Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
XXXXXXXX
xx xxx 15. xxxxxxxx 2014
x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x x xxxxxxxxx xxxxxxxxxxx podání v xxxxxxx xxxxxxxxxxxx bezpečnosti (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx bezpečnostní xxxx xxxxxxx xxxxx §28 xxxx. 2 zákona x. 181/2014 Xx., x xxxxxxxxxxxx bezpečnosti x x xxxxx xxxxxxxxxxxxx xxxxxx (xxxxx x xxxxxxxxxxxx bezpečnosti), (xxxx xxx "xxxxx") x xxxxxxxxx §6 xxxx. a) xx x), §8 xxxx. 4, §13 xxxx. 4 a §16 xxxx. 6 xxxxxx.
XXXX PRVNÍ
ÚVODNÍ XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxxx vyhláškou xx xxxxxxx xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx, xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxx jejich zavedení, xxxx x kategorie xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx x xxxxxx xxxxxxx kybernetického bezpečnostního xxxxxxxxx, xxxxxxxxxxx xxxxxxxx x provedení reaktivního xxxxxxxx x xxxx xxxxxxxx x vzor xxxxxxxx xxxxxxxxxxx údajů x xxxx formu.
§2
Vymezení xxxxx
X xxxx xxxxxxxx se rozumí
a) xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx část xxxxxxx xxxxxx orgánu x xxxxx uvedené x §3 písm. c) xx x) xxxxxx xxxxxxxx na xxxxxxxx x rizikům informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxx xxxxxx ustavení, xxxxxxxx, xxxxxx, xxxxxxxxxxxx, přezkoumání, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx informací,
b) xxxxxxx xxxxxxxx aktivum x xxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxx, kterou xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx systém xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx aktivum, zaměstnanci x dodavatelé xxxxxxxxxx xx xx xxxxxxx, xxxxxxx, správě xxxx xxxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx systému,
e) xxxxxxxxxx aktivem xxxxxxxxx xxxxxxxx, komunikační prostředky x xxxxxxxxxx vybavení xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx a xxxxxxx, ve kterých xxxx tyto systémy xxxxxxxx,
x) xxxxxxx možnost, xx xxxxxx xxxxxx xxxxxxx zranitelnosti xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného informačního xxxxxxx x xxxxxxx xxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxx xxxxxx, xxx xxxx je xxxxxxxx xxxxxxxxxx xxxxx x xxxxxx přijatelná xxxxxx,
x) xxxxxxx xxxxx činnost xxxxxxxxxx xxxxxxxxx xxxxx, xxxxx x xxxxxxxx xxxxxxxx xx xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx x xxxxxx x xxxxxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxxxx xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxx nebo xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxx xxxx být xxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxx xxxxx xxxxx xxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx může být xxxxxxxx xxxxxx xxxx xxxx hrozbami,
k) přijatelným xxxxxxx riziko xxxxxxxxx xx uplatnění xxxxxxxxxxxxxx xxxxxxxx, jehož xxxxxx xxxxxxxx kritériím xxx xxxxxxxxxxxx rizik,
l) xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxx x xxxxxxxx, které xxxxxx xxxxxx xxxxxxxxx xxxxxxx aktiv orgánem x xxxxxx xxxxxxxx x §3 xxxx. x) až x) xxxxxx,
x) garantem xxxxxx xxxxxxx osoba pověřená xxxxxxx nebo osobou xxxxxxxx v §3 xxxx. x) až x) zákona k xxxxxxxxx xxxxxxx, xxxxxxx x bezpečnosti xxxxxx,
x) xxxxxxxxxx xxxxxxx nebo xxxxxxxxx xxxxx anebo xxxxx xxxxxxx xxxx, xxxxx xxxxxxx xxxxxxxx xxxxxx,
x) administrátorem xxxxxxx xxxxx xxxxxxxx garantem xxxxxx xxxxxxxxxxx xxxxxx, xxxxxx, xxxxxxx, xxxxxx x bezpečnost xxxxxxxxxxx xxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX OPATŘENÍ
§3
Systém xxxxxx xxxxxxxxxxx xxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx x xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx x xxxxxxx xx xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, ve xxxxxx xxxx, xxxxxxx organizačních xxxxx x technických xxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx,
x) xxxx rizika xxxxx §4 xxxx. 1,
x) xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx x oblasti xxxxxxx xxxxxx bezpečnosti informací, xxxxx xxxxxxxx xxxxxx xxxxxx, xxxx, bezpečnostní xxxxxxx, xxxxx x xxxxxxxxxx xx xxxxxx x řízení xxxxxxxxxxx xxxxxxxxx x xx xxxxxxx xxxxxxxxxxxxxx potřeb x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §5 x xxxxxx xxxxxxxxx xxxxxxxxxxxx opatření,
d) monitoruje xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx a xxxxxxxx xxxxxxxxxxxx politiky xxxxx §5,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §15, x xx xxxxxxx xxxxxx xxxxx,
x) zajistí xxxxxxxxxxx xxxxxxxxx systému xxxxxx bezpečnosti informací, xxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx včetně xxxxxx xxxxxxxxx xxxxx, xxxxxxxxx výsledků provedených xxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx na xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, x xx nejméně xxxxxx xxxxx,
x) xxxxxxxxxxx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx na xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x x souvislosti x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx a
i) řídí xxxxxx a zdroje xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx činnosti xxxxxxx se xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. e) zákona x rámci xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxx xxxxxx xxxxx §4 odst. 2,
b) xxxxxxx a xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx, která xxxxxxxx hlavní xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx xx vztahu x xxxxxx xxxxxxxxxxx informací x xx základě xxxxxxxxxxxxxx xxxxxx x xxxxxxxx hodnocení rizik xxxxxxx bezpečnostní politiku x dalších xxxxxxxxx xxxxx §5, a xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x
x) provádí xxxxxxxxxxx xxxxxx o xxxxxxxxx aktiv a xxxxx, bezpečnostní xxxxxxxx, xxxxx zvládání rizik x xxxxx rozvoje xxxxxxxxxxxxxx povědomí, x xx nejméně xxxxxx xx xxx roky xxxx v xxxxxxxxxxx x prováděnými xxxx xxxxxxxxxxx xxxxxxx.
§4
Xxxxxx xxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx x xxxxx xxxxxx rizik
a) xxxxxxx xxxxxxxx pro identifikaci x hodnocení xxxxx x pro xxxxxxxxxxxx x xxxxxxxxx rizik xxxxxx xxxxxxxxx xxxxxxxx xxx přijatelnost rizik,
b) xxxxxxxxxxxx x hodnotí xxxxxxxxxx xxxxx, xxxxx xxxxx xx xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxx §8 x xxxxxxx přílohy č. 1 x této vyhlášce x xxxxxxx xxxxxxxxx xx xxxxxx o xxxxxxxxx xxxxx a xxxxx,
x) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx xxxxxxxx xxxxxx a zranitelnosti, xxxxxxx xxxxx xxxxxx xx aktiva, hodnotí xxxx rizika xxxxxxxxx x xxxxxxx xxxxx přílohy č. 2 k této xxxxxxxx, určí a xxxxxxx xxxxxxxxxx xxxxxx x zpracuje xxxxxx x hodnocení xxxxx x xxxxx,
x) zpracuje xx základě xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx prohlášení x aplikovatelnosti, xxxxx xxxxxxxx xxxxxxx vybraných x xxxxxxxxxx bezpečnostních xxxxxxxx,
x) zpracuje x xxxxxx xxxx xxxxxxxx xxxxx, xxxxx obsahuje xxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, technické, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxx xxxxxx zavedení x xxxxx vazeb xxxx xxxxxx x xxxxxxxxxxx bezpečnostními xxxxxxxxxx x
x) zohlední xxx xxxxxxxxxx odkladu xxxxxxxxx x xxxxxxxx xxxxxxxx xxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx (xxxx xxx "Xxxx") x xxxxxxxxx xxxxx x x xxxxxxx, xx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxx x realizací xxxxxxxxxxx xxxx ochranného xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx xxx přijatelnost xxxxx, xxxxxx plán xxxxxxxx xxxxx.
(2) Orgán x xxxxx uvedená x §3 písm. x) xxxxxx x rámci xxxxxx xxxxx
x) stanoví xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx identifikaci x xxxxxxxxx xxxxx xxxxxx stanovení xxxxxxxx xxx přijatelnost xxxxx,
x) xxxxxxxxxxxx a xxxxxxx xxxxxxxxxx xxxxxxxxxx aktiv, xxxxx xxxxx xx xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxx §8 minimálně v xxxxxxx přílohy č. 1 x xxxx xxxxxxxx x xxxxxxx zapracuje xx xxxxxx o xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxxxxxx rizika, xxx xxxxxxx zohlední xxxxxx x xxxxxxxxxxxxx, posoudí xxxxx dopady na xxxxxxxx aktiva, hodnotí xxxx xxxxxx xxxxxxxxx x rozsahu podle přílohy č. 2 x xxxx xxxxxxxx x xxxxxxxx xxxxxx o hodnocení xxxxx x xxxxx,
x) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx o xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx x zavedených xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx x zavede xxxx xxxxxxxx xxxxx, xxxxx xxxxxxxx xxxx a xxxxxxx xxxxxxxxxxxxxx opatření xxx zvládání xxxxx, xxxxxx xxxxx zajišťující xxxxxxxxxxx xxxxxxxxxxxxxx opatření xxx zvládání rizik, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x informační xxxxxx, xxxxxxx xxxxxx xxxxxxxx a xxxxx xxxxx xxxx xxxxxxxxxxxxxxxx xxxxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxxx xxxxxxx reaktivní x xxxxxxxx xxxxxxxx xxxxxx Xxxxxx x hodnocení xxxxx a x xxxxxxx, xx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxx zranitelnosti xxxxxxx x realizací xxxxxxxxxxx xxxx ochranného xxxxxxxx xxxxxxxx stanovená kritéria xxx xxxxxxxxxxxx rizik, xxxxxx plán xxxxxxxx xxxxx.
(3) Xxxxxx xxxxx xxxx být xxxxxxxxx x xxxxxx xxxxxxx, xxx xxx je xxxxxxxxx v odstavcích 1 x 2, xxxxx xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxxxxxxx, že xxxxxxx xxxxxxxx xxxxxxxxxxx stejnou xxxx xxxxx xxxxxx xxxxxx rizik.
(4) Orgán x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxx hodnocení xxxxx xxxxxxx xxxxxxx xxxx hrozby
a) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, zneužití xxxxxxxxx xx xxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx programového xxxxxxxx,
x) xxxxxxxx xxxxxxxx xxxxxxx osoby,
d) xxxxxxx xxxxxxxxxxxx vybavení v xxxxxxx x licenčními xxxxxxxxxx,
x) kybernetický útok x komunikační sítě,
f) xxxxxxxx kód (xxxxxxxxx xxxx, xxxxxxx, trojské xxxx),
x) xxxxxxxxxx xxx xxxxxxxxxxx služeb xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxxxx,
x) přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxx xxxxxxx,
x) xxxxxxxx nebo xxxxxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxx xxxxxxxx hrozby x
x) odcizení xxxx xxxxxxxxx aktiva.
(5) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx při xxxxxxxxx xxxxx zvažuje xxxxxxx xxxx xxxxxxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxxxxx údržba xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx xxx xxxxxxxxxxxxxx x xxxxxxxx negativních xxxxxxxxxxxxxx jevů, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx činnosti xxxxxxxxx x administrátorů x xxxxxxxxxxx xxxxxxx xxxxxx nevhodné nebo xxxxxxx xxxxxxx xxxxxxx x
x) xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, nepřesné xxxx xxxxxxxxxxxxx vymezení xxxx x povinností xxxxxxxxx, administrátorů x xxxxxxxxxxxxxx xxxx.
(6) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxx xxxxxxxxx xxxxx dále xxxxxxx xxxx hrozby
a) xxxxxxxx xxxxxxxxxxxx politiky, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxxxxxx kritické informační xxxxxxxxxxxxxx,
x) pochybení xx xxxxxx zaměstnanců,
c) xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,
x) xxxxxxxxxx přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx komunikací, xxxxxxx xxxxxxxxxx energie xxxx xxxxxx důležitých xxxxxx,
x) nedostatek xxxxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxxxxxxx xxxx xxxxxx sociálního xxxxxxxxxxx, použití špionážních xxxxxxx x
x) xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxx.
(7) Xxxxx x xxxxx xxxxxxx v §3 písm. x) x x) zákona xxx xxxxxxxxx xxxxx xxxx xxxxxxx xxxx xxxxxxxxxxxxx
x) nedostatečná xxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx x
x) xxxxxxxxxxx včasného xxxxxxxx xxxxxxxxx xx strany xxxxxxxxxxx.
§5
Xxxxxxxxxxxx politika
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) organizační xxxxxxxxxx,
x) xxxxxx xxxxxx x xxxxxxxxxx,
x) klasifikace aktiv,
e) xxxxxxxxxx xxxxxxxx zdrojů,
f) xxxxxx xxxxxxx a xxxxxxxxxx,
x) xxxxxx xxxxxxxx,
x) xxxxxxxx chování xxxxxxxxx,
x) xxxxxxxxxx x xxxxxx,
x) xxxxxxxx předávání x xxxxxx informací,
k) řízení xxxxxxxxxxx zranitelností,
l) xxxxxxxx xxxxxxxxx xxxxxxxxx zařízení,
m) xxxxxxxxxxx x nabývání xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx komunikační xxxx,
x) xxxxxxx xxxx xxxxxxxxx xxxxx,
x) nasazení x xxxxxxxxx nástroje pro xxxxxxx kybernetických bezpečnostních xxxxxxxx,
x) využití x xxxxxx xxxxxxxx xxx xxxx a vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 písm. x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx bezpečnost,
c) xxxxxx xxxxxxxxxx,
x) klasifikace xxxxx,
x) bezpečnost xxxxxxxx xxxxxx,
x) řízení xxxxxxx x xxxxxxxxxx,
x) xxxxxx xxxxxxxx,
x) bezpečné xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x xxxxxx,
x) xxxxxxxxxxx a xxxxxxxx xxxxxxx programového xxxxxxxx a xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx,
x) xxxxxxxxx kryptografické ochrany,
m) xxxxxxx xxxx xxxxxxxxx xxxxx x
x) xxxxxxxx x xxxxxxxxx xxxxxxxx xxx detekci kybernetických xxxxxxxxxxxxxx událostí.
(3) Xxxxx x xxxxx uvedená x §3 písm. x) xx e) xxxxxx xxxxxxxxxx hodnotí xxxxxxxx xxxxxxxxxxxx politiky x xxxxxxxxxxx xx.
§6
Xxxxxxxxxxx xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxxxx xxxxxxxxxx xxxxxx bezpečnosti xxxxxxxxx, x xxxxx které xxxx xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxx x xxxxxx xxxxx x xxxxxxxxxx související x xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxx informačním xxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx xxxx xxxxxxxxxxxx xxxx
x) xxxxxxx xxxxxxxxxxxx bezpečnosti,
b) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx bezpečnosti a
d) xxxxxx aktiva podle §2 písm. x).
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxx xxxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxx 2.
(4) Xxxxxxx kybernetické xxxxxxxxxxx xx osoba, xxxxxxxxx xx systém xxxxxx xxxxxxxxxxx informací, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx odbornou způsobilost xxxxx x xxxxxxx xxxxxxxxxxx informací po xxxx xxxxxxx xxx xxx.
(5) Xxxxxxxxx kybernetické xxxxxxxxxxx xx osoba xxxxxxxxxxx návrh a xxxxxxxxxxxx xxxxxxxxxxxxxx opatření, xxxxx xx xxx xxxx činnost xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx s xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xx xxxx nejméně xxx let.
(6) Auditor xxxxxxxxxxxx bezpečnosti xx xxxxx xxxxxxxxxxx audit xxxxxxxxxxxx xxxxxxxxxxx, která xx pro tuto xxxxxxx xxxxxxxxx a xxxxxxx odbornou xxxxxxxxxxx xxxxx x prováděním xxxxxx xxxxxxxxxxxx bezpečnosti xx xxxx xxxxxxx xxx xxx. Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxxxxx x výkon xxxx xxxx xx oddělen xx xxxxxx xxxx xxxxxxxxx v odstavci 2 xxxx. a), x) nebo x).
(7) Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxx skupina xxxxxxx xxxxxxx, xxxxx jsou xxxxxxxx xxxxxxxx xxxxxxx x rozvojem xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xx xxxxxxxx xxxxxxxx xx xxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx těchto xxxxxxx.
(8) Xxxxx a xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxx školení xxxx, xxxxx xxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 písm. x).
§7
Xxxxxxxxx bezpečnostních xxxxxxxxx xxx xxxxxxxxxx
(1) Orgán x osoba uvedená x §3 xxxx. x) až x) xxxxxx xxxxxx xxxxxxxx xxx xxxxxxxxxx, xxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, a xxxxxxxx je x xxxxxxxxxx xxxx xxxxxx xxxx, xxxxx xx xxxxxxxx xx xxxxxxx, xxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xxxxxx zapojení xxxxxxxxxx xx rozvoji, xxxxxxx xxxx xxxxxxxxx bezpečnosti xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx prokazatelně xxxxxxxxxxx orgán a xxxxx uvedená v §3 xxxx. c) xx e) xxxxxx xxxxxxxx, xxxxx součástí xx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx x xxxxxxxxxx xxxxxxxxx x xxxxxxxx 1 xxxx
x) xxxx xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxx přílohy č. 2 x této xxxxxxxx, xxxxx xxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx smlouvu x úrovni xxxxxx, xxxxx xxxxxxx způsoby x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxx xxxxx vzájemné xxxxxxx odpovědnosti za xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, a
c) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx a xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx u xxxxxxxxxxxxx xxxxxx x zjištěné xxxxxxxxxx xxxxxxxxxx xxxx xx xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxx.
§8
Xxxxxx aktiv
(1) Orgán x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx x rámci xxxxxx xxxxx
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxx,
x) určí xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xx xxxxxxxx xxxxxx, x
x) hodnotí xxxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti x zařadí xx xx xxxxxxxxxxxx xxxxxx xxxxxxxxx v rozsahu xxxxx přílohy č. 1 k xxxx vyhlášce.
(2) Xxx xxxxxxxxx xxxxxxxxxxx primárních xxxxx xx třeba xxxxxxxxx xxxxxxxx
x) xxxxxx x xxxxxxxxxx osobních xxxxx nebo xxxxxxxxxx xxxxxxxxx,
x) xxxxxx dotčených xxxxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx x kontrolních činností,
d) xxxxxxxxx veřejných, xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxx,
x) xxxxx xxxxxxxx ztráty,
f) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx orgánu x xxxxx uvedené x §3 xxxx. c) xx x) xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxx důvěrnosti, xxxxxxxxx x xxxxxxxxxxx x
x) xxxxxx xx xxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx xxxxx pověsti.
(3) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) a x) xxxxxx dále
a) xxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxx,
x) xxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx za xxxxxxxx xxxxxx, a
c) xxxx vazby xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx x hodnotí xxxxxxxx závislostí xxxx xxxxxxxxxx x podpůrnými xxxxxx.
(4) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx xxxx
x) stanoví pravidla xxxxxxx, xxxxx pro xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx tím, xx
1. xxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxx pravidla xxx xxxxxxxxxx x evidenci x aktivy podle xxxxxx xxxxx, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx přenášení xxxxx x
3. stanoví xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx,
x) xxxxxx xxxxxxxx ochrany xxxxxxxxxxxx úrovni xxxxx x
x) určí způsoby xxx xxxxxxxxxx smazání xxxx ničení xxxxxxxxxxx xxxxxx dat s xxxxxxx na úroveň xxxxx.
§9
Xxxxxxxxxx lidských zdrojů
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. c) xx x) xxxxxx x xxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx
x) xxxxxxx xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxx, xxxxx x xxxxxx xxxxxxxxxx školení x xxxx xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx x xxxxx xxxxxxx,
x) x xxxxxxx s xxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx zajistí poučení xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxx xxxxxxxxxxxx a o xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx a xxxxxxxxxxxx xxxxxxx,
x) xxxxxxx kontrolu xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx strany uživatelů, xxxxxxxxxxxxxx a osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) xxxxxxx vrácení xxxxxxxxx xxxxx x xxxxxxxx přístupových xxxxxxxxx xxx ukončení xxxxxxxxx xxxxxx x xxxxxxxxx, xxxxxxxxxxxxxx nebo xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona vede x xxxxxxx xxxxx xxxxxxxx 1 přehledy, xxxxx xxxxxxxx předmět xxxxxxx x xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
(3) Orgán x xxxxx xxxxxxx x §3 písm. x) x d) zákona xxxx
x) xxxxxxx pravidla xxx xxxxxx xxxx, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx role, role xxxxxxxxxxxxxx nebo uživatelů,
b) xxxxxxx účinnost xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxx x xxxxxxx činností xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) určí xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx bezpečnostních xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role x
x) xxxxxxx xxxxx xxxxxxxxxxxx oprávnění při xxxxx xxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx nebo xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
§10
Řízení provozu a xxxxxxxxxx
(1) Orgán a xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx x xxxxx řízení xxxxxxx a xxxxxxxxxx xxxxxx xxxxxxxxxxx nástrojů xxxxxxxxx v §21 xx 23 detekuje xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxx x xx xxxxxxxx xxxxxxxxxx reaguje x xxxxxxx x §13.
(2) Orgán x xxxxx xxxxxxx v §3 xxxx. x) xx e) zákona x xxxxx xxxxxx xxxxxxx a xxxxxxxxxx xxxx zajišťuje xxxxxxxx xxxxxx informačního systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xx xxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxx x postupy.
(3) Xxxxxxxx xxxxxxxx a xxxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxxx
x) xxxxx a xxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx x xxxxxxxxx,
x) postupy xxx xxxxxxxx x ukončení xxxxx systému, pro xxxxxxx nebo xxxxxxxx xxxxx xxxxxxx xx xxxxxxx x pro xxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxxxxx jevů,
c) xxxxxxx xxx sledování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x pro xxxxxxx xxxxxxxx k xxxxxxxx x těchto xxxxxxxxxx,
x) xxxxxxx na xxxxxxxxx xxxxx, xxxxx xxxx xxxxxx xxxx xxxxxxx xxx řešení xxxxxxxxxxxxx xxxxxxxxxxx nebo technických xxxxxx,
x) postupy xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxx a
f) xxxxxxx xxx sledování, xxxxxxxxx x řízení xxxxxxxx xxxxxxxx x technických xxxxxx.
(4) Xxxxxx provozu xxxxxx a xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxx.
(5) Xxxxxx xxxxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxx v
a) xxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx x produkčního xxxxxxxxx,
x) řešení xxxxxxxxxxx xxxxxxxx vydaných Úřadem xxx, xx xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx
1. posoudí xxxxxxxxx xxxxxx xxxxxxxxxxx opatření xx informační systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, vyhodnotí xxxxx negativní účinky x bez xxxxxxxxxx xxxxxxx xx xxxxxx Xxxxx x
2. xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxxxxxx xxxxx negativní xxxxxx, x xxxx xxxxxx xxxx jeho xxxxxxxxx.
(6) Xxxxx x xxxxx xxxxxxx x §3 písm. c) x d) xxxxxx x rámci řízení xxxxxxxxxx
x) xxxxxxxxx xxxxxxxxxx x xxxxxxxxx komunikačních xxxx x xxxxxxxxxx xxxxxxxxxxxxx služeb podle §17,
x) xxxx pravidla x xxxxxxx pro xxxxxxx informací, xxxxx xxxx přenášeny xxxxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx xx současného xxxxxxxxx xxxxxxxxxxx informací x xxxx xxxxxxxx xxxxxxxxxxx x
x) x xxxxxxx xx klasifikaci aktiv xxxxxxx výměnu x xxxxxxxxx xxxxxxxxx na xxxxxxx písemných smluv, xxxxxxx součástí xx xxxxxxxxxx o xxxxxxxxxxx xxxxxxxxx.
§11
Xxxxxx xxxxxxxx a xxxxxxxx xxxxxxx uživatelů
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx na xxxxxxx provozních a xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxx x informačnímu xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významnému informačnímu xxxxxxx a xxxxxxx xxxxxxx uživateli xxxxxxxxxxx xxxxxxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxxxx xxxxxxxx, která xxxxxx x xxxxxxxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx uživatelů x xxxxxxxxxxxxxx informačního systému xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx §18 a 19, x xxxxx xxxxx xx xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(3) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx x xxxxx xxxxxx xxxxxxxx
x) xxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx,
x) omezí přidělování xxxxxxxxxxxxxxxxxx oprávnění,
c) přiděluje x odebírá přístupová xxxxxxxxx v souladu x politikou xxxxxx xxxxxxxx,
x) provádí xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx rozdělení xxxxxxxxxxxx uživatelů v xxxxxxxxxxxx skupinách xxxx xxxxxx,
x) využívá nástroj xxx xxxxxxxxx identity xxxxxxxxx podle §18 x nástroj xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §19 x
x) xxxxxx xxxxxxxxxxxx opatření xxxxxxxx xxx xxxxxxxx xxxxxxxxx mobilních xxxxxxxx, xxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxx x xxxxx uvedená x §3 xxxx. c) x d) xxxxxx xxxxxxxxxxx.
§12
Akvizice, xxxxx a xxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. c) xx x) zákona xxxxxxx bezpečnostní xxxxxxxxx xx změny xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx významného xxxxxxxxxxxx xxxxxxx spojené x xxxxxx akvizicí, xxxxxxx x xxxxxxx x xxxxxx je xx xxxxxxxx xxxxxxxx, xxxxxx x údržby systému.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x x) zákona xxxx
x) xxxxxxxxxxxx, xxxxxxx x xxxx xxxxxx xxxxxxxxxxx x xxxxxxxx, xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx; xxx xxxxxxx xxxxxxxxx x xxxxxx xxxxx xx xxxxxxxx xxxxx §4 xxxx. 1 písm. a) xxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx prostředí x zajistí xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxx x
x) xxxxxxx bezpečnostní xxxxxxxxx xxxx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx xxxx jejich xxxxxxxxx xx xxxxxxx.
§13
Xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxxxx
Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx nezbytná xxxxxxxx, xxxxx xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx ze xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní xxxx x x xxxxxxxxxx xxxx xxxxxxx,
x) xxxxxxxx prostředí xxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx nástroji xxxxx §21 xx 23, xxxxxxx jejich xxxxxxxxxxx x identifikuje xxxxxxxxxxxx bezpečnostní incidenty,
c) xxxxxxx klasifikaci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxx pro odvrácení x xxxxxxxx dopadu xxxxxxxxxxxxxx bezpečnostního incidentu, xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxx §32 x xxxxxxx xxxx věrohodných xxxxxxxx xxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx a určí xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx x xx xxxxxxx xxxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a
e) xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
§14
Xxxxxx xxxxxxxxxx činností
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx v xxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxxx
x) xxxxx x povinnosti xxxxxxx xxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) cíle xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx služeb, xxxxx xx přijatelná pro xxxxxxx, xxxxxx x xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému,
2. xxxx xxxxxxxx xxxxx, xxxxx xxxxx bude xx xxxxxxxxxxxxx bezpečnostním xxxxxxxxx obnovena minimální xxxxxx xxxxxxxxxxxxx služeb xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, a
3. xxxx obnovení xxx xxxx termínu, ke xxxxxxx xxxxx xxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx, x
x) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx b).
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a d) xxxxxx xxxx
x) xxxxxxxxx x xxxxxxxxxxx xxxxx xxxxxx kybernetických bezpečnostních xxxxxxxxx x xxxxxxx xxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxx kontinuity xxxxxxxx,
x) xxxxxxx, aktualizuje x pravidelně xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) realizuje xxxxxxxx pro zvýšení xxxxxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxx xxxxxxx xxx zajišťování xxxxxx xxxxxxxxxxx xxxxx §26 x
x) xxxxxxx x xxxxxxxxxxx xxxxxxx xxx xxxxxxxxx opatření xxxxxxxx Xxxxxx xxxxx §13 a 14 xxxxxx, xx xxxxxxx xxxxxxxx
1. xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxx xxxxxxxx,
2. xxxx dotčených xxxxxxxxxxxxxx xxxxxxxx x
3. vyhodnocení xxxxxxxxxx xxxxxxxxxxx dopadů xx xxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.
§15
Xxxxxxxx x audit xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) xx e) zákona x rámci xxxxxxxx x xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx systémů (xxxx xxx "xxxxx xxxxxxxxxxxx xxxxxxxxxxx")
x) xxxxxxxx xxxxxx bezpečnostních opatření x xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx, jinými xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxxx xx x informačnímu xxxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx informačnímu systému x xxxx opatření xxx jeho xxxxxxxxxxx x
x) provádí a xxxxxxxxxxx pravidelné kontroly xxxxxxxxxx bezpečnostní politiky x výsledky xxxxxx xxxxxxx xxxxxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx rizik.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx zajišťuje xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx x odbornou xxxxxxxxxxx podle §6 xxxx. 6, která xxxxxxx xxxxxxxxx x xxxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx.
(3) Orgán a xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx xxxx xxx informační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a komunikační xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx prostředků xxxxxx xxxxxxxxxxxxxxxx nástrojů x xxxxxx xxxxxxx xxxxxxxxxxx a xxxxxxx xx zjištěné xxxxxxxxxxxxx.
HLAVA XX
XXXXXXXXX OPATŘENÍ
§16
Fyzická xxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx x rámci xxxxxxx xxxxxxxxxxx
x) přijme nezbytná xxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxxxx xx xxxxxxxxxx prostor, kde xxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxx technická xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury nebo xxxxxxxxxx informačního systému,
b) xxxxxx nezbytná xxxxxxxx x zamezení poškození x xxxxxxx do xxxxxxxxxx xxxxxxx, xxx xxxx uchovány xxxxxxxxx x xxxxxxxx technická xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx informačního systému, x
x) předchází poškození, xxxxxxx nebo xxxxxxxx xxxxx nebo xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxx xxxxxxxxx xxxxxxx xx xxxxxx xxxxxxx a
b) xxx xxxxxxxxx xxxxxxx x xxxxx objektů xxxxxxxxxx zvýšené xxxxxxxxxxx xxxxxxxxxx prostor, ve xxxxxxx xxxx xxxxxxxx xxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.
(3) Prostředky xxxxxxx xxxxxxxxxxx xxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxx prostředky,
b) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx,
x) prostředky xxxxxxxxx xxxxxxxx xxxxxx,
x) prostředky xxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxx xxxxxxxx vstupu,
f) xxxxxxxx xxxxxxx,
x) xxxxxxxx xxx xxxxxxxxx ochrany xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx provozních xxxxxxxx.
§17
Xxxxxxx xxx xxxxxxx xxxxxxxxx komunikačních xxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) až x) xxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx sítě, xxxxx xxxx xxx xxxxxxx xxxxxx xxxx xxxxx, a xxxxxxx xxxxxxxxxxx xxxx, xxxxx xx pod xxxxxxx xxxxxx xxxx xxxxx, xxxxxx
x) řízení xxxxxxxxxx xxxxxxxx xxxx xxxxxx x xxxxxxx sítí,
b) xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxxxxxx xxx xxxx xxxxxxxxxxx typu sítě xxxxxxxxxxx xx zvýšení xxxxxxxxxxx aplikací xxxxxxxxxx x xxxxxx sítě x x xxxxxxxx xxxxx xxxxxxxxxx vnitřní xxxx s xxxxxx xxxx,
x) kryptografické prostředky (§25) xxx vzdálený xxxxxxx, xxxxxxxxx správu xxxx pro přístup xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxxxx pro xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxx, xxxxx xxxxxxxxxxxx xxxxxxxxxx xx xxxxxxx integrity xxxxxxxxxxx xxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. c) x x) xxxxxx xxxx xxxxxxx nástroje xxx xxxxxxx xxxxxxxxx xxxxxxx komunikační xxxx, xxxxx xxxxxxx xxxx xxxxxxxxxx.
§18
Nástroj xxx xxxxxxxxx xxxxxxxx xxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx xxxxxxx xxxxxxxx xxx ověření xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxx xxx ověřování xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx ověření xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxx zahájením xxxxxx xxxxxxx x informačním xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxx.
(3) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxx používá xxxxxxxxxxx xxxxx xxxxxx, xxxxxxxxx
x) xxxxxxxxx délku xxxxx xxx xxxxx,
x) minimální xxxxxxxxx xxxxx tak, xx xxxxx bude xxxxxxxxx alespoň 3 x xxxxxxxxxxxxx xxxx xxxxxxxxx
1. xxxxxxx jedno xxxxx xxxxxxx,
2. nejméně xxxxx xxxx xxxxxxx,
3. xxxxxxx xxxxx xxxxxxx, xxxx
4. nejméně xxxxx xxxxxxxxx znak xxxxxxx xx xxxxxxxxx xxxxxxxxx x xxxxxx 1 xx 3,
x) maximální xxxx xxx xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxxx xxx xxx; xxxxx xxxxxxxxx není xxxxxxxxx xxx samostatné identifikátory xxxxxxxx.
(4) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx xxxx
x) používá xxxxxxx xxx xxxxxxx xxxxxxxx, xxxxx
1. xxxxxx opětovnému xxxxxxxxx xxxxx xxxxxxxxxxx xxxxx x xxxxxxxx xxxx změn xxxxx xxxxxxx uživatele xxxxx xxxxxxxxxxx období, xxxxx xxxx xxx xxxxxxx 24 xxxxx, a
2. xxxxxxx xxxxxxxx xxxxxxx xxxxxxxx xx xxxxxx xxxx nečinnosti x
x) xxxxxxx nástroj xxx xxxxxxxxx identity xxxxxxxxxxxxxx. X xxxxxxx, xx xxxxx nástroj xxxxxxx xxxxxxxxxxx heslem, xxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxx patnáct xxxxx xxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx. b) x x).
(5) Xxxxxxx xxx xxxxxxxxx identity xxxxxxxxx xxxx xxx xxxxxxxx x xxxxxx xxxxxxx, xxx jaké xxxx xxxxxxxxx x odstavcích 3 xx 5, xxxxx xxxxx x xxxxx xxxxxxx v §3 písm. x) xx x) xxxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx zajišťující stejnou xxxx xxxxx xxxxxx xxxxxxxxx xxxxx.
§19
Xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxxxx nástroj xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx xxxxxx xxxxxxxxx
x) xxx xxxxxxx k xxxxxxxxxxx xxxxxxxxx a datům x
x) xxx čtení xxx, xxx xxxxx xxx a xxx xxxxx xxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxx xxxxxxx xxxxxxx xxx řízení xxxxxxxxxxxx oprávnění, který xxxxxxxxxxx použití xxxxxxxxxxxx xxxxxxxxx x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx.
§20
Nástroj pro xxxxxxx xxxx xxxxxxxxx xxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxx xxxxxx xxxxx xxxxxxxxx x xxxxxxxxx škodlivého xxxx xxxxxxx xxxxxxx xxx xxxxxxx informačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx, xxxxx xxxxxxx xxxxxxx x xxxxxx kontrolu
a) xxxxxxxxxx xxxx xxxxxxx xxxx x xxxxxx xxxx,
x) xxxxxxx a xxxxxxxxx xxxxxxxx xxxxxxx x
x) xxxxxxxxxx xxxxxx,
xxxxxxx xxxxxxx xxxxxxxxxxx a xxxxxxx xxxxxxxxxxx xxxxxxxx xxx ochranu xxxx xxxxxxxxx kódem, xxxx xxxxxxx x xxxxxxxx.
§21
Xxxxxxx xxx zaznamenávání xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významných xxxxxxxxxxxx xxxxxxx, xxxxxx xxxxxxxxx x administrátorů
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxxxxx xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury a xxxxxxxxxx xxxxxxxxxxxx systému, xxxxx xxxxxxx
x) xxxx xxxxxxxxx x xxxxxxxxxx x xxxxxxxxxxxxxx činnostech, xxxxxxx xxx xxxxxxxx, xxxxx a čas, xxxxxxxxxxxx technického aktiva, xxxxx činnost xxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx a xxxxx xxxxxxxx a xxxxxxxxx nebo xxxxxxxxxxx xxxxxxxx x
x) ochranu xxxxxxxxx informací xxxx xxxxxxxxxxxx čtením xxxx xxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxxx pomocí xxxxxxxx xxx zaznamenávání činnosti xxxxxxxxxxxx systému kritické xxxxxxxxxx infrastruktury, komunikačního xxxxxxx kritické informační xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx zaznamenává
a) xxxxxxxxxx x xxxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx administrátory,
c) xxxxxxxx xxxxxxx xx xxxxx přístupových xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) automatická xxxxxxx xxxx xxxxxxx xxxxxxx technických xxxxx,
x) xxxxxxxx x xxxxxxxx x xxxxxxxxxx, xxxxxx x xxxxxxxxxx se xxxxxxx o xxxxxxxxxx x xxxxx nastavení xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx a
h) použití xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxx včetně xxxxx xxxxx, xxxxx xxxxxx x xxxxxxxxxx.
(3) Orgán x xxxxx xxxxxxx x §3 písm. x) a x) xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxxx xxxxxxx xx dobu 3 xxxxxx.
(4) Xxxxx a xxxxx uvedená x §3 písm. x) xx x) xxxxxx xxxxxxxxx xxxxxxx xxxxxx xx 24 xxxxx xxxxxxxxxxxxx jednotného xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxx xxxxxxxxx do informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
§22
Xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxxx xxxxxxx pro detekci xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxxxx xxxxxxx xx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxx x výsledků xxxxxxxxx xxxxx x xxxxx xxxxxxx xxxxxxx, kontrolu x xxxxxxxx xxxxxxxxxxx xxxxxxxxxx mezi xxxxxxx xxxxxxxxxxx xxxx a xxxxxx sítí.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a d) xxxxxx dále používá xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí, xxxxx xxxxxxx xxxxxxx, xxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxx
x) x xxxxx xxxxxxx xxxxxxxxxxx xxxx x
x) xxxxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x komunikačního xxxxxxx kritické informační xxxxxxxxxxxxxx.
§23
Xxxxxxx pro xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Orgán x osoba xxxxxxx x §3 xxxx. x) x d) xxxxxx používá xxxxxxx xxx sběr x xxxxxxxx vyhodnocení kybernetických xxxxxxxxxxxxxx událostí, který x xxxxxxx s xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxxx xxxxx xxxxxxx
x) xxxxxxxxxxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury,
b) xxxxxxxxxxx xxxxxxxxx xxx určené xxxxxxxxxxxx xxxx o xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx xxxx é xxxxxxxxxx xxxxxxxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxx varování xxxxxxxx xxxxxxxxxxxxxx xxxx.
(2) Orgán x xxxxx uvedená x §3 písm. x) x d) xxxxxx dále xxxxxxx
x) xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x včasné xxxxxxxx, xxx xxxx xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx nebo případy xxxxxxxxx xxxxxxxx, x
x) xxxxxxxxx xxxxxxxxx, které xxxx připraveny xxxxxxxxx xxx sběr a xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§24
Aplikační bezpečnost
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) až e) xxxxxx xxxxxxx bezpečnostní xxxxx zranitelnosti xxxxxxxx, xxxxx xxxx xxxxxxxxx x vnější xxxx, x xx xxxx xxxxxx xxxxxxxx xx xxxxxxx x xx xxxxx xxxxxxx xxxxx xxxxxxxxxxxxxx xxxxxxxxxx.
(2) Xxxxx x osoba xxxxxxx x §3 písm. x) x d) xxxxxx xxxx x xxxxx xxxxxxxxx bezpečnosti xxxxxxx trvalou xxxxxxx
x) xxxxxxxx x xxxxxxxxx xxxxxxxxxx x xxxxxx xxxx xxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxxxxxxx xxxx xxxxxxxxxxxxxxx změnou a
b) xxxxxxxxx xxxx xxxxxx xxxxxxxxxxxx, nesprávným xxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxx předávaného xxxxxxxx xxxxxx, kompromitací, xxxxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxx.
§25
Xxxxxxxxxxxxxx prostředky
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) až e) xxxxxx
x) pro xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx stanoví
1. xxxxxx xxxxxxx x xxxxxxx xx xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx a
2. xxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx xxx xxxxxxx po xxxxxxxxxxxxx xxxxxx xxxx xxx xxxxxxx xx xxxxxxx xxxxxxxx nebo xxxxxxxxxxx xxxxxxxxx xxxxxx xxx x
x) x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x výsledky xxxxxxxxx rizik používá xxxxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx ochranu xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxx xxx x průkaznou xxxxxxxxxxxx xxxxx za xxxxxxxxx xxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. c) x x) xxxxxx xxxx
x) stanoví xxx xxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx správy xxxxx, xxxxx xxxxxxx generování, xxxxxxxxxx, xxxxxxxx, xxxxxxxxx, xxxxx, xxxxxx, xxxxxxxx x xxxxx klíčů, x
x) používá xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxx; v xxxxxxx nesouladu x xxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxxx uvedenými x příloze č. 3 x xxxx xxxxxxxx xxxx xxxxxx xxxxxxx s xxxxx xxxxxxxxxx.
§26
Xxxxxxx pro xxxxxxxxxxx xxxxxx xxxxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x výsledky xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxx zajišťování xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx používá xxxxxxx xxx zajišťování úrovně xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxx xxxxxxx xxxx xxxxxx kontinuity xxxxxxxx,
x) odolnost informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx vůči xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx mohly xxxxxx xxxxxxxxxx, x
x) zálohování xxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx
1. xxxxxxxx xxxxxxxxxx x návrhu xxxxxx a
2. xxxxxxxxxx xxxxxxxxxx technických xxxxx x určeném čase.
§27
Xxxxxxxxxx průmyslových a xxxxxxxx systémů
Orgán x xxxxx uvedená v §3 xxxx. c) x x) xxxxxx xxx bezpečnost průmyslových x řídicích systémů, xxxxx jsou informačním xxxxxxxx kritické informační xxxxxxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxx xxxxxx součástí, používá xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx xxxxxxxxx přístupu x xxxx a xxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxx x síti xxxxxxxxxxxx x řídicích xxxxxxx,
x) ochranu jednotlivých xxxxxxxxxxx aktiv xxxxxxxxxxxx x řídicích xxxxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxx a
d) xxxxxxxx xxxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxx po xxxxxxxxxxxxx bezpečnostním xxxxxxxxx.
XXXXX XXX
XXXXXXXXXXXX DOKUMENTACE
§28
Bezpečnostní xxxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx v §3 xxxx. c) x x) xxxxxx xxxx x xxxxxxxxxxx xxxxxxxxxxxx dokumentaci, která xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxx xxxxx §5 odst. 1,
x) zprávy x xxxxxx kybernetické bezpečnosti xxxxx §3 xxxx. 1 xxxx. x),
x) xxxxxx z přezkoumání xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx xxxxx §3 xxxx. 1 písm. x),
x) xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx a xxxxxxxxx xxxxx,
x) zprávu x xxxxxxxxx aktiv a xxxxx,
x) prohlášení x xxxxxxxxxxxxxxxx,
x) xxxx xxxxxxxx xxxxx,
x) xxxx xxxxxxx xxxxxxxxxxxxxx povědomí podle §9 xxxx. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xxxxx §13 xxxx. x),
x) strategii xxxxxx xxxxxxxxxx xxxxxxxx podle §14 odst. 1 xxxx. x) x
x) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx předpisů x xxxxxx xxxxxxxx a xxxxxxxxx xxxxxxx xxxxx §15 xxxx. 1 xxxx. a).
(2) Xxxxx x osoba xxxxxxx x §3 písm. x) zákona vede x xxxxxxxxxxx bezpečnostní xxxxxxxxxxx, xxxxx xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxx xxxxx §5 odst. 2,
x) xxxxxxxx pro identifikaci x hodnocení xxxxx x pro xxxxxxxxxxxx x hodnocení rizik xxxxx §4 odst. 2 xxxx. a),
c) xxxxxx x xxxxxxxxx xxxxx x rizik xxxxx §4 xxxx. 2 písm. b) x x),
x) prohlášení x xxxxxxxxxxxxxxxx xxxxx §4 xxxx. 2 xxxx. x),
x) xxxx xxxxxxxx xxxxx xxxxx §4 odst. 2 xxxx. x),
x) xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. x),
x) strategii xxxxxx xxxxxxxxxx činností xxxxx §14 xxxx. 1 xxxx. c) x
x) xxxxxxx právních xxxxxxxx, xxxxxxxxx xxxxxxxx x jiných xxxxxxxx x xxxxxxxxx závazků xxxxx §15 xxxx. 1 xxxx. x).
(3) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx xxx, xxx záznamy x xxxxxxxxxxx činnostech xxxx xxxxx, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx x xxx xx xxxx snadno xxxxxxxx. Xxxxxxxx xxxxxxxx x identifikaci, xxxxxxx, xxxxxxx, vyhledání, xxxx xxxxxxxxx a xxxxxxxxxx xxxxxxx x provedených xxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx stanovena v příloze č. 4 x xxxx xxxxxxxx.
§29
Prokázání certifikace
Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx e) zákona, xxxxx xxxxxxxxxx systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxx informační xxxxxx xx zcela xxxxxxx xx rozsahu systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx byl xxxxxxxxxxxx xxxxx xxxxxxxxx technické xxxxx1) xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx, x která xxxx xxxxxxxxx xxxxxxxxxx
x) xxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx x xxxx xxxxxxx řízení xxxxxxxxxxx informací,
c) xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxx x xxxxxx x xxxxxxxxx xxxxx,
x) xxxxxxxxxx x xxxxxxxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx splňující xxxxxxxxx příslušné xxxxxxxxx xxxxx zabývající se xxxxxxxxxxx informací1),
f) xxxxxx x přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx informací xxxxxx xxxxxxxxxxxxx xxxxxx x výstupů xxxxxxxxxxx x
x) zprávu x xxxxxx xxxxxxxxxxx certifikačním xxxxxxx xxxxxx příslušných xxxxxxx o nápravě xxxxxxxxxx xxxxxx s xxxxxxxxxx xxxxxx,
xxxxxxx požadavky xx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx zákona x xxxx xxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX BEZPEČNOSTNÍ XXXXXXXX
§30
Xxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
(1) Podle xxxxxxx xxxx kybernetické xxxxxxxxxxxx xxxxxxxxx rozděleny xx xxxxxxxxxxxxx xxxx
x) kybernetický xxxxxxxxxxxx incident způsobený xxxxxxxxxxxxx útokem xxxx xxxxx xxxxxxxx vedoucí x xxxxxxx do xxxxxxx xxxx k xxxxxxx xxxxxxxxxxx služeb,
b) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxx technických xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobený xxxxxxxxx xxxxxxxxxxxxx opatření,
e) xxxxxxxxxxxx xxxxxxxxxxxx incident spojený x projevem trvale xxxxxxxxxx xxxxxx x
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx způsobené xxxxxxxxxxxxx xxxxxx.
(2) Podle xxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx do xxxxxxxxxxxxx xxxx
x) kybernetický xxxxxxxxxxxx xxxxxxxx způsobující xxxxxxxx důvěrnosti xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx integrity xxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx způsobující narušení xxxxxxxxxxx xxxxx, nebo
d) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx v xxxxxxxxx x) xx x).
§31
Kategorie kybernetických xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxx xxxxxxx xxxxxxxx kybernetických bezpečnostních xxxxxxxxx se xxxxx xxxxxxxx a negativních xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, při kterém xx xxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx neprodlené zásahy xxxxxxx x xxx, xx musí být xxxxx dostupnými prostředky xxxxxxxxx dalšímu šíření xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxxx xxxxxxxxxxxx vzniklých x potenciálních xxxx.
x) Xxxxxxxxx XX - xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, při kterém xx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x xxx, xx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx škod.
c) Kategorie X - xxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx kterém xxxxxxx k xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx. Xxxx řešení xxxxxxxx zásahy xxxxxxx x tím, xx xxxx být xxxxxxxx xxxxxxxxxx omezeno další xxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx při xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle xxxxxxxx 1 xxxxxxxx
x) důležitost xxxxxxxxx xxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx služby xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) dopady xx xxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačními xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx a
d) xxxxxxxxxxxxx xxxxx a xxxxx dopady.
§32
Xxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 písm. x) xx e) xxxxxx xxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx
x) x xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxx
1. xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
2. xxxxxx na xxxxxx xxxxxxxxxxxx xxxxx Xxxxx xxxxxx xxx příjem xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, zveřejněné xx xxxxxxxxxxxxx stránkách Xxxxx,
3. xxxxxx xxxxxx xx xxxxxx xxxxxxxx Xxxxx, xxxx
4. xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xxxxx xx zveřejněn xx internetových xxxxxxxxx Xxxxx, anebo
b) v xxxxxxxx podobě xx xxxxxx Xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti, xxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Hlášení x xxxxxxxx xxxxxx se xxxxxx xxxxx v xxxxxxxxx, xxx xxxxx xxxxxx xxxxx ze xxxxxxx xxxxxxxxx v xxxxxxxx 1 písm. x).
(3) Náležitosti xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx uvedeny x příloze č. 5 x této xxxxxxxx.
XXXX XXXXXX
XXXXXXXXX OPATŘENÍ X XXXXXXXXX ÚDAJE
§33
Reaktivní xxxxxxxx
Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx x jeho výsledek xx formuláři, xxxxx xxxx xx xxxxxx x příloze č. 6 x xxxx xxxxxxxx.
§34
Xxxxxxxxx údaje
Orgán x xxxxx xxxxxxx x §3 xxxxxx xxxxxxxx xxxxxxxxx údaje na xxxxxxxxx, jehož vzor xx xxxxxx v příloze č. 7 x xxxx xxxxxxxx. Xxxxx a xxxxx xxxxxxx x §3 písm. x) xx x) zákona xxxxxxxx kontaktní xxxxx xxxxxx xxxxxxxx x §32 xxxx. 1 xxxx. a).
XXXX XXXX
XXXXXXXX
§35
Xxxx vyhláška xxxxxx xxxxxxxxx xxxx 1. ledna 2015.
Ředitel:
Ing. Xxxxxxxx v. r.
Příloha č. 1 x vyhlášce x. 316/2014 Xx.
Xxxxxxxxx a xxxxxx xxxxxxxxxxx xxxxx
Xxx xxxxxxxxx důležitosti xxxxx xxxx použity xxxxxxxx x čtyřech xxxxxxxx. Xxxxx xxxx osoba xxxxxxx x §3 xxxx. x) xx x) zákona xxxx xxxxxxxx odlišný xxxxx xxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxx, xxx xxxx je xxxxxx x xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx jí xxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx x xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx xxxx uvedeny x xxxx xxxxxxx.
X xxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx je přípustné xxxxxxx xxx xxxxxx xxxxx x xxxxxxx, xxxx xxxxxx vysoká x xxxxxxxx.
Xxxxxxxx pro xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxx xxxx xxxxxxx xxxxxxxxx nebo xxxx určena xx xxxxxxxxxx (např. na xxxxxxx zákona č. 106/1999 Sb., x xxxxxxxxx xxxxxxxx x xxxxxxxxxx, ve xxxxx xxxxxxxxxx xxxxxxxx). Xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxx oprávněné zájmy xxxxxx x osoby xxxxxxx x §3 xxxx. c) až x) zákona. |
Není xxxxxxxxxx xxxxx ochrana. |
|
Střední |
Aktiva xxxxxx xxxxxxx xxxxxxxxx x xxxxx xxxx-xxx xxxxxx x xxxxx uvedené x §3 xxxx. x) xx x) xxxxxx, xxxxxxx aktiv xxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxx nebo xxxxxxxx xxxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxx jsou xxxxxxxxx xxxxxxxxxx pro xxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxx nejsou veřejně xxxxxxxxx x jejich xxxxxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx (xxxx. xxxxxxxx xxxxxxxxx xxxxx xxxxxx č. 89/2012 Sb., xxxxxxxx xxxxxxx, xxxxxx údaje xxxxx xxxxxx č. 101/2000 Sb., x xxxxxxx xxxxxxxx xxxxx, xx znění xxxxxxxxxx xxxxxxxx). |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx prostředky, xxxxx zajistí xxxxxx x zaznamenávání xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx sítí jsou xxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx a vyžadují xxxxxxxxxxxxx xxxx xxxxxxx xxx rámec xxxxxxxxx xxxxxxxxx (xxxx. xxxxxxxxxxx xxxxxxxx tajemství, xxxxxxx xxxxxx údaje). |
Pro xxxxxxx xxxxxxxxxx xx xxxxxxxxxx xxxxxxxx osob, xxxxx x xxxxxxx xxxxxxxxxxx, x xxxxxx xxxxxxx xxxxxxxxxxx zneužití xxxxx xx strany administrátorů. Xxxxxxx xxxxxxxxx jsou xxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxxxxxxx pro xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx x hlediska xxxxxxxxx. Xxxxxxxx integrity xxxxxx xxxxxxxxxx xxxxxxxxx zájmy xxxxxx a osoby xxxxxxx x §3 xxxx. c) xx x) xxxxxx. |
Xxxx xxxxxxxxxx xxxxx ochrana. |
|
Střední |
Aktivum xxxx xxxxxxxxx ochranu x xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx xxxxxx xxxx xxxx k xxxxxxxxx xxxxxxxxxxx xxxxx orgánu x xxxxx uvedené v §3 xxxx. c) xx e) zákona x xxxx xx xxxxxxxx xxxx xxxxxxxxx xxxxxx na primární xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx xxxxxxxxx standardní xxxxxxxx (xxxx. xxxxxxx xxxxxxxxxxxx xxxx xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx vyžaduje ochranu x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx x xxxxxxxxx xxxxxxxxxxx zájmů xxxxxx x osoby xxxxxxx x §3 xxxx. x) až e) xxxxxx x xxxxxxxxxxx xxxxxx na primární xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx a xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx x xxxxx xxxxxxx xxxxxxxxx oprávněných xxxxx xxxxxx x xxxxx xxxxxxx v §3 písm. x) xx x) zákona x přímými a xxxxx xxxxxxx xxxxxx xx xxxxxxxx aktiva. |
Pro xxxxxxx xxxxxxxxx jsou využívány xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx osoby provádějící xxxxx (xxxx. pomocí xxxxxxxxxxx digitálního xxxxxxx). |
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxx x x xxxxxxx xxxxxxx je xxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxx xxxxxxx (cca do 1 týdne). |
Pro ochranu xxxxxxxxxxx je postačující xxxxxxxxxx zálohování. |
|
Střední |
Narušení xxxxxxxxxxx xxxxxx by nemělo xxxxxxxxx xxxx xxxxxxxxxx xxx, xxxxxxxxxxxxx xxxxxxx xxxx k xxxxxxx xxxxxxxx zájmů xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx. |
Xxx ochranu dostupnosti xxxx xxxxxxxxx běžné xxxxxx xxxxxxxxxx x obnovy. |
|
Vysoká |
Narušení xxxxxxxxxxx xxxxxx by xxxxxx xxxxxxxxx dobu xxxxxxxx xxxxx. Xxxxxxxx xxxxxxx xx xxxxx xxxxx xxxxxxxxxx, xxxxxxx xxxx x xxxxxxx xxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx. Xxxxxx jsou xxxxxxxxxx xxxx xxxxx xxxxxxxx. |
Xxx xxxxxxx dostupnosti xxxx xxxxxxxxx záložní systémy x xxxxxx xxxxxxxxxxx xxxxxx může být xxxxxxxxx xxxxxx obsluhy xxxx xxxxxxx xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xxxx přípustné x x krátkodobá nedostupnost (x xxxx xxxxxxxx xxxxx) xxxx x xxxxxxx ohrožení xxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) xx e) xxxxxx. Xxxxxx xxxx xxxxxxxxxx xxxx kritická. |
Pro xxxxxxx dostupnosti xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx xx krátkodobá x xxxxxxxxxxxxxx. |
Xxxxxxx č. 2 x xxxxxxxx x. 316/2014 Sb.
Hodnocení xxxxx
Xxxxxxxxx xxxxx je xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxx xxxxx, hrozba x xxxxxxxxxxxx.
Xxx hodnocení xxxxx lze použít xxxxxxx xxxx xxxxxx
xxxxxx = xxxxx x xxxxxx x xxxxxxxxxxxx.
Xxxxxxxxxxx xxxxxx xxxxxx pro xxxxxx xxxxxx xx xxxxxxxxx xxxxxxxx xxxxxxxx xxx identifikaci a xxxxxxxxx rizika
|
Stupnice pro xxxxxxxxx dopadů |
|
|
Úroveň |
Popis |
|
Nízký |
Dopad xx x xxxxxxxx xxxxxxx xxxxxx x xxxxxx xxxxxxx a xxxxx xxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxx x) 10 xxxxxxxxx xxxx x xxxxxxxxx hospitalizací xx xxxx delší xxx 24 xxxxx nebo b) xxxxxxxx nebo xxxxxxxxxx xxxxxx do 5&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx závažného zásahu xx xxxxxxxxxxxx života xxxxxxxxxxxxx xxxxxxx 250 xxxx. |
|
Xxxxxxx |
Xxxxx je omezeného xxxxxxx x v xxxxxxxx xxxxxxx období. Rozsah xxxxxxxxxx xxxx se xxxxxxxx x xxxxxxx x) xx 10 xxxxxxx xxxx od 11 xx 100 xxxx x následnou xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx od 5&xxxx;000&xxxx;000 Kč do 50&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx na xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx každodenního xxxxxx xxxxxxxxxxxxx xx 251 xx 2&xxxx;500 xxxx. |
|
Xxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx, xxx xxxxxx xxxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xx pohybuje x xxxxxxx x) xx 11 do 100 xxxxxxx xxxx od 101 xx 1 000 xxxx s xxxxxxxxx xxxxxxxxxxxxx po xxxx xxxxx xxx 24 hodin nebo b) xxxxxxxx xxxx xxxxxxxxxx xxxxxx od 50 000 000 Xx xx 500&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx na xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xx 2 501 xx 25&xxxx;000 xxxx. |
|
Xxxxxxxx |
Xxxxx xx plošný rozsahem, xxxxxx x xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xx xxxxxxxx x xxxxxxx x) 10 x více xxxxxxx x 1 001 x xxxx xxxx x následnou xxxxxxxxxxxxx xx dobu xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx ztráty xxxxxxxxxxx 500&xxxx;000&xxxx;000 Kč xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx nebo xxxxxx xxxxxxxxx zásahu xx xxxxxxxxxxxx xxxxxx postihujícího xxxx xxx 25&xxxx;000 xxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx neexistuje xxxx xx málo pravděpodobná. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxx častější než xxxxxx xx 5 xxx. |
|
Xxxxxxx |
Xxxxxx xx málo xxxxxxxxxxxxx až pravděpodobná. Xxxxxxxxxxxxx realizace hrozby xx x xxxxxxx xx 1 roku xx 5 xxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Předpokládaná xxxxxxxxx hrozby je x rozpětí od 1 měsíce xx 1 xxxx. |
|
Xxxxxxxx |
Xxxxxx je xxxxx xxxxxxxxxxxxx až xxxxxxxx jistá. Předpokládaná xxxxxxxxx xxxxxx xx xxxxxxxx xxx xxxxxx xx měsíc. |
|
Stupnice xxx xxxxxxxxx xxxxxxxxxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx xxxx je xxxxxxxx xxxxxxxxxxxxx xxxx pravděpodobné. Xxxxxxxx xxxxxxxx bezpečnostní xxxxxxxx, které xxxx xxxxxxx xxxx xxxxxxxxx xxxxx slabiny xxxx xxxxxxxx xxxxxx x xxxxxxxxx opatření. |
|
Střední |
Zranitelnost xx xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxxxxx xx pravidelně xxxxxxxxxxxx. Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxx xxxx xxxxxxxx pokusy x xxxxxxxxx xxxxxxxx je xxxxxxx. Xxxxxx známé xxxxx úspěšné xxxxxx x překonání bezpečnostních xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx xx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx opatření existují, xxx jejich xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx x xxxx xxxxxxxxxx xxxxxxxxxxxx. Xxxx xxxxx dílčí xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx až xx xxxxxxxx jisté xxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxx xx xxxxxx xxxxxxxx xxxxxx omezena. Xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Jsou xxxxx xxxxxxx pokusy překonání xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx xx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxx v xxxxxxx xxxxx náročnosti xxxxxxxx xx riziko xxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxx xxxxxxxxxxx x xxxx být xxxxxxxx xxxxxxxxxxxx xxxxx x jeho xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxxxxxxxx x xxxx být xxxxxxxxxx xxxxxxxx xxxxx x xxxx odstranění. |
V xxxxxxx, xx xxxxx xxxx xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxxxx metodu xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx, která xxxxxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx, je xxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx x zranitelností xxxxxxx. Sloučení xxxxxxx xx nemělo vést xx xxxxxx schopnosti xxxxxxxxx xxxx hrozby x xxxxxxxxxxxxx. Xx xxxxx xxxxxx xxx xxxxxx například xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxx xxxxxx xxxxxx, xxx i úroveň xxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx x xxxxx xxxx xxxxx xxxxxxx v §3 písm. c) xx e) xxxxxx, xxxxx používá xxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxx, xxxxxx, xxxxxxxxxxxxx x xxxxx.
Xxxxxxx x. 3 x vyhlášce x. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx algoritmy
(1) Xxxxxxxxxx algoritmy
a) Blokové x xxxxxxxx xxxxx xxx xxxxxxx xxxxxxxxxx x xxxxxxxxx
1. Advanced Xxxxxxxxxx Xxxxxxxx (XXX) x xxxxxxxx xxxxx xxxxx 128, 192 x 256 xxxx Xxxxxx Data Xxxxxxxxxx Xxxxxxxx (3DES) x xxxxxxxx délky xxxxx 168 xxxx, xxxxxxx xxxxxxx jen xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX, xxxxxxxx xxxxxxxxx xx XXX.
2. Xxxxxx Xxxx Xxxxxxxxxx Standard (3XXX) x xxxxxxxx xxxxx xxxxx 112 xxxx, xxxxxxx xxxxxxx jen xx xxxxxxxxx xxxxx xxxxxx než 10 XX, xxxxxxxx přecházet xx XXX. Xxxxxxxxxx xxxxxxx jedinečného xxxxx xxx xxxxxx zprávu.
3. Xxxxxxxx x využitím xxxxxxxxx xxxxx xxxxx 128 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 GB.
4. Xxxxxx x využitím xxxxx klíčů 128 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 GB.
5. Twofish x xxxxxxxx xxxxx xxxxx 128 xx 256 bitů.
6. Xxxxxxx x xxxxxxxx délky xxxxx 128, 192, 256 xxxx.
7. Xxxxxxxx x xxxxxxxx xxxxx xxxxx 128, 192 x 256 bitů.
8. XXXX 2.0, XXXX 3X x xxxxxxxx xxxxx xxxxx 128, 256 bitů.
b) Xxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx
1. CCM,
2. XXX,
3. XXX,
4. Xxxxxxx xxxxxxxx xxxx "Xxxxxxx-xxxx-XXX".
Xxxxxxxx:
Xxxxxxxx xxxx "Xxxxxxx-xxxx-XXX",xxxx xxxxxxxx x xxxxxxxxx xxxxx uvedené xxxxxxxxx xxxx a x xxxxxxx XXX xxxxx xxxxxxx módy xxx ochranu integrity.
c) Xxxx šifrování
1. XXX,
2. XXX,
3. XXX,
4. XXX,
Xxxxxxxx:
Xxxx XXX x XXX xxxx xxx xxxxxxx x xxxxxxxx, pro xxxxxxxx nepředpověditelným xxxxxxxxxxxxxx xxxxxxxx, při xxxxxxx xxxx XXX xx xxx xxxx xxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxxx xxxxxxx, při xxxxxxx xxxx XXX xx xxx xxxx xxxx nesmí xxxxxxxx xxxxxxx xxxxxx, x xxxxxxx xxxxxxx CBC xxxx x šifrování xxx xxxxxxx xxxxxxxxx xx xxxxx ověřit xxxxxxxx xxxxx xxxxx xx xxxxxxx CBC xxxx.
x) Módy xxx xxxxxxx xxxxxxxxx
1. HMAC,
2. XXX-XXX-X9.19, xxxxxxx xxxxxxx xxx xx zatížením xxxxxx než 109 XXX,
3. XXX-XXX-XXXX,
4. XXXX.
(2) Xxxxxxxxxxx xxxxxxxxx
x) Xxx xxxxxxxxxxx xxxxxxxxxxx podpisu
1. Xxxxxxx Signature Xxxxxxxxx (XXX) s xxxxxxxx xxxxx klíčů 2048 xxxx a xxxx, xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx 224 xxxx x xxxx.
2. Xxxxxxxx Xxxxx Digital Signature Xxxxxxxxx (EC-DSA) x xxxxxxxx xxxxx xxxxx 224 xxxx x xxxx.
3. Xxxxxx-Xxxxxx-Xxxxxxx Probablistic Xxxxxxxxx Scheme (RSA-PSS) x využitím xxxxx xxxxx 2048 bitů x více.
b) Xxx xxxxxxx dohod xx xxxxx x šifrování xxxxx
1. Xxxxxx-Xxxxxxx (DH) x xxxxxxxx xxxxx xxxxx 2048 xxxx x více, délky xxxxxxxxx cylické xxxxxxxx 224 xxxx x xxxx.
2. Elliptic Xxxxx Xxxxxx-Xxxxxxx (ECDH) x xxxxxxxx xxxxx xxxxx 224 xxxx x xxxx.
3. Elliptic Xxxxx Xxxxxxxxxx Xxxxxxxxxx Xxxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXXXX-XXX) s xxxxxxxx xxxxx klíčů 256 bitů a xxxx.
4. Provably Secure Xxxxxxxx Xxxxx - Xxx Encapculation Xxxxxxxxx (XXXX-XXX) x xxxxxxxx xxxxx xxxxx 256 xxxx více.
5. Xxxxxxxxx Xxxxxxx xxx Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) x xxxxxxxx xxxxx xxxxx 256 xxxx x xxxx.
6. Xxxxxx Xxxxxx Xxxxxxx - Xxxxxxx Xxxxxxxxx Encryption Xxxxxxx (XXX-XXXX) x xxxxxxxx xxxxx klíčů 2048 a xxxx.
7. Xxxxxx Xxxxxx Adleman - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (RSA-KEM) s xxxxxxxx délky xxxxx 2048 x více.
(3) Xxxxxxxxx xxxx funkcí
a) XXX-2
1. XXX-224,
2. XXX-256,
3. XXX-384,
4. XXX-512,
5. XXX-512/224,
6. XXX-512/256.
x) XXX-3
1. SHA3-224,
2. XXX3-256,
3. XXX3-384,
4. XXX3-512,
5. XXXXX-128,
6. XXXXX-256.
x) Xxxxxxx xxxxxxxx funkce
1. Xxxxxxxx,
2. XXXXXX-160,
3. XXX 1 x xxxxxxxx xxxxxxxx.
Xxxxxxxx x. 1:
SHA-1 xx xxxxx xxxxxxxx xxx xxxxxxxxxx xxxxxx digitálních xxxxxxx, xxxxxxxx xxxxxxx, xxxxxxxxx jiné xxxxxxxx xxxxxxxxxx xxxxxxxxx SHA-1.
Poznámka x. 2:
XXX-1 xxx xxxxxxxx pouze xxx xxxxxxxxx xxx existujících xxxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxx, xxxxxxxxxx x xxxxxxxxx XXXX-XXX1, xxxxxx pro odvozování xxxxx x pseudonáhodné xxxxxxxxxx.
Příloha č. 4 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
Xxxx příloha obsahuje xxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx. Navrhované struktury xxxxxxxxxxxx xxxxxxxxx zahrnují xxxxxx, xxxxx xxxxxxxxxx xxxxxxxxx xxxxx této xxxxxxxx pokrývají, přičemž xxxxxxx struktury xxxxxxxxx xxxxxx závazné x xx xx orgánu xxxx xxxxx xxxxxxx x §3 písm. x) až e) xxxxxx, xxxx přístup x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx. Xxxxxxxxx xx i xxxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxx xxxx xxxxx xx jednoho xxxxxxxxx.
X. Struktura xxxxxxxxxxxx xxxxxxxx
(1) Politika xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 odst. 2 písm. a)]
a) Xxxx, xxxxxxxx x xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxx a xxxxxxx systému xxxxxx xxxxxxxxxxx informací.
c) Pravidla x xxxxxxx pro xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx zdrojů x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.
e) Xxxxxxxx x xxxxxxx pro xxxxxxxxx auditů kybernetické xxxxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx nápravná xxxxxxxx a xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx bezpečnostních xxxx x xxxxxx xxxx x povinností,
1. xxxxx x povinnosti xxxxxxxx xxxxxxxxxxxx bezpečnosti,
2. xxxxx x xxxxxxxxxx xxxxxxxxxx kybernetické xxxxxxxxxxx,
3. xxxxx x xxxxxxxxxx xxxxxxxx kybernetické xxxxxxxxxxx,
4. xxxxx x xxxxxxxxxx xxxxxxx xxxxx,
5. xxxxx x povinnosti xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx činností xxxxxxxxxxxx xxxxxxxxxxxxxx xxxx.
(3) Xxxxxxxx řízení dodavatelů**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx a xxxxxxxx xxx xxxxx xxxxxxxxxx.
x) Xxxxxxxx pro hodnocení xxxxx xxxxxxxxxx.
x) Xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxx x xxxxxxx x xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx x x xxxxxx vzájemné xxxxxxx odpovědnosti.
d) Xxxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx xxxxxxxxxx.
(4) Xxxxxxxx xxxxxxxxxxx xxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Identifikace, xxxxxxxxx x xxxxxxxx primárních xxxxx
1. xxxxxx a xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx včetně xxxxxx xxxxxx garanta,
2. xxxxxxxxx xxxxxxxxxxx primárních xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx.
x) Xxxxxxxxxxxx, hodnocení a xxxxxxxx podpůrných aktiv
1. xxxxxx x evidence xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxx xxxxx xxxx primárními a xxxxxxxxxx xxxxxx.
x) Pravidla xxxxxxx jednotlivých úrovní xxxxx
1. způsoby rozlišování xxxxxxxxxxxx xxxxxx aktiv,
2. xxxxxxxx xxx manipulaci x xxxxxxxx xxxxx xxxxx úrovní aktiv,
3. xxxxxxxxx xxxxxxx používání xxxxx.
x) Způsoby xxxxxxxxxxxx xxxxxxx xxxx ničení xxxxxxxxxxx nosičů xxx.
(5) Xxxxxxxx bezpečnosti xxxxxxxx xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxx xxxxxxxxx
1. xxxxxxx x xxxxx xxxxxxx xxxxxxxxx,
2. xxxxxxx x xxxxx xxxxxxx xxxxxxx xxxxx,
3. xxxxxxx x xxxxx poučení xxxxxxxxxxxxxx,
4. xxxxxxx a xxxxx poučení dalších xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Bezpečnostní xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx politiky xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx pro xxxxxxxx xxxxxxxxxx vztahu xxxx změnu pracovní xxxxxx.
1. xxxxxxx xxxxxxxxx xxxxx x odebrání xxxx xxx ukončení xxxxxxxxxx xxxxxx,
2. xxxxx xxxxxxxxxxxx xxxxxxxxx při xxxxx xxxxxxxx pozice.
(6) Xxxxxxxx řízení xxxxxxx x xxxxxxxxxx**
[§5 xxxx. 1 písm. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxxx x xxxxxxxxxxxx spojené x xxxxxxxxx xxxxxxxx.
x) Xxxxxxx bezpečného xxxxxxx.
x) Xxxxxxxxx x standardy xxxxxxxxxx xxxxxxx.
x) Xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx.
(7) Xxxxxxxx xxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Princip xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (xxxx xx know).
b) Xxxxxxxxx xx xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxx xxxxxxxx.
x) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx přístupových xxxxxxxxx xxxxxx rozdělení xxxxxxxxxxxx uživatelů x xxxxxxxxxxxx xxxxxxxxx.
