Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
XXXXXXXX
xx xxx 15. xxxxxxxx 2014
x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x o xxxxxxxxx xxxxxxxxxxx podání x xxxxxxx kybernetické xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx bezpečnostní xxxx xxxxxxx xxxxx §28 xxxx. 2 xxxxxx x. 181/2014 Xx., x xxxxxxxxxxxx bezpečnosti x x změně xxxxxxxxxxxxx xxxxxx (zákon x kybernetické xxxxxxxxxxx), (xxxx xxx "xxxxx") x xxxxxxxxx §6 xxxx. x) xx x), §8 xxxx. 4, §13 xxxx. 4 a §16 xxxx. 6 zákona.
XXXX XXXXX
XXXXXX USTANOVENÍ
§1
Předmět xxxxxx
Xxxxx xxxxxxxxx xx xxxxxxx xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxx xxxxxxxxxx systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx systém kritické xxxxxxxxxx infrastruktury xxxx xxxxxxxx xxxxxxxxxx xxxxxx, xxxxx bezpečnostních opatření, xxxxxx xxxxxx xxxxxxxx, xxxx a xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů, xxxxxxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx, xxxxxxxxxxx xxxxxxxx x provedení xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx a xxxx xxxxxxxx xxxxxxxxxxx údajů x jeho xxxxx.
§2
Xxxxxxxx pojmů
V xxxx xxxxxxxx se xxxxxx
x) xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx část systému xxxxxx orgánu x xxxxx uvedené v §3 písm. x) xx x) xxxxxx xxxxxxxx xx xxxxxxxx x rizikům xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury xxxx významného xxxxxxxxxxxx xxxxxxx, která xxxxxxx xxxxxx ustavení, xxxxxxxx, xxxxxx, xxxxxxxxxxxx, přezkoumání, xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx,
x) aktivem xxxxxxxx xxxxxxx a xxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxx, kterou xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx,
x) podpůrným xxxxxxx xxxxxxxxx xxxxxxx, zaměstnanci x xxxxxxxxxx podílející xx na xxxxxxx, xxxxxxx, správě xxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxx xxxxxxx technické xxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x programové vybavení xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx x xxxxxxx, xx xxxxxxx xxxx xxxx systémy xxxxxxxx,
x) rizikem možnost, xx xxxxxx xxxxxx xxxxxxx zranitelnosti xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxx xxxxxx, při xxxx je xxxxxxxx xxxxxxxxxx xxxxx x xxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxx rizik xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx, xxxxx x xxxxxxxx xxxxxxxx xx xxxxxxxx xxxxx, xxxxxxx informací x xxxxxx a xxxxxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxxxx xxxxxxx kybernetické bezpečnostní xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, jejímž xxxxxxxxx xxxx být xxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxx xxxxx xxxxx xxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxx xxxxxxxx jednou xxxx xxxx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xx uplatnění bezpečnostních xxxxxxxx, xxxxx úroveň xxxxxxxx kritériím xxx xxxxxxxxxxxx rizik,
l) bezpečnostní xxxxxxxxx xxxxxx xxxxx x xxxxxxxx, xxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxx xxxxxxx x osobou xxxxxxxx x §3 xxxx. x) až x) xxxxxx,
x) garantem aktiva xxxxxxx osoba xxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxx v §3 xxxx. x) xx x) xxxxxx x xxxxxxxxx xxxxxxx, xxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxx xxxxx xxxxxxx xxxx, xxxxx xxxxxxx primární xxxxxx,
x) administrátorem xxxxxxx xxxxx pověřená xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxx, xxxxxx, xxxxxxx, údržbu x xxxxxxxxxx xxxxxxxxxxx xxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX OPATŘENÍ
§3
Systém xxxxxx xxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) a d) xxxxxx x rámci xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx x xxxxxxx na xxxxxx x xxxxxxxxxxx bezpečnost xxxxxx x hranice xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xx kterém xxxx, kterých organizačních xxxxx x xxxxxxxxxxx xxxxx se systém xxxxxx bezpečnosti informací xxxx,
x) xxxx xxxxxx xxxxx §4 odst. 1,
x) xxxxxxx x xxxxxxx bezpečnostní politiku x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx obsahuje xxxxxx xxxxxx, cíle, bezpečnostní xxxxxxx, xxxxx x xxxxxxxxxx ve xxxxxx x řízení xxxxxxxxxxx xxxxxxxxx a na xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x dalších xxxxxxxxx xxxxx §5 x xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) monitoruje xxxxxxxx xxxxxxxxxxxxxx opatření,
e) xxxxxxxxxxx xxxxxxxx a xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx §5,
x) zajistí xxxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx xxxxx §15, x xx nejméně xxxxxx ročně,
g) xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxx xxxxxxxx hodnocení xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxx rizik, xxxxxxxxx výsledků provedených xxxxxxx a xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, x to nejméně xxxxxx xxxxx,
x) aktualizuje xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, výsledků vyhodnocení xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx a x xxxxxxxxxxx x xxxxxxxxxxx nebo plánovanými xxxxxxx x
x) řídí xxxxxx a xxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxxxxxxxx xxxxxxxx xxxxxxx se xxxxxxxx xxxxxx bezpečnosti xxxxxxxxx x xxxxxxx xxxxx.
(2) Xxxxx a osoba xxxxxxx x §3 xxxx. x) xxxxxx x rámci xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxx xxxxxx xxxxx §4 xxxx. 2,
x) xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, která xxxxxxxx hlavní xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx a xxxxxxxxxx xx xxxxxx k xxxxxx bezpečnosti xxxxxxxxx x xx xxxxxxx xxxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxx xxxxx xxxxxxx bezpečnostní xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §5, x xxxxxx příslušná bezpečnostní xxxxxxxx x
x) xxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxxx xxxxx x xxxxx, xxxxxxxxxxxx politiky, xxxxx zvládání xxxxx x xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx, a xx xxxxxxx xxxxxx xx xxx xxxx xxxx v xxxxxxxxxxx x xxxxxxxxxxx nebo xxxxxxxxxxx xxxxxxx.
§4
Xxxxxx xxxxx
(1) Orgán x osoba uvedená x §3 písm. x) x d) xxxxxx x xxxxx xxxxxx rizik
a) stanoví xxxxxxxx xxx xxxxxxxxxxxx x hodnocení xxxxx x xxx xxxxxxxxxxxx x hodnocení xxxxx xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxx, xxxxx xxxxx do xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, podle §8 x rozsahu přílohy č. 1 x xxxx xxxxxxxx x výstupy zapracuje xx xxxxxx o xxxxxxxxx xxxxx x xxxxx,
x) identifikuje rizika, xxx kterých xxxxxxxx xxxxxx a zranitelnosti, xxxxxxx možné dopady xx aktiva, hodnotí xxxx xxxxxx xxxxxxxxx x xxxxxxx podle přílohy č. 2 x xxxx xxxxxxxx, xxxx a xxxxxxx přijatelná xxxxxx x zpracuje xxxxxx x hodnocení xxxxx x xxxxx,
x) zpracuje xx xxxxxxx bezpečnostních xxxxxx x xxxxxxxx xxxxxxxxx xxxxx prohlášení x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx přehled vybraných x zavedených xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx a xxxxxx plán zvládání xxxxx, xxxxx xxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx rizik, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxx xxxxxx xxxxxxxx x popis vazeb xxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx opatřeními x
x) xxxxxxxx xxx xxxxxxxxxx xxxxxxx xxxxxxxxx x ochranná opatření xxxxxx Národním bezpečnostním xxxxxx (dále xxx "Xxxx") x xxxxxxxxx xxxxx a x xxxxxxx, xx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxx x realizací reaktivního xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx, xxxxxx xxxx zvládání xxxxx.
(2) Orgán x xxxxx uvedená x §3 xxxx. x) xxxxxx v xxxxx xxxxxx xxxxx
x) stanoví xxxxxxxx xxx identifikaci x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx xxxxxxxx xxx přijatelnost xxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx primárních xxxxx, xxxxx xxxxx do xxxxxxx systému xxxxxx xxxxxxxxxxx informací, xxxxx §8 xxxxxxxxx v xxxxxxx přílohy č. 1 x xxxx xxxxxxxx x xxxxxxx xxxxxxxxx xx xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx zohlední hrozby x zranitelnosti, posoudí xxxxx xxxxxx na xxxxxxxx xxxxxx, xxxxxxx xxxx xxxxxx minimálně x xxxxxxx xxxxx přílohy č. 2 x xxxx xxxxxxxx a zpracuje xxxxxx o xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxx na xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx hodnocení xxxxx xxxxxxxxxx x aplikovatelnosti, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) zpracuje x xxxxxx xxxx xxxxxxxx xxxxx, xxxxx xxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx opatření xxx zvládání xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxxx xxxxxx xxxxxxxx a popis xxxxx mezi identifikovanými xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx opatřeními a
f) xxxxxxxx bez xxxxxxxxxx xxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxx vydaná Xxxxxx x hodnocení xxxxx x x xxxxxxx, že xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxx zranitelnosti spojené x xxxxxxxxx reaktivního xxxx ochranného opatření xxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx rizik, xxxxxx plán xxxxxxxx xxxxx.
(3) Xxxxxx xxxxx xxxx xxx xxxxxxxxx x xxxxxx xxxxxxx, xxx xxx je xxxxxxxxx x xxxxxxxxxx 1 a 2, xxxxx xxxxx x xxxxx uvedená x §3 xxxx. c) xx x) zákona xxxxxxxxx, že xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxxxx xxxxxx xxxxxx rizik.
(4) Xxxxx x xxxxx uvedená x §3 písm. x) xx x) xxxxxx xxx xxxxxxxxx xxxxx xxxxxxx zejména xxxx xxxxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, zneužití xxxxxxxxx xx strany xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx programového xxxxxxxx,
x) zneužití xxxxxxxx xxxxxxx xxxxx,
x) užívání xxxxxxxxxxxx vybavení x xxxxxxx x xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx útok x xxxxxxxxxxx sítě,
f) xxxxxxxx kód (xxxxxxxxx xxxx, xxxxxxx, trojské xxxx),
x) xxxxxxxxxx při xxxxxxxxxxx služeb xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxxxx,
x) přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx dodávek xxxxxxxxxx xxxxxxx,
x) zneužití nebo xxxxxxxxxxx xxxxxxxxxx údajů,
k) xxxxxx xxxxxxxx hrozby x
x) xxxxxxxx nebo xxxxxxxxx xxxxxx.
(5) Orgán x xxxxx uvedená x §3 xxxx. x) až x) xxxxxx při hodnocení xxxxx xxxxxxx xxxxxxx xxxx zranitelnosti
a) xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx x administrátorů,
c) xxxxxxxxxxxx údržba informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx xxx identifikování x odhalení negativních xxxxxxxxxxxxxx jevů, kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
f) xxxxxxxxxxxx monitorování xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxx xxxx xxxxxxx způsoby xxxