xxxx xxxxxx xxxx, xxxxx se xxxxxxxx xx rozvoji, xxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx systému. Xxxxxx zapojení xxxxxxxxxx xx xxxxxxx, xxxxxxx xxxx xxxxxxxxx bezpečnosti xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx systému xxxxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxx xxxxxxx v §3 xxxx. c) xx e) xxxxxx xxxxxxxx, xxxxx xxxxxxxx xx xxxxxxxxxx o xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) a d) xxxxxx u xxxxxxxxxx xxxxxxxxx x xxxxxxxx 1 xxxx
x) xxxx xxxxxxxxx xxxxxxx provádí xxxxxxxxx xxxxx xxxxx přílohy č. 2 k xxxx xxxxxxxx, která jsou xxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxx x úrovni xxxxxx, xxxxx xxxxxxx xxxxxxx x úrovně realizace xxxxxxxxxxxxxx xxxxxxxx x xxxx vztah vzájemné xxxxxxx xxxxxxxxxxxx xx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, x
x) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxxxxxxxx xxxxxx a zjištěné xxxxxxxxxx odstraňuje xxxx xx dohodě x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxx.
§8
Xxxxxx xxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx v rámci xxxxxx aktiv
a) identifikuje x xxxxxxx primární xxxxxx,
x) xxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xx primární xxxxxx, x
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti x zařadí xx xx xxxxxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxx xxxxx přílohy č. 1 x xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx xxxxxxxxxxx primárních xxxxx je xxxxx xxxxxxxxx xxxxxxxx
x) xxxxxx x xxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx nebo xxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxxx řídících x kontrolních xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, xxxxxxxxxx xxxx ekonomických xxxxx,
x) xxxxx xxxxxxxx ztráty,
f) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx xxxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona,
g) xxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti x
x) xxxxxx na xxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx dobré pověsti.
(3) Xxxxx a osoba xxxxxxx v §3 xxxx. c) x x) xxxxxx xxxx
x) xxxxxxxxxxxx x eviduje xxxxxxxx xxxxxx,
x) xxxx xxxxxxx xxxxx, kteří xxxx xxxxxxxxx za xxxxxxxx xxxxxx, a
c) xxxx vazby mezi xxxxxxxxxx a podpůrnými xxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.
(4) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxx
x) xxxxxxx xxxxxxxx xxxxxxx, nutná pro xxxxxxxxxxx xxxxxxxxxxxx úrovní xxxxx xxx, že
1. xxxx způsoby xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxx xxxxxxxx xxx xxxxxxxxxx a xxxxxxxx x xxxxxx podle xxxxxx aktiv, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx přenášení xxxxx x
3. xxxxxxx přípustné xxxxxxx xxxxxxxxx aktiv,
b) xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx aktiv x
x) xxxx způsoby xxx xxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx xxx x xxxxxxx xx xxxxxx xxxxx.
§9
Bezpečnost xxxxxxxx zdrojů
(1) Xxxxx a osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxx řízení xxxxxxxxxxx xxxxxxxx xxxxxx
x) xxxxxxx xxxx rozvoje bezpečnostního xxxxxxxx, xxxxx obsahuje xxxxx, xxxxx x xxxxxx xxxxxxxxxx xxxxxxx x xxxx xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx jsou x xxxxx xxxxxxx,
x) x souladu x xxxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxxxx poučení xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x jejich xxxxxxxxxxxx x x xxxxxxxxxxxx xxxxxxxx formou xxxxxxxxx x pravidelných xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx strany xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní role x
x) xxxxxxx xxxxxxx xxxxxxxxx aktiv x xxxxxxxx přístupových oprávnění xxx xxxxxxxx smluvního xxxxxx s xxxxxxxxx, xxxxxxxxxxxxxx xxxx osobami xxxxxxxxxxxxx bezpečnostní xxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx vede x školení xxxxx xxxxxxxx 1 xxxxxxxx, xxxxx obsahují xxxxxxx xxxxxxx x xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxx xxxxxxxx xxx xxxxxx xxxx, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx xxxx, xxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx plánu xxxxxxx bezpečnostního xxxxxxxx, xxxxxxxxxxx xxxxxxx x xxxxxxx činností xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxx pravidla x postupy pro xxxxxx případů xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx strany uživatelů, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) zajistí xxxxx xxxxxxxxxxxx xxxxxxxxx při xxxxx postavení xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
§10
Xxxxxx xxxxxxx a xxxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx x rámci xxxxxx xxxxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx x §21 xx 23 xxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxxxxxxxxx vyhodnocuje xxxxxxx xxxxxxxxx x xx xxxxxxxx xxxxxxxxxx reaguje x xxxxxxx s §13.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. c) xx x) xxxxxx x xxxxx xxxxxx xxxxxxx x komunikací xxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx informačního xxxxxxx. Xx xxxxx účelem xxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx.
(3) Provozní xxxxxxxx x xxxxxxx xxxxxx a xxxxx xxxxxxx v §3 xxxx. x) a x) xxxxxx obsahují
a) xxxxx x xxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx x xxxxxxxxx,
x) xxxxxxx pro xxxxxxxx x ukončení xxxxx systému, xxx xxxxxxx xxxx obnovení xxxxx systému xx xxxxxxx a pro xxxxxxxx xxxxxxxxx stavů xxxx mimořádných jevů,
c) xxxxxxx pro xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxx xxxxxxx xxxxxxxx k záznamům x xxxxxx xxxxxxxxxx,
x) xxxxxxx xx xxxxxxxxx xxxxx, které xxxx xxxxxx xxxx xxxxxxx xxx řešení xxxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx,
x) postupy řízení x xxxxxxxxxxx xxxxxxxxxx xxxx x
x) postupy xxx xxxxxxxxx, plánování x xxxxxx kapacity xxxxxxxx x xxxxxxxxxxx xxxxxx.
(4) Xxxxxx xxxxxxx xxxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x prověřování xxxxxxxxxxxxx xxxxxxxxxxx xxxxx.
(5) Xxxxxx provozu xxxxxx x xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx xxxxxxx x
x) xxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx a xxxxxxxxxxx xxxxxxxxx,
x) xxxxxx reaktivních xxxxxxxx xxxxxxxx Úřadem xxx, že xxxxx x xxxxx uvedená x §3 písm. x) x d) xxxxxx
1. xxxxxxx očekávané xxxxxx xxxxxxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxx systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x na xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxx negativní účinky x xxx zbytečného xxxxxxx xx xxxxxx Xxxxx x
2. xxxxxxx xxxxxx rychlého xxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxxxxxx možné negativní xxxxxx, x xxxx xxxxxx xxxx jeho xxxxxxxxx.
(6) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x x) zákona x xxxxx xxxxxx xxxxxxxxxx
x) zajišťuje xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx xxxx x bezpečnost xxxxxxxxxxxxx xxxxxx xxxxx §17,
x) xxxx pravidla x xxxxxxx pro xxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxxx komunikačními xxxxxx,
x) xxxxxxx xxxxxx x předávání xxxxxxxxx xx základě xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx xx současného xxxxxxxxx xxxxxxxxxxx informací x xxxx xxxxxxxx xxxxxxxxxxx x
x) x xxxxxxx xx xxxxxxxxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxx xx xxxxxxx písemných xxxxx, xxxxxxx xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx.
§11
Xxxxxx přístupu a xxxxxxxx xxxxxxx uživatelů
(1) Xxxxx a osoba xxxxxxx x §3 xxxx. c) xx x) xxxxxx xx xxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxx x xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačnímu xxxxxxx xxxxxxxx informační infrastruktury x xxxxxxxxxx informačnímu xxxxxxx x xxxxxxx xxxxxxx xxxxxxxxx jednoznačný xxxxxxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx e) xxxxxx xxxxxx xxxxxxxx, xxxxx xxxxxx k xxxxxxxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx uživatelů x xxxxxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury a xxxxxxxxxx informačního xxxxxxx xxxxx §18 x 19, x xxxxx xxxxx xx zneužití xxxxxx údajů xxxxxxxxxxxx xxxxxx.
(3) Xxxxx a xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxx x xxxxx xxxxxx xxxxxxxx
x) xxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxx,
x) přiděluje x xxxxxxx xxxxxxxxxx xxxxxxxxx x souladu x xxxxxxxxx xxxxxx xxxxxxxx,
x) provádí pravidelné xxxxxxxxxxx nastavení xxxxxxxxxxxx xxxxxxxxx xxxxxx rozdělení xxxxxxxxxxxx xxxxxxxxx v xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxx,
x) xxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx §18 x nástroj xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §19 x
x) xxxxxx bezpečnostní xxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxx i bezpečnostní xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx zařízení, xxxxxxx xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxxxxxxxxx.
§12
Akvizice, xxxxx x xxxxxx
(1) Orgán x xxxxx xxxxxxx v §3 xxxx. c) xx e) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx xx změny xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx xxxxxxx s xxxxxx xxxxxxxx, xxxxxxx x xxxxxxx a xxxxxx xx do xxxxxxxx akvizice, xxxxxx x xxxxxx xxxxxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxxxxxxx, xxxxxxx x xxxx rizika xxxxxxxxxxx x xxxxxxxx, xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx; xxx postupy xxxxxxxxx x xxxxxx xxxxx se metodiky xxxxx §4 xxxx. 1 písm. a) xxxxxxx xxxxxxx,
x) zajistí xxxxxxxxxx vývojového prostředí x xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxx x
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx změn xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx nebo komunikačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxx xxxxxxxxx do xxxxxxx.
§13
Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx
Xxxxx x osoba uvedená x §3 xxxx. x) xx e) xxxxxx xxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) přijme xxxxxxxx xxxxxxxx, která xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx u xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xx xxxxxx xxxxxxxxx, administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx a x xxxxxxxxxx xxxx záznamy,
b) xxxxxxxx prostředí pro xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx technickými nástroji xxxxx §21 xx 23, xxxxxxx xxxxxx xxxxxxxxxxx x identifikuje xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx klasifikaci kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxx xxx odvrácení x zmírnění xxxxxx xxxxxxxxxxxxxx bezpečnostního incidentu, xxxxxxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx xxxxx §32 x xxxxxxx xxxx xxxxxxxxxxx podkladů xxxxxxxxxx pro analýzu xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu,
d) xxxxxxxx a xxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx, xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xx xxxxxxx vyhodnocení xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x
x) dokumentuje xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
§14
Xxxxxx kontinuity xxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) zákona x xxxxx xxxxxx xxxxxxxxxx xxxxxxxx stanoví
a) xxxxx x povinnosti garantů xxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxx řízení xxxxxxxxxx činností xxxxxx xxxxxx
1. xxxxxxxxx úrovně xxxxxxxxxxxxx služeb, která xx přijatelná pro xxxxxxx, xxxxxx x xxxxxx xxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního systému,
2. xxxx obnovení chodu, xxxxx xxxxx xxxx xx xxxxxxxxxxxxx bezpečnostním xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx poskytovaných xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x
3. xxxx obnovení xxx xxxx xxxxxxx, xx xxxxxxx budou xxxxxxxx xxxx xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx, x
x) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx, která xxxxxxxx xxxxxxxx cílů xxxxx xxxxxxx x).
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx xxxx
x) xxxxxxxxx x dokumentuje možné xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a posoudí xxxxx rizika xxxxxxxxxxx x ohrožením xxxxxxxxxx xxxxxxxx,
x) xxxxxxx, aktualizuje x xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx xxxx kybernetickému bezpečnostnímu xxxxxxxxx x xxxxxxx xxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx §26 x
x) xxxxxxx x xxxxxxxxxxx xxxxxxx xxx xxxxxxxxx opatření xxxxxxxx Xxxxxx podle §13 x 14 xxxxxx, xx kterých xxxxxxxx
1. xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxx opatření,
2. xxxx dotčených xxxxxxxxxxxxxx xxxxxxxx x
3. xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx a xxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury.
§15
Kontrola a audit xxxxxxxx xxxxxxxxxx infrastruktury x významných xxxxxxxxxxxx xxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxx xxxxxxxx x xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačních xxxxxxx (xxxx xxx "audit xxxxxxxxxxxx bezpečnosti")
a) posuzuje xxxxxx bezpečnostních opatření x právními xxxxxxxx, xxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxxx xx x informačnímu xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury a xxxxxxxxxx informačnímu xxxxxxx x xxxx xxxxxxxx xxx jeho xxxxxxxxxxx x
x) xxxxxxx a xxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx xxxxxxx zohlední v xxxxx xxxxxxx bezpečnostního xxxxxxxx x xxxxx xxxxxxxx xxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxxxxxxx provedení xxxxxx kybernetické xxxxxxxxxxx xxxxxx x odbornou xxxxxxxxxxx podle §6 xxxx. 6, která xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxx xxx xxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxx technických xxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxx x reaguje xx zjištěné zranitelnosti.
XXXXX XX
XXXXXXXXX XXXXXXXX
§16
Xxxxxxx xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxx nezbytná xxxxxxxx x zamezení xxxxxxxxxxxxx xxxxxx xx xxxxxxxxxx xxxxxxx, kde xxxx xxxxxxxxxxxx xxxxxxxxx x umístěna xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx informačního xxxxxxx,
x) xxxxxx xxxxxxxx opatření x zamezení xxxxxxxxx x xxxxxxx xx xxxxxxxxxx prostor, xxx xxxx xxxxxxxx xxxxxxxxx x umístěna technická xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x
x) předchází poškození, xxxxxxx nebo xxxxxxxx xxxxx xxxx xxxxxxxxx xxxxxxxxxxx služeb xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx.
(2) Orgán a xxxxx uvedená v §3 xxxx. c) x x) xxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) pro xxxxxxxxx xxxxxxx xx xxxxxx xxxxxxx x
x) xxx zajištění xxxxxxx x rámci xxxxxxx xxxxxxxxxx xxxxxxx bezpečnosti xxxxxxxxxx xxxxxxx, xx xxxxxxx xxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx xxxx komunikačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx.
(3) Xxxxxxxxxx xxxxxxx xxxxxxxxxxx jsou xxxxxxx
x) xxxxxxxxxx xxxxxxxx xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx,
x) prostředky xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxx xxxxxxxx vstupu,
f) xxxxxxxx xxxxxxx,
x) zařízení xxx xxxxxxxxx xxxxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx napájení x
x) xxxxxxxx xxx zajištění xxxxxxxxxxx xxxxxxxxxx xxxxxxxx.
§17
Nástroj pro xxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxx
(1) Xxxxx a xxxxx xxxxxxx v §3 xxxx. c) xx x) xxxxxx pro xxxxxxx integrity rozhraní xxxxxx komunikační sítě, xxxxx není pod xxxxxxx xxxxxx nebo xxxxx, a xxxxxxx xxxxxxxxxxx sítě, xxxxx xx xxx správou xxxxxx xxxx xxxxx, xxxxxx
x) řízení xxxxxxxxxx xxxxxxxx xxxx xxxxxx x xxxxxxx xxxx,
x) xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxxxxxx xxx xxxx xxxxxxxxxxx typu xxxx xxxxxxxxxxx ke zvýšení xxxxxxxxxxx aplikací dostupných x xxxxxx sítě x x zamezení xxxxx xxxxxxxxxx xxxxxxx xxxx x vnější xxxx,
x) kryptografické xxxxxxxxxx (§25) xxx vzdálený xxxxxxx, xxxxxxxxx xxxxxx xxxx pro přístup xxxxxx bezdrátových xxxxxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx dat, které xxxxxxxxxxxx xxxxxxxxxx xx xxxxxxx integrity xxxxxxxxxxx xxxx.
(2) Orgán a xxxxx xxxxxxx x §3 písm. c) x x) xxxxxx xxxx xxxxxxx xxxxxxxx xxx xxxxxxx integrity xxxxxxx xxxxxxxxxxx xxxx, xxxxx zajistí xxxx xxxxxxxxxx.
§18
Nástroj xxx ověřování xxxxxxxx uživatelů
(1) Orgán x xxxxx uvedená x §3 písm. x) xx e) xxxxxx používá xxxxxxxx xxx xxxxxxx identity xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a významného xxxxxxxxxxxx systému.
(2) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx x administrátorů xxxxxxxxx xxxxxxx identity xxxxxxxxx x xxxxxxxxxxxxxx xxxx xxxxxxxxx xxxxxx xxxxxxx v xxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxx xxxxxxxxxxx xxxxxxx.
(3) Nástroj xxx xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxx xxxxxxx xxxxxxxxxxx xxxxx xxxxxx, xxxxxxxxx
x) xxxxxxxxx xxxxx hesla xxx znaků,
b) minimální xxxxxxxxx xxxxx xxx, xx xxxxx xxxx xxxxxxxxx alespoň 3 x xxxxxxxxxxxxx čtyř xxxxxxxxx
1. nejméně jedno xxxxx xxxxxxx,
2. xxxxxxx xxxxx xxxx xxxxxxx,
3. xxxxxxx jednu xxxxxxx, xxxx
4. xxxxxxx xxxxx xxxxxxxxx znak odlišný xx požadavků xxxxxxxxx x bodech 1 xx 3,
x) maximální xxxx xxx xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxxx xxx xxx; xxxxx xxxxxxxxx xxxx xxxxxxxxx xxx samostatné xxxxxxxxxxxxxx xxxxxxxx.
(4) Orgán x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx xxxx
x) xxxxxxx nástroj xxx xxxxxxx identity, xxxxx
1. xxxxxx opětovnému xxxxxxxxx dříve používaných xxxxx x xxxxxxxx xxxx xxxx hesla xxxxxxx xxxxxxxxx během xxxxxxxxxxx období, xxxxx xxxx xxx xxxxxxx 24 xxxxx, a
2. xxxxxxx xxxxxxxx xxxxxxx xxxxxxxx xx xxxxxx xxxx xxxxxxxxxx x
x) xxxxxxx xxxxxxx pro xxxxxxxxx identity xxxxxxxxxxxxxx. X případě, xx xxxxx nástroj xxxxxxx xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxx patnáct xxxxx xxx xxxxxxxx požadavků xxxxx xxxxxxxx 3 xxxx. b) a x).
(5) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxx být xxxxxxxx x xxxxxx způsoby, xxx jaké xxxx xxxxxxxxx x odstavcích 3 xx 5, xxxxx xxxxx a xxxxx uvedená v §3 písm. c) xx e) xxxxxx xxxxxxxxx, xx používá xxxxxxxx xxxxxxxxxxx stejnou xxxx xxxxx xxxxxx xxxxxxxxx xxxxx.
§19
Xxxxxxx pro xxxxxx xxxxxxxxxxxx oprávnění
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx xxxxxx xxxxxxxxx
x) xxx xxxxxxx x jednotlivým xxxxxxxxx a datům x
x) xxx xxxxx xxx, pro zápis xxx x xxx xxxxx oprávnění.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxx xxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxxxxx xxxxxxx přístupových xxxxxxxxx v xxxxxxx x bezpečnostními potřebami x výsledky hodnocení xxxxx.
§20
Nástroj xxx xxxxxxx xxxx xxxxxxxxx kódem
Orgán x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx xxx řízení xxxxx spojených x xxxxxxxxx škodlivého kódu xxxxxxx xxxxxxx pro xxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému xxxx xxxxxxxxx xxxxx, xxxxx zajistí xxxxxxx x xxxxxx kontrolu
a) xxxxxxxxxx mezi xxxxxxx xxxx x xxxxxx xxxx,
x) xxxxxxx x xxxxxxxxx xxxxxxxx úložišť x
x) xxxxxxxxxx xxxxxx,
xxxxxxx xxxxxxx xxxxxxxxxxx x xxxxxxx aktualizaci xxxxxxxx xxx xxxxxxx před xxxxxxxxx xxxxx, xxxx xxxxxxx a signatur.
§21
Xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významných xxxxxxxxxxxx systémů, xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxx pro xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx zajistí
a) sběr xxxxxxxxx x xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxx xxxxxxxx, xxxxx a xxx, xxxxxxxxxxxx xxxxxxxxxxx aktiva, xxxxx xxxxxxx xxxxxxxxxxx, xxxxxxxxxxxx původce a xxxxx xxxxxxxx x xxxxxxxxx xxxx neúspěšnost xxxxxxxx a
b) xxxxxxx xxxxxxxxx xxxxxxxxx před xxxxxxxxxxxx xxxxxx xxxx xxxxxx.
(2) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxx pomocí nástroje xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému zaznamenává
a) xxxxxxxxxx a odhlášení xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxx provedené xxxxxxxxxxxxxx,
x) xxxxxxxx vedoucí xx xxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxx přístupových xxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxx xxxx chybová xxxxxxx xxxxxxxxxxx xxxxx,
x) xxxxxxxx x záznamům x činnostech, pokusy x manipulaci xx xxxxxxx x xxxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx x
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxx včetně xxxxx xxxxx, xxxxx slouží x xxxxxxxxxx.
(3) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx podle xxxxxxxx 2 xxxxxxxx nejméně xx dobu 3 xxxxxx.
(4) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxxxx nejméně xxxxxx xx 24 hodin xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxx xxxxxxxxx do xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx.
§22
Nástroj xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) až x) zákona xxxxxxx xxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx xx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx x xxxxx xxxxxxx ověření, xxxxxxxx x případně xxxxxxxxxxx xxxxxxxxxx xxxx vnitřní xxxxxxxxxxx sítí a xxxxxx xxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) a x) xxxxxx xxxx xxxxxxx xxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxxxx xxxxxxx xxxxxxx, xxxxxxxx x xxxxxxxx xxxxxxxxxxx komunikace
a) x xxxxx vnitřní komunikační xxxx x
x) xxxxxxx xxxxxxxxx xx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.
§23
Xxxxxxx xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxxxxx xxxxxxx xxx sběr a xxxxxxxx vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxxxx x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxxx rizik xxxxxxx
x) integrovaný xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx pro xxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx komunikačním xxxxxxx xxxx x xxxxxxxxxx xxxxxxxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx s xxxxx identifikace xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů, včetně xxxxxxxx varování určených xxxxxxxxxxxxxx rolí.
(2) Xxxxx x osoba xxxxxxx x §3 písm. x) x x) xxxxxx xxxx xxxxxxx
x) xxxxxxxxxxx xxxxxxxxxxx nastavení xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x včasné varování, xxx xxxx xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxx případy xxxxxxxxx xxxxxxxx, x
x) xxxxxxxxx xxxxxxxxx, xxxxx xxxx připraveny xxxxxxxxx xxx xxxx a xxxxxxxxxxx kybernetických bezpečnostních xxxxxxxx, xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury.
§24
Xxxxxxxxx xxxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) až e) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxx zranitelnosti xxxxxxxx, xxxxx jsou xxxxxxxxx x xxxxxx xxxx, x xx xxxx xxxxxx xxxxxxxx do xxxxxxx a xx xxxxx xxxxxxx xxxxx xxxxxxxxxxxxxx xxxxxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx dále x xxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx
x) xxxxxxxx x informací xxxxxxxxxx z xxxxxx xxxx před xxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxxxxxxx xxxx xxxxxxxxxxxxxxx xxxxxx x
x) xxxxxxxxx před xxxxxx xxxxxxxxxxxx, xxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxxxxxxxx nebo xxxxxxxxxx.
§25
Xxxxxxxxxxxxxx xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx
x) pro používání xxxxxxxxxxxxxx xxxxxxx xxxxxxx
1. xxxxxx ochrany x xxxxxxx na xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx x
2. xxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx xxx přenosu xx xxxxxxxxxxxxx xxxxxx xxxx xxx xxxxxxx na xxxxxxx xxxxxxxx nebo xxxxxxxxxxx xxxxxxxxx xxxxxx xxx x
x) x xxxxxxx s xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxxx důvěrnosti x xxxxxxxxx předávaných xxxx ukládaných xxx x xxxxxxxxx xxxxxxxxxxxx xxxxx za xxxxxxxxx xxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) x x) xxxxxx xxxx
x) xxxxxxx pro xxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx správy klíčů, xxxxx xxxxxxx generování, xxxxxxxxxx, xxxxxxxx, archivaci, xxxxx, xxxxxx, xxxxxxxx x xxxxx xxxxx, x
x) používá xxxxxx xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx klíče; v xxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx algoritmy xxxxxxxxx x příloze č. 3 x xxxx xxxxxxxx xxxx xxxxxx xxxxxxx x xxxxx nesouladem.
§26
Nástroj xxx xxxxxxxxxxx xxxxxx dostupnosti
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) až e) xxxxxx x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x výsledky xxxxxxxxx xxxxx xxxxxxx nástroj xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x osoba xxxxxxx x §3 písm. x) x x) xxxxxx používá xxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxx
x) xxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxx xxxxxxx xxxx řízení xxxxxxxxxx xxxxxxxx,
x) odolnost informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx vůči xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx xxxxx snížit xxxxxxxxxx, a
c) xxxxxxxxxx xxxxxxxxxx technických xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury
1. xxxxxxxx xxxxxxxxxx v xxxxxx xxxxxx a
2. zajištěním xxxxxxxxxx technických aktiv x xxxxxxx xxxx.
§27
Bezpečnost průmyslových x xxxxxxxx systémů
Orgán x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxx bezpečnost xxxxxxxxxxxx x řídicích xxxxxxx, xxxxx xxxx informačním xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxx xxxxxx součástí, používá xxxxxxxx, xxxxx zajistí
a) xxxxxxx fyzického přístupu x xxxx x xxxxxxxxx xxxxxxxxxxxx x xxxxxxxx systémů,
b) omezení xxxxxxxxx x vzdáleného xxxxxxxx k síti xxxxxxxxxxxx x řídicích xxxxxxx,
x) ochranu xxxxxxxxxxxx xxxxxxxxxxx xxxxx průmyslových x řídicích xxxxxxx xxxx xxxxxxxx známých xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
XXXXX XXX
XXXXXXXXXXXX XXXXXXXXXXX
§28
Xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx xxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx
x) bezpečnostní xxxxxxxx xxxxx §5 odst. 1,
x) xxxxxx z xxxxxx kybernetické bezpečnosti xxxxx §3 xxxx. 1 xxxx. x),
x) xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx §3 xxxx. 1 písm. x),
x) xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx,
x) xxxxxx x xxxxxxxxx aktiv a xxxxx,
x) xxxxxxxxxx x xxxxxxxxxxxxxxxx,
x) plán zvládání xxxxx,
x) xxxx xxxxxxx xxxxxxxxxxxxxx povědomí podle §9 xxxx. 1 xxxx. a),
i) zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 písm. x),
x) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxx §14 odst. 1 xxxx. x) x
x) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx předpisů x xxxxxxxxx závazků xxxxx §15 odst. 1 xxxx. x).
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xxxxxx xxxx x xxxxxxxxxxx bezpečnostní xxxxxxxxxxx, xxxxx obsahuje
a) xxxxxxxxxxxx politiku xxxxx §5 xxxx. 2,
x) xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx identifikaci x xxxxxxxxx rizik xxxxx §4 xxxx. 2 xxxx. a),
c) xxxxxx x xxxxxxxxx xxxxx x rizik xxxxx §4 odst. 2 xxxx. b) x x),
x) prohlášení x aplikovatelnosti podle §4 xxxx. 2 xxxx. x),
x) xxxx xxxxxxxx xxxxx xxxxx §4 xxxx. 2 xxxx. x),
x) xxxx xxxxxxx bezpečnostního povědomí xxxxx §9 odst. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xxxxx §13 xxxx. x),
x) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxx §14 odst. 1 písm. x) x
x) xxxxxxx právních xxxxxxxx, vnitřních předpisů x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxx §15 xxxx. 1 písm. a).
(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona vede xxxxxxxxxxxx xxxxxxxxxxx xxx, xxx záznamy x xxxxxxxxxxx činnostech byly xxxxx, čitelné, snadno xxxxxxxxxxxxxxxxx a xxx xx xxxx xxxxxx xxxxxxxx. Opatření xxxxxxxx x identifikaci, xxxxxxx, xxxxxxx, xxxxxxxxx, xxxx xxxxxxxxx a xxxxxxxxxx xxxxxxx o provedených xxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxx x příloze č. 4 x xxxx xxxxxxxx.
§29
Xxxxxxxxx xxxxxxxxxxx
Xxxxx a xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx, xxxxx xxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxx xxxxxxxxxx systém xx xxxxx zahrnut xx xxxxxxx systému xxxxxx xxxxxxxxxxx informací, xxxxx byl certifikován xxxxx příslušné xxxxxxxxx xxxxx1) xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx, x xxxxx xxxx xxxxxxxxx xxxxxxxxxx
x) xxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx politiky x xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) popis xxxxxxx xxxxxx xxxxxxxxx xxxxx x xxxxxx x xxxxxxxxx rizik,
d) xxxxxxxxxx x aplikovatelnosti,
e) xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací splňující xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxx1),
x) xxxxxx x přezkoumání xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxxx souvisejících xxxxxx x výstupů xxxxxxxxxxx x
x) xxxxxx x xxxxxx provedených certifikačním xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx o xxxxxxx xxxxxxxxxx neshod x xxxxxxxxxx xxxxxx,
xxxxxxx xxxxxxxxx xx zavedení bezpečnostních xxxxxxxx xxxxx zákona x xxxx xxxxxxxx.
ČÁST TŘETÍ
KYBERNETICKÝ XXXXXXXXXXXX XXXXXXXX
§30
Xxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Xxxxx příčiny xxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx rozděleny do xxxxxxxxxxxxx typů
a) xxxxxxxxxxxx xxxxxxxxxxxx incident způsobený xxxxxxxxxxxxx útokem xxxx xxxxx událostí vedoucí x průniku do xxxxxxx xxxx x xxxxxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx škodlivým xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx překonáním technických xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx spojený x xxxxxxxx xxxxxx xxxxxxxxxx xxxxxx a
f) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx.
(2) Xxxxx xxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx incident způsobující xxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobující xxxxxxxx xxxxxxxxxxx xxxxx, xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx x písmenech x) xx c).
§31
Xxxxxxxxx kybernetických bezpečnostních xxxxxxxxx
(1) Pro xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxx xxxxxxxx a xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx dělí xx xxxxxxxxxxxxx xxxxxxxxx
x) Kategorie XXX - xxxxx xxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx přímo a xxxxxxxx narušena bezpečnost xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx řešení xxxxxxxx neprodlené xxxxxx xxxxxxx x xxx, xx xxxx být xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx vzniklých x xxxxxxxxxxxxx škod.
b) Xxxxxxxxx XX - xxxxxxx kybernetický bezpečnostní xxxxxxxx, při kterém xx narušena xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho řešení xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x xxx, xx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx šíření xxxxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxxxxx xxxxxxxxx xxxx.
x) Kategorie X - xxxx xxxxxxx kybernetický bezpečnostní xxxxxxxx, xxx kterém xxxxxxx x xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx služeb nebo xxxxx. Jeho řešení xxxxxxxx zásahy xxxxxxx x xxx, xx xxxx být xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx xxxxxx kybernetického bezpečnostního xxxxxxxxx včetně xxxxxxxxxxxx xxxxxxxxx škod.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx 1 zohlední
a) důležitost xxxxxxxxx aktiv informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného informačního xxxxxxx,
x) dopady na xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx na xxxxxx xxxxxxxxxxx jinými xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury, komunikačními xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxx významnými xxxxxxxxxxxx systémy x
x) xxxxxxxxxxxxx xxxxx x xxxxx xxxxxx.
§32
Xxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Xxxxx x xxxxx uvedená v §3 písm. c) xx x) xxxxxx xxxxx kybernetický bezpečnostní xxxxxxxx
x) x xxxxxxxxxxxx xxxxxx prostřednictvím
1. xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Úřadu,
2. xxxxxx xx xxxxxx xxxxxxxxxxxx xxxxx Xxxxx xxxxxx pro xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
3. xxxxxx xxxxxx xx xxxxxx schránky Xxxxx, xxxx
4. prostřednictvím určeného xxxxxxxx xxxxxxxx, xxxxx xxxxx je zveřejněn xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx, xxxxx
x) x xxxxxxxx xxxxxx na xxxxxx Národního xxxxxx xxxxxxxxxxxx bezpečnosti, xxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Hlášení x xxxxxxxx xxxxxx xx xxxxxx xxxxx x xxxxxxxxx, kdy xxxxx xxxxxx žádný xx xxxxxxx uvedených v xxxxxxxx 1 xxxx. x).
(3) Xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního incidentu xxxx xxxxxxx x příloze č. 5 x xxxx xxxxxxxx.
XXXX ČTVRTÁ
REAKTIVNÍ XXXXXXXX X KONTAKTNÍ ÚDAJE
§33
Reaktivní xxxxxxxx
Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx x jeho xxxxxxxx xx xxxxxxxxx, jehož xxxx xx xxxxxx x příloze č. 6 k xxxx vyhlášce.
§34
Kontaktní údaje
Orgán x xxxxx xxxxxxx x §3 xxxxxx xxxxxxxx xxxxxxxxx údaje xx xxxxxxxxx, xxxxx vzor xx xxxxxx x příloze č. 7 x xxxx xxxxxxxx. Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxxxx kontaktní údaje xxxxxx uvedenou x §32 odst. 1 xxxx. x).
XXXX XXXX
XXXXXXXX
§35
Xxxx xxxxxxxx xxxxxx xxxxxxxxx xxxx 1. xxxxx 2015.
Ředitel:
Ing. Xxxxxxxx x. r.
Xxxxxxx x. 1 x xxxxxxxx x. 316/2014 Sb.
Hodnocení a xxxxxx xxxxxxxxxxx xxxxx
Xxx xxxxxxxxx důležitosti aktiv xxxx použity xxxxxxxx x xxxxxxx xxxxxxxx. Xxxxx nebo osoba xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxx xxxxxxxx xxxxxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxxxxxxx aktiv, než xxxx je uveden x této příloze, xxxxxx-xx jednoznačné vazby xxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx a stupnicemi x xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx xxxx xxxxxxx x xxxx příloze.
V xxxxxxx použití tří xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx je xxxxxxxxx xxxxxxx buď úrovně xxxxx a xxxxxxx, xxxx xxxxxx xxxxxx x kritická.
Stupnice xxx xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxx jsou xxxxxxx xxxxxxxxx xxxx xxxx určena xx xxxxxxxxxx (xxxx. xx xxxxxxx xxxxxx č. 106/1999 Sb., x xxxxxxxxx xxxxxxxx x xxxxxxxxxx, ve xxxxx pozdějších předpisů). Xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx zájmy xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona. |
Není vyžadována xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx a xxxxx xxxx-xxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) xx e) xxxxxx, xxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxx xxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx a jejich xxxxxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxx, jinými xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx (např. obchodní xxxxxxxxx xxxxx zákona č. 89/2012 Sb., xxxxxxxx xxxxxxx, xxxxxx údaje xxxxx xxxxxx č. 101/2000 Sb., o xxxxxxx xxxxxxxx xxxxx, xx znění pozdějších xxxxxxxx). |
Xxx xxxxxxx důvěrnosti xxxx využívány xxxxxxxxxx, xxxxx zajistí řízení x xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx informací vnější xxxxxxxxxxx xxxx jsou xxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xxxxxx veřejně xxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx míru ochrany xxx xxxxx xxxxxxxxx xxxxxxxxx (xxxx. xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxx xxxxx). |
Xxx xxxxxxx xxxxxxxxxx xx xxxxxxxxxx xxxxxxxx osob, xxxxx x xxxxxxx xxxxxxxxxxx, x xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxx aktiv xx xxxxxx administrátorů. Xxxxxxx informací jsou xxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxxxxxxx xxx hodnocení xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxxxx xxxxxxxxxx xxxxxxxxx zájmy xxxxxx x osoby xxxxxxx x §3 xxxx. x) až x) xxxxxx. |
Xxxx vyžadována xxxxx ochrana. |
|
Střední |
Aktivum xxxx xxxxxxxxx xxxxxxx z xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx xxxx k poškození xxxxxxxxxxx xxxxx orgánu x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona x xxxx se xxxxxxxx méně xxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány xxxxxxxxxx xxxxxxxx (např. xxxxxxx xxxxxxxxxxxx xxxx xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx k poškození xxxxxxxxxxx xxxxx xxxxxx x osoby uvedené x §3 xxxx. x) xx x) xxxxxx x xxxxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx, které xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx x xxxxxxxxxx xxxxxxxx xxxxx provádějící xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx sítěmi xx xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Narušení integrity xxxx k velmi xxxxxxx xxxxxxxxx oprávněných xxxxx xxxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx e) xxxxxx x xxxxxxx x xxxxx xxxxxxx xxxxxx xx xxxxxxxx aktiva. |
Pro xxxxxxx xxxxxxxxx xxxx využívány xxxxxxxxx xxxxxxxxxx jednoznačné xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (xxxx. xxxxxx xxxxxxxxxxx digitálního xxxxxxx). |
Xxxxxxxx xxx hodnocení xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx není xxxxxxxx x x xxxxxxx výpadku xx xxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxx xxxxxxx (xxx do 1 xxxxx). |
Xxx ochranu xxxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx by xxxxxx xxxxxxxxx dobu xxxxxxxxxx xxx, xxxxxxxxxxxxx xxxxxxx xxxx k xxxxxxx xxxxxxxx zájmů orgánu x xxxxx uvedené x §3 xxxx. x) až x) xxxxxx. |
Xxx ochranu dostupnosti xxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx by xxxxxx překročit xxxx xxxxxxxx xxxxx. Jakýkoli xxxxxxx je nutné xxxxx xxxxxxxxxx, protože xxxx x přímému xxxxxxxx xxxxx orgánu x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx. Xxxxxx jsou xxxxxxxxxx xxxx xxxxx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx xxxxxxx systémy x xxxxxx xxxxxxxxxxx xxxxxx xxxx xxx xxxxxxxxx zásahy obsluhy xxxx xxxxxxx technických xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xxxx xxxxxxxxx x x xxxxxxxxxx xxxxxxxxxxxx (x xxxx xxxxxxxx xxxxx) xxxx k xxxxxxx ohrožení zájmů orgánu x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx. Xxxxxx jsou xxxxxxxxxx xxxx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx záložní systémy x xxxxxx xxxxxxxxxxx xxxxxx xx xxxxxxxxxx x xxxxxxxxxxxxxx. |
Xxxxxxx x. 2 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxxx xxxxx
Xxxxxxxxx xxxxx je vyjádřeno xxxx funkce, xxxxxx xxxxxxxxx xxxxx, xxxxxx x zranitelnost.
Pro xxxxxxxxx xxxxx lze xxxxxx xxxxxxx xxxx xxxxxx
xxxxxx = dopad x xxxxxx x xxxxxxxxxxxx.
Xxxxxxxxxxx xxxxxx xxxxxx xxx xxxxxx xxxxxx xx xxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx rizika
|
Stupnice xxx xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxx xx x xxxxxxxx xxxxxxx xxxxxx x xxxxxx xxxxxxx x xxxxx xxx katastrofický. Rozsah xxxxxxxxxx xxxx xxxxxxxxxxx x) 10 xxxxxxxxx xxxx x xxxxxxxxx hospitalizací xx xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xx 5&xxxx;000&xxxx;000 Xx anebo c) xxxxxxxxxxx xxxxx xx veřejnost x rozsáhlým xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx závažného xxxxxx xx každodenního xxxxxx xxxxxxxxxxxxx xxxxxxx 250 xxxx. |
|
Xxxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx x v xxxxxxxx xxxxxxx období. Rozsah xxxxxxxxxx xxxx se xxxxxxxx x xxxxxxx x) xx 10 xxxxxxx xxxx xx 11 xx 100 xxxx x xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 hodin xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx od 5&xxxx;000&xxxx;000 Xx xx 50&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx dopad xx xxxxxxxxx s xxxxxxxxx xxxxxxxx xxxxxxxxxx služeb xxxx jiného xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xx 251 xx 2&xxxx;500 xxxx. |
|
Xxxxxx |
Xxxxx je omezeného xxxxxxx, ale xxxxxx xxxx katastrofický. Rozsah případných xxxx se xxxxxxxx x xxxxxxx x) xx 11 do 100 xxxxxxx xxxx xx 101 xx 1 000 osob x xxxxxxxxx hospitalizací po xxxx xxxxx xxx 24 hodin xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx od 50&xxxx;000&xxxx;000 Xx do 500&xxxx;000&xxxx;000 Xx xxxxx x) představuje xxxxx xx xxxxxxxxx x rozsáhlým omezením xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx života xxxxxxxxxxxxx od 2 501 xx 25&xxxx;000 xxxx. |
|
Xxxxxxxx |
Xxxxx xx plošný xxxxxxxx, xxxxxx a xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xx xxxxxxxx x rozmezí a) 10 x xxxx xxxxxxx x 1 001 a xxxx xxxx x následnou xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx nebo b) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxxxxxx 500&xxxx;000&xxxx;000 Kč xxxxx x) představuje xxxxx xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx nebo xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx postihujícího xxxx xxx 25&xxxx;000 xxxx. |
|
Xxxxxxxx xxx hodnocení xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx neexistuje xxxx xx xxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxx xxxxxxxx xxx xxxxxx xx 5 xxx. |
|
Xxxxxxx |
Xxxxxx xx xxxx xxxxxxxxxxxxx xx pravděpodobná. Xxxxxxxxxxxxx realizace xxxxxx xx x xxxxxxx xx 1 xxxx xx 5 xxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxxxxx až xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx hrozby je x xxxxxxx xx 1 xxxxxx xx 1 xxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx pravděpodobná xx xxxxxxxx xxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx xxxxxxxx xxx xxxxxx xx měsíc. |
|
Stupnice xxx xxxxxxxxx zranitelností |
|
|
Úroveň |
Popis |
|
Nízká |
Zranitelnost xxxxxxxxxx xxxx je xxxxxxxx xxxxxxxxxxxxx xxxx pravděpodobné. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxx xxxx detekovat xxxxx slabiny nebo xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxxxxxx xx xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx opatření, xxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx. Schopnost xxxxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxx slabiny nebo xxxxxxxx pokusy o xxxxxxxxx xxxxxxxx xx xxxxxxx. Nejsou známé xxxxx xxxxxxx pokusy x překonání xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx xx pravděpodobná xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx opatření xxxxxxxx, xxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxx potřebné xxxxxxx a xxxx xxxxxxxxxx kontrolována. Jsou xxxxx xxxxx xxxxxxx xxxxxx o překonání xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxxxxxx je xxxxx xxxxxxxxxxxxx xx xx xxxxxxxx xxxxx xxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxx xx jejich účinnost xxxxxx xxxxxxx. Neprobíhá xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Xxxx známé xxxxxxx pokusy xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx pro xxxxxxxxx rizik |
|
|
Úroveň |
Popis |
|
Nízké |
Riziko xx xxxxxxxxxx xx přijatelné. |
|
Střední |
Riziko xxxx být xxxxxxx xxxx náročnými xxxxxxxxxx xxxx x xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xx riziko xxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxx xxxxxxxxxxx x musí být xxxxxxxx xxxxxxxxxxxx xxxxx x jeho odstranění. |
|
Kritické |
Riziko xx xxxxxxxxxxx x xxxx xxx xxxxxxxxxx xxxxxxxx xxxxx k xxxx xxxxxxxxxx. |
X xxxxxxx, xx orgán nebo xxxxx xxxxxxx v §3 xxxx. c) xx x) xxxxxx xxxxxxx metodu pro xxxxxxxxxxxx a hodnocení xxxxx, která xxxxxxxxxxx xxxxxxxxx hrozby x xxxxxxxxxxxxx, xx možné xxxxxxxx pro hodnocení xxxxxx x zranitelností xxxxxxx. Xxxxxxxx stupnic xx nemělo vést xx xxxxxx xxxxxxxxxx xxxxxxxxx míry xxxxxx x xxxxxxxxxxxxx. Xx xxxxx xxxxxx xxx xxxxxx například komentář, xxxxx xxxxxxxx xxxxxxx xxx xxxxxx xxxxxx, xxx x úroveň xxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx x xxxxx xxxx xxxxx xxxxxxx v §3 písm. x) xx x) xxxxxx, xxxxx používá xxxx xxxxx xxxxxx xxx xxxxxxxxx dopadů, xxxxxx, xxxxxxxxxxxxx x xxxxx.
Xxxxxxx č. 3 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx algoritmy
a) Xxxxxxx x proudové šifry xxx xxxxxxx důvěrnosti x xxxxxxxxx
1. Advanced Xxxxxxxxxx Xxxxxxxx (AES) x xxxxxxxx xxxxx xxxxx 128, 192 x 256 xxxx Xxxxxx Data Encryption Xxxxxxxx (3DES) x xxxxxxxx xxxxx klíčů 168 xxxx, omezené xxxxxxx xxx se xxxxxxxxx xxxxx xxxxxx xxx 10 GB, xxxxxxxx xxxxxxxxx na XXX.
2. Xxxxxx Xxxx Xxxxxxxxxx Xxxxxxxx (3XXX) x využitím xxxxx xxxxx 112 xxxx, xxxxxxx použití xxx xx xxxxxxxxx klíče xxxxxx než 10 XX, postupně xxxxxxxxx xx AES. Xxxxxxxxxx xxxxxxx xxxxxxxxxxx klíče xxx xxxxxx xxxxxx.
3. Xxxxxxxx s xxxxxxxx xxxxxxxxx xxxxx klíčů 128 xxxx, omezené xxxxxxx xxx se xxxxxxxxx xxxxx xxxxxx xxx 10 XX.
4. Xxxxxx s využitím xxxxx xxxxx 128 xxxx, xxxxxxx použití xxx xx zatížením xxxxx menším než 10 XX.
5. Xxxxxxx x xxxxxxxx xxxxx xxxxx 128 xx 256 bitů.
6. Xxxxxxx x xxxxxxxx xxxxx xxxxx 128, 192, 256 xxxx.
7. Xxxxxxxx x xxxxxxxx xxxxx xxxxx 128, 192 x 256 xxxx.
8. XXXX 2.0, XXXX 3X x využitím xxxxx xxxxx 128, 256 bitů.
b) Xxxx xxxxxxxxx x ochranou xxxxxxxxx
1. CCM,
2. XXX,
3. XXX,
4. Xxxxxxx xxxxxxxx xxxx "Xxxxxxx-xxxx-XXX".
Xxxxxxxx:
Xxxxxxxx xxxx "Xxxxxxx-xxxx-XXX",xxxx xxxxxxxx x xxxxxxxxx xxxxx uvedené xxxxxxxxx xxxx x x výpočtu MAC xxxxx uvedené xxxx xxx ochranu xxxxxxxxx.
x) Xxxx xxxxxxxxx
1. XXX,
2. XXX,
3. XXX,
4. XXX,
Xxxxxxxx:
Xxxx XXX x XXX xxxx být použity x xxxxxxxx, pro xxxxxxxx nepředpověditelným xxxxxxxxxxxxxx xxxxxxxx, při xxxxxxx xxxx XXX xx xxx xxxx klíč xxxxx xxxxxxxx hodnota xxxxxxxxxxxxxxx xxxxxxx, xxx xxxxxxx módu CTR xx xxx xxxx xxxx nesmí xxxxxxxx xxxxxxx čítače, x xxxxxxx xxxxxxx XXX xxxx x šifrování xxx ochrany xxxxxxxxx xx xxxxx xxxxxx xxxxxxxx xxxxx xxxxx xx padding XXX xxxx.
x) Xxxx pro xxxxxxx xxxxxxxxx
1. XXXX,
2. XXX-XXX-X9.19, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxxx xxx 109 XXX,
3. XXX-XXX-XXXX,
4. XXXX.
(2) Xxxxxxxxxxx xxxxxxxxx
x) Xxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx
1. Xxxxxxx Xxxxxxxxx Xxxxxxxxx (XXX) x xxxxxxxx xxxxx xxxxx 2048 xxxx a více, xxxxx xxxxxxxxx cyklické xxxxxxxx 224 xxxx x více.
2. Elliptic Xxxxx Xxxxxxx Signature Xxxxxxxxx (XX-XXX) s xxxxxxxx xxxxx xxxxx 224 xxxx x xxxx.
3. Xxxxxx-Xxxxxx-Xxxxxxx Xxxxxxxxxxxx Xxxxxxxxx Xxxxxx (XXX-XXX) x xxxxxxxx délky xxxxx 2048 xxxx x více.
b) Xxx xxxxxxx xxxxx na xxxxx x šifrování xxxxx
1. Xxxxxx-Xxxxxxx (XX) x xxxxxxxx délky xxxxx 2048 xxxx x více, délky xxxxxxxxx xxxxxxx podgrupy 224 xxxx x xxxx.
2. Xxxxxxxx Xxxxx Xxxxxx-Xxxxxxx (XXXX) x xxxxxxxx délky xxxxx 224 xxxx a xxxx.
3. Xxxxxxxx Curve Xxxxxxxxxx Encryption Xxxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXXXX-XXX) x xxxxxxxx xxxxx xxxxx 256 xxxx a xxxx.
4. Xxxxxxxx Secure Xxxxxxxx Curve - Xxx Xxxxxxxxxxxxx Mechanism (XXXX-XXX) s xxxxxxxx xxxxx xxxxx 256 xxxx xxxx.
5. Asymetrie Xxxxxxx and Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) x xxxxxxxx xxxxx xxxxx 256 xxxx x xxxx.
6. Rivest Xxxxxx Adleman - Xxxxxxx Xxxxxxxxx Xxxxxxxxxx Xxxxxxx (XXX-XXXX) s xxxxxxxx xxxxx klíčů 2048 x xxxx.
7. Xxxxxx Shamir Xxxxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) s xxxxxxxx xxxxx klíčů 2048 x xxxx.
(3) Xxxxxxxxx xxxx funkcí
a) XXX-2
1. XXX-224,
2. SHA-256,
3. XXX-384,
4. XXX-512,
5. XXX-512/224,
6. XXX-512/256.
x) XXX-3
1. SHA3-224,
2. XXX3-256,
3. SHA3-384,
4. XXX3-512,
5. XXXXX-128,
6. XXXXX-256.
x) Ostatní xxxxxxxx funkce
1. Xxxxxxxx,
2. XXXXXX-160,
3. XXX 1 x xxxxxxxx xxxxxxxx.
Xxxxxxxx x. 1:
SHA-1 se xxxxx používat xxx xxxxxxxxxx xxxxxx digitálních xxxxxxx, xxxxxxxx xxxxxxx, xxxxxxxxx jiné xxxxxxxx xxxxxxxxxx xxxxxxxxx XXX-1.
Xxxxxxxx x. 2:
SHA-1 xxx xxxxxxxx xxxxx xxx xxxxxxxxx xxx existujících xxxxxxxxxxx xxxxxxx x xxxxxxxx razítek, generování x xxxxxxxxx HMAC-SHA1, xxxxxx xxx xxxxxxxxxx xxxxx x pseudonáhodné xxxxxxxxxx.
Xxxxxxx č. 4 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
Xxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx, xxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx x xx xx xxxxxx xxxx osobě uvedené x §3 xxxx. x) až e) xxxxxx, xxxx xxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx. Přípustná xx i xxxxx xxxxx jednotlivých dokumentů xxxx xxxxxxxxxxx xxxx xxxxx do xxxxxxx xxxxxxxxx.
X. Xxxxxxxxx xxxxxxxxxxxx xxxxxxxx
(1) Xxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx*
[§5 xxxx. 1 písm. x), §5 xxxx. 2 písm. x)]
x) Xxxx, xxxxxxxx x xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx x xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxx dokumentace.
d) Xxxxxxxx x xxxxxxx pro xxxxxx xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.
e) Pravidla x xxxxxxx xxx xxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx a xxxxxxx pro xxxxxxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro nápravná xxxxxxxx x xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx**
[§5 xxxx. 1 xxxx. b), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxxxxxxxxx xxxx a jejich xxxx x povinností,
1. xxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
2. xxxxx x xxxxxxxxxx xxxxxxxxxx kybernetické bezpečnosti,
3. xxxxx x povinnosti xxxxxxxx kybernetické xxxxxxxxxxx,
4. xxxxx a xxxxxxxxxx xxxxxxx aktiv,
5. xxxxx x povinnosti xxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxx.
(3) Xxxxxxxx xxxxxx xxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x principy xxx xxxxx dodavatelů.
b) Xxxxxxxx pro hodnocení xxxxx xxxxxxxxxx.
x) Xxxxxxxxxxx xxxxxxx x úrovni xxxxxx a způsobů x xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx x x určení xxxxxxxx xxxxxxx odpovědnosti.
d) Pravidla xxx xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx.
(4) Politika xxxxxxxxxxx xxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x xxxxxxxx jednotlivých xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. hodnocení xxxxxxxxxxx primárních xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxxxxxxx, xxxxxxxxx a xxxxxxxx xxxxxxxxxx aktiv
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxx vazeb xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx
1. způsoby rozlišování xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx xxx manipulaci x xxxxxxxx xxxxx xxxxx úrovní xxxxx,
3. xxxxxxxxx xxxxxxx používání xxxxx.
x) Xxxxxxx spolehlivého xxxxxxx nebo xxxxxx xxxxxxxxxxx xxxxxx dat.
(5) Xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxx hodnocení
1. xxxxxxx x xxxxx xxxxxxx xxxxxxxxx,
2. xxxxxxx x formy xxxxxxx xxxxxxx aktiv,
3. xxxxxxx x formy poučení xxxxxxxxxxxxxx,
4. xxxxxxx a xxxxx poučení xxxxxxx xxxx xxxxxxxxxxxxx bezpečnostní xxxx.
x) Bezpečnostní xxxxxxx xxxxxx zaměstnanců.
c) Xxxxxxxx xxx řešení xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxxxxxx vztahu xxxx xxxxx xxxxxxxx xxxxxx.
1. xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxx,
2. xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxx xxxxxx.
(6) Xxxxxxxx řízení xxxxxxx x komunikací**
[§5 odst. 1 xxxx. x), §5 odst. 2 xxxx. x)]
x) Pravomoci x xxxxxxxxxxxx xxxxxxx x xxxxxxxxx provozem.
b) Xxxxxxx xxxxxxxxxx provozu.
c) Xxxxxxxxx a xxxxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxx xxxxxxxxxxx zranitelností.
e) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx.
(7) Xxxxxxxx řízení xxxxxxxx**
[§5 odst. 1 xxxx. g), §5 xxxx. 2 xxxx. x)]
x) Princip xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (xxxx xx xxxx).
x) Xxxxxxxxx xx xxxxxx přístupu.
c) Xxxxxxx cyklus xxxxxx xxxxxxxx.
x) Řízení xxxxxxxxxxxxxxx xxxxxxxxx.
x) Řízení přístupu xxx xxxxxxxxx situace.
f) Xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx skupinách.
(8) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. h)]
a) Xxxxxxxx xxx bezpečné xxxxxxxxx x xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx.
x) Bezpečné použití xxxxxxxxxxxx xxxxx a xxxxxxxx xx internet.
d) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx chování na xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx xx xxxxxx x xxxxxxxx zařízením.
(9) Politika xxxxxxxxxx a xxxxxx**
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. i)]
a) Xxxxxxxxx na zálohování x obnovu.
b) Xxxxxxxx x xxxxxxx xxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx.
x) Pravidla x xxxxxxx obnovy.
e) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxx x xxxxxx.
(10) Xxxxxxxx bezpečného xxxxxxxxx x xxxxxx xxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxxxxxxx informací.
b) Xxxxxxx xxxxxxx elektronické xxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx kryptografické xxxxxxx.
(11) Xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx**
[§5 odst. 1 xxxx. x)]
x) Xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx x postupy xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) Xxxxxxxx a postupy xxxxxxxxx xxxxx programového xxxxxxxx,
x) Xxxxxxxx a xxxxxxx nasazení oprav xxxxxxxxxxxx xxxxxxxx.
(12) Politika xxxxxxxxxx xxxxxxxxx mobilních xxxxxxxx*
[§5 xxxx. 1 xxxx. 1)]
x) Pravidla x postupy xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx.
x) Pravidla a xxxxxxx pro xxxxxxxxx xxxxxxxxxxx zařízení, xxxxxxx xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxxxxxxxxx.
(13) Xxxxxxxx poskytování x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx a xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxx x postupy xxxxxxxx programového xxxxxxxx x xxxx evidence.
b) Xxxxxxxx x postupy xxx kontrolu xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
(14) Politika xxxxxxxxxxxx ukládání x xxxxxxxxx informací*
[§5 xxxx. x písm. n)]
a) Xxxxxxxx a postupy xxxxxxxxx xxxxxxxxx x xxxxxxx.
x) Xxxxxxx xxxxxxxxxxxxx xxxxxxxxx x xxxxxxx.
x) Xxxxxxxx přístupu x xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx.
(15) Xxxxxxxx xxxxxxx xxxxxxxx údajů*
[§5 xxxx. x xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx údajů.
b) Xxxxx přijatých a xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx ochranu xxxxxxxx xxxxx.
x) Popis xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxx údajů.
(16) Politika xxxxxxx xxxxxxxxxxx**
[§5 xxxx. x xxxx. p)]
a) Xxxxxxxx pro xxxxxxx xxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxx osob.
c) Xxxxxxxx xxx ochranu xxxxxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxx bezpečnosti.
(17) Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxx**
[§5 xxxx. 1 písm. x)]
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxxxxxxx sítě.
b) Xxxxxx xxxx a xxxxxxxxxx xx xxxxxxxx provoz xxxx.
x) Pravidla x xxxxxxx xxx řízení xxxxxxxx v xxxxx xxxx.
x) Xxxxxxxx a xxxxxxx pro xxxxxxx xxxxxxxxxx xxxxxxxx x xxxx.
x) Xxxxxxxx a xxxxxxx pro monitorování xxxx x xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.
(18) Xxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx*
[§5 xxxx. l xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx a xxxxxxx pro ochranu xxxxxxxxxx xxxx xxxxxxx x xxxxxx xxxx.
x) Xxxxxxxx x postupy xxx xxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxxxxx stanic.
(19) Xxxxxxxx xxxxxxxx a xxxxxxxxx xxxxxxxx pro detekci xxxxxxxxxxxxxx bezpečnostních xxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. n)]
a) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx xxxxxxxxxxxxx x xxxxxxxxx na xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx události.
c) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
(20) Xxxxxxxx xxxxxxx x xxxxxx xxxxxxxx pro xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx a xxxxxxx xxx evidenci x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí.
b) Pravidla x xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxx sběr x vyhodnocení kybernetických xxxxxxxxxxxxxx událostí.
(21) Xxxxxxxx xxxxxxxxxx xxxxxxxxx kryptografické xxxxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxx x xxxxxxx xx xxx a xxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx ochrany xxxxxxxxx
1. xxx xxxxxxx po xxxxxxxxxxxxx xxxxxx,
2. xxx xxxxxxx xx mobilní xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx nosič dat,
c) Xxxxxx xxxxxx klíčů.
II. Xxxxxxxxx xxxxx xxxxxxxxxxx
(1) Xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx**
[§28 xxxx. 1 xxxx. b)]
a) Xxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx xxxx xxxxxxxx x osob, xxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx.
x) Datum x xxxxx, kde xxxx xxxxxxxxx xxxxxxxx xxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
(2) Zpráva z xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx**
[§28 odst. 1 písm. x)]
x) Xxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) Xxxxxxxxxxxx změn x xxxxxxxxx, xxxxx xxxxx xxx xxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Zpětná xxxxx x výkonnosti xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x xxxxxxxx opatření,
2. xxxxxxxx monitorování x xxxxxx,
3. xxxxxxxx xxxxxx,
4. xxxxxxxx xxxx xxxxxxxxxxx,
x) Xxxxxxxx hodnocení xxxxx x xxxx xxxxx xxxxxxxx rizik.
e) Xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, stanovení opatření x osob xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
(3) Xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x hodnocení xxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx primárních xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxx,
2. xxxxxx stupnice xxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxx,
3. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.
x) Xxxxxx xxxxxxxx pro xxxxxxxxx xxxxx
1. určení xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxx,
2. určení xxxxxxxx xxx hodnocení xxxxxx xxxxxx,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx zranitelnosti,
4. určení xxxxxxxx pro xxxxxxxxx xxxxxx xxxxx,
x) Xxxxxx x xxxxxxxx pro xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx.
(4) Xxxxxx o xxxxxxxxx xxxxx x xxxxx**
[§28 xxxx. 1 písm. x), §28 xxxx. 2 písm. c)]
a) Xxxxxxx xxxxxxxxxx aktiv
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx xxxxx,
2. určení xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxxxxx primárních xxxxx x hlediska xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxx (xxxxxxx xxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx)
1. identifikace x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxx xxxxx mezi xxxxxxxxxx x podpůrnými aktivy,
c) Xxxxxxxxxxxxxx a xxxxxxxxx xxxxx
1. posouzení xxxxxxx xxxxxx xx xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx hrozeb,
3. xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
4. xxxxxxxxx úrovně xxxxxx, xxxxxxxxx této xxxxxx x xxxxxxxx pro xxxxxxxxxxxx rizik,
5. určení x schválení xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxx
1. xxxxx xxxxxxx zvládání xxxxx,
2. návrh opatření x jejich realizace.
(5) Xxxxxxxxxx x aplikovatelnosti*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx včetně xxxxxxxxxx xxxxxx xxxxxx x xxxxxx xxxxx xx xxxxxxxxxxxxxx rizika.
b) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx opatření.
(6) Xxxx xxxxxxxx xxxxx**
[§28 xxxx. 1 písm. x), §28 odst. 2 xxxx. e)]
a) Xxxxx x xxxx xxxxxxxxx bezpečnostních opatření xxx zvládání xxxxx.
x) Xxxxxxxx xxxxxx xxx xxxxxxxxxx bezpečnostní xxxxxxxx xxx xxxxxxxx rizik.
c) Xxxxx zajišťující xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
d) Xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro zvládání xxxxx.
x) Způsoby hodnocení xxxxxxxxxx zavedení xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
(7) Xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. x)]
x) Xxxxx x termíny xxxxxxx xxxxxxxxx.
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxx aktiv (xxxxxxx xxx xxxxxx a xxxxx xxxxxxx v §3 písm. x) xxxxxx).
x) Xxxxx a xxxxxxx xxxxxxx administrátorů (xxxxxxx xxx xxxxxx x osoby xxxxxxx x §3 písm. x) xxxxxx).
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxx xxxx zastávajících xxxxxxxxxxxx xxxx.
x) Xxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxx x způsoby xxxxxxxxx xxxxx.
(8) Xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Definování xxxxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx evidenci x zvládání xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx testování xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro vyhodnocení xxxxxxxxxxxxxx bezpečnostních incidentů x pro xxxxxxxxxx xxxxxxxxxxxx bezpečnosti.
(9) Xxxxxxxxx xxxxxx kontinuity xxxxxxxx**
[§28 xxxx. 1 xxxx. x), §28 odst. 2 písm. h)]
a) Xxxxx a povinnosti xxxxxxxxxxxx xxxx.
x) Xxxx xxxxxx xxxxxxxxxx xxxxxxxx
1. xxxxxxxxx xxxxxx poskytovaných xxxxxx,
2. xxxx obnovení xxxxx,
3. xxx xxxxxxxx xxxxx.
x) Xxxxxxxxx xxxxxx xxxxxxxxxx činností pro xxxxxxxx xxxx xxxxxxxxxx.
x) Xxxxxxx hodnocení dopadů xxxxxxxxxxxxxx bezpečnostních incidentů xx kontinuitu x xxxxxxxxxx souvisejících xxxxx.
x) Xxxxxx x obsah xxxxxxxxxx xxxxx xxxxxxxxxx.
x) Xxxxxxx pro realizaci xxxxxxxx vydaných Národním xxxxxxxxxxxxx xxxxxx.
(10) Přehled xxxxxx závazných xxxxxxxx xxxxxxxx, vnitřních předpisů x jiných předpisů x xxxxxxxxx závazků*
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. i)]
a) Xxxxxxx obecně závazných xxxxxxxx xxxxxxxx.
x) Přehled xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx závazků.
Poznámka:
* Očekávaná xxxxxxxxx xxxxxxxxx xx xx xxxxxx xxxxxxx xxxxx stupnice uvedené x příloze č. 1: Hodnocení x xxxxxx aktiv.
** Xxxxxxxxx xxxxxxxxx dokumentu xx na xxxxxx xxxxxx xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.
Příloha x. 5 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx č. 6 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxx xxxxxxxx x provedení reaktivního xxxxxxxx a xxxx xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Příloha č. 7 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx pro xxxxxxx xxxxxxxxxxx údajů
Vyplnitelný formulář ve formátu PDF
Informace
Právní xxxxxxx x. 316/2014 Xx. nabyl xxxxxxxxx dnem 1.1.2015.
Ke xxx uzávěrky právní xxxxxxx xxxxx xxxxx xx xxxxxxxxx.
Xxxxxx předpis x. 316/2014 Sb. xxx xxxxxx právním xxxxxxxxx č. 82/2018 Sb. x xxxxxxxxx od 28.5.2018.
Xxxxx xxxxxxxxxxxx právních xxxxx xxxxxx právních předpisů x xxxxxxxx xxxx xxxxxxxxxxxxx, pokud xx xxxx xxxxxx derogační xxxxx shora xxxxxxxxx xxxxxxxx předpisu.
1) XXX/XXX 27001:2013, xxxxxxxx XXX XXX/XXX 27001:2014