(8) Politika xxxxxxxxxx xxxxxxx xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. h)]
a) Xxxxxxxx xxx xxxxxxxx xxxxxxxxx s xxxxxx.
x) Xxxxxxxx xxxxxxx přístupového xxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx a xxxxxxxx xx xxxxxxxx.
x) Xxxxxxxx xxxxxxxx přístup.
e) Xxxxxxxx xxxxxxx na xxxxxxxxxx sítích.
f) Bezpečnost xx xxxxxx k xxxxxxxx xxxxxxxxx.
(9) Politika xxxxxxxxxx x xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxxx xx xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx uložení xxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxx xxxxxxxxxx x obnovy.
(10) Xxxxxxxx bezpečného xxxxxxxxx x výměny informací**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx a xxxxxxx pro xxxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx.
x) Pravidla xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(11) Xxxxxxxx xxxxxx technických xxxxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx xxx xxxxxxx instalace xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx x postupy xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
x) Pravidla x xxxxxxx nasazení oprav xxxxxxxxxxxx vybavení.
(12) Xxxxxxxx xxxxxxxxxx používání xxxxxxxxx xxxxxxxx*
[§5 odst. 1 xxxx. 1)]
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx používání mobilních xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxx x osoba xxxxxxx v §3 xxxx. x) a x) zákona nedisponuje.
(13) Xxxxxxxx xxxxxxxxxxx a xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx*
[§5 xxxx. 1 písm. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxxxxxxx programového xxxxxxxx x jeho xxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
(14) Xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx*
[§5 xxxx. x xxxx. n)]
a) Xxxxxxxx x postupy xxxxxxxxx xxxxxxxxx x xxxxxxx.
x) Xxxxxxx xxxxxxxxxxxxx xxxxxxxxx a záznamů.
c) Xxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx.
(15) Xxxxxxxx xxxxxxx xxxxxxxx údajů*
[§5 xxxx. x xxxx. x), §5 xxxx. 2 xxxx. k)]
a) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx osobních xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx organizačních xxxxxxxx xxx ochranu xxxxxxxx xxxxx.
x) Xxxxx přijatých x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxx xxxxx.
(16) Xxxxxxxx xxxxxxx bezpečnosti**
[§5 xxxx. x xxxx. p)]
a) Xxxxxxxx xxx ochranu xxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx vstupu xxxx.
x) Xxxxxxxx xxx ochranu xxxxxxxx.
x) Detekce xxxxxxxx xxxxxxx bezpečnosti.
(17) Xxxxxxxx xxxxxxxxxxx komunikační xxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx a xxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxx.
x) Xxxxxx xxxx x povinností xx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxxx v xxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxxxx x xxxx.
x) Pravidla x xxxxxxx xxx monitorování xxxx x vyhodnocování xxxxxxxxxx xxxxxxx.
(18) Politika xxxxxxx před xxxxxxxxx xxxxx*
[§5 xxxx. x xxxx. r), §5 xxxx. 2 xxxx. x)]
x) Pravidla x xxxxxxx xxx ochranu xxxxxxxxxx xxxx xxxxxxx x xxxxxx sítí.
b) Xxxxxxxx a postupy xxx xxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxx stanic.
(19) Politika xxxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí**
[§5 xxxx. 1 xxxx. x), §5 odst. 2 písm. x)]
x) Xxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx xxxxxxxxxxxxx a xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx nastavení xxxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
(20) Xxxxxxxx xxxxxxx x xxxxxx xxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí**
[§5 xxxx. 1 písm. x)]
x) Xxxxxxxx a xxxxxxx pro evidenci x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
b) Xxxxxxxx x postupy pravidelné xxxxxxxxxxx xxxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxx xxxxxxxxx bezpečnostních vlastností xxxxxxxx xxx xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(21) Politika xxxxxxxxxx xxxxxxxxx kryptografické xxxxxxx**
[§5 xxxx. 1 xxxx. u), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxx x xxxxxxx na xxx x xxxx xxxxxxxxxxxxxxxx algoritmu.
b) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx
1. xxx xxxxxxx po xxxxxxxxxxxxx xxxxxx,
2. při xxxxxxx na xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx nosič xxx,
x) Xxxxxx xxxxxx klíčů.
II. Xxxxxxxxx další xxxxxxxxxxx
(1) Xxxxxx z xxxxxx xxxxxxxxxxxx bezpečnosti**
[§28 xxxx. 1 písm. x)]
x) Xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Předmět xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx xxxx xxxxxxxx x xxxx, které xx xxxxxx kybernetické xxxxxxxxxxx zúčastnily.
e) Datum x místo, xxx xxxx xxxxxxxxx xxxxxxxx xxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxx z xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(2) Xxxxxx z xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 písm. x)]
x) Xxxxxxxxxxx opatření x xxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) Xxxxxxxxxxxx xxxx a xxxxxxxxx, xxxxx xxxxx xxx vliv na xxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
1. neshody x nápravná xxxxxxxx,
2. xxxxxxxx xxxxxxxxxxxx x xxxxxx,
3. výsledky xxxxxx,
4. xxxxxxxx xxxx bezpečnosti,
d) Xxxxxxxx hodnocení xxxxx x xxxx xxxxx xxxxxxxx xxxxx.
x) Xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, stanovení xxxxxxxx x xxxx xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
(3) Xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x hodnocení rizik*
[§28 xxxx. 1 xxxx. x), §28 odst. 2 písm. x)]
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx primárních aktiv
1. xxxxxx stupnice xxx xxxxxxxxx xxxxxx důvěrnosti xxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxx aktiv,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx dostupnosti aktiv.
b) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,
2. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,
3. xxxxxx xxxxxxxx pro hodnocení xxxxxx xxxxxxxxxxxxx,
4. xxxxxx xxxxxxxx pro hodnocení xxxxxx xxxxx,
x) Xxxxxx x přístupy pro xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx rizik.
(4) Xxxxxx x hodnocení xxxxx x xxxxx**
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. x)]
x) Xxxxxxx primárních xxxxx
1. xxxxxxxxxxxx a popis xxxxxxxxxx aktiv,
2. určení xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxxxxx primárních aktiv x xxxxxxxx důvěrnosti, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx aktiv (xxxxxxx xxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx)
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. určení xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx,
x) Xxxxxxxxxxxxxx a xxxxxxxxx xxxxx
1. xxxxxxxxx možných xxxxxx na xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx existujících xxxxxxxxxxxxx, xxxxxxxxx xxxxxxxxxxxx opatření,
4. xxxxxxxxx úrovně xxxxxx, xxxxxxxxx xxxx úrovně x xxxxxxxx xxx xxxxxxxxxxxx rizik,
5. určení x schválení xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx rizik
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. návrh xxxxxxxx x xxxxxx xxxxxxxxx.
(5) Xxxxxxxxxx x xxxxxxxxxxxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. x)]
x) Xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx včetně xxxxxxxxxx xxxxxx výběru x xxxxxx xxxxx na xxxxxxxxxxxxxx rizika.
b) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(6) Xxxx zvládání rizik**
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. e)]
a) Xxxxx x xxxx xxxxxxxxx bezpečnostních xxxxxxxx xxx xxxxxxxx rizik.
b) Xxxxxxxx xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx opatření xxx xxxxxxxx rizik.
c) Xxxxx xxxxxxxxxxx jednotlivá xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxx jednotlivých bezpečnostních xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxxxx zavedení xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
(7) Plán xxxxxxx bezpečnostního povědomí*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. f)]
a) Xxxxx x termíny xxxxxxx xxxxxxxxx.
x) Obsah x xxxxxxx xxxxxxx xxxxxxx xxxxx (neplatí xxx xxxxxx x xxxxx uvedené v §3 písm. x) xxxxxx).
x) Obsah a xxxxxxx poučení xxxxxxxxxxxxxx (xxxxxxx xxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) xxxxxx).
x) Xxxxx x termíny xxxxxxx xxxxxxx osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Obsah x termíny xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxx x xxxxxxx xxxxxxxxx xxxxx.
(8) Xxxxxxxx kybernetických xxxxxxxxxxxxxx incidentů**
[§28 odst. 1 xxxx. i), §28 xxxx. 2 xxxx. x)]
x) Definování xxxxxxxxx kybernetického bezpečnostního xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(9) Xxxxxxxxx xxxxxx xxxxxxxxxx činností**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. h)]
a) Xxxxx a xxxxxxxxxx xxxxxxxxxxxx osob.
b) Xxxx xxxxxx xxxxxxxxxx činností
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx,
2. xxxx obnovení xxxxx,
3. bod obnovení xxxxx.
x) Strategie xxxxxx xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxx dopadů xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx kontinuitu x xxxxxxxxxx xxxxxxxxxxxxx rizik.
e) Xxxxxx a xxxxx xxxxxxxxxx plánů xxxxxxxxxx.
x) Xxxxxxx xxx xxxxxxxxx xxxxxxxx vydaných Xxxxxxxx xxxxxxxxxxxxx úřadem.
(10) Xxxxxxx xxxxxx závazných xxxxxxxx xxxxxxxx, vnitřních předpisů x xxxxxx xxxxxxxx x xxxxxxxxx závazků*
[§28 xxxx. 1 písm. x), §28 odst. 2 písm. x)]
x) Xxxxxxx obecně závazných xxxxxxxx xxxxxxxx.
x) Přehled xxxxxxxxx předpisů x xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxx.
Xxxxxxxx:
* Očekávaná xxxxxxxxx xxxxxxxxx xx xx xxxxxx xxxxxxx xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.
** Xxxxxxxxx důvěrnost dokumentu xx na xxxxxx xxxxxx xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.
Xxxxxxx č. 5 x xxxxxxxx x. 316/2014 Sb.
Formulář xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu
Vyplnitelný formulář ve formátu PDF
Xxxxxxx x. 6 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx oznámení x xxxxxxxxx reaktivního xxxxxxxx a xxxx xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx x. 7 x vyhlášce x. 316/2014 Sb.
Formulář xxx xxxxxxx xxxxxxxxxxx xxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxxxx
Xxxxxx xxxxxxx č. 316/2014 Xx. xxxxx xxxxxxxxx xxxx 1.1.2015.
Xx xxx uzávěrky právní xxxxxxx xxxxx měněn xx xxxxxxxxx.
Xxxxxx xxxxxxx x. 316/2014 Xx. xxx xxxxxx právním xxxxxxxxx č. 82/2018 Sb. s xxxxxxxxx od 28.5.2018.
Xxxxx xxxxxxxxxxxx právních xxxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx není xxxxxxxxxxxxx, pokud se xxxx netýká xxxxxxxxx xxxxx shora uvedeného xxxxxxxx xxxxxxxx.
1) XXX/XXX 27001:2013, xxxxxxxx XXX XXX/XXX 27001:2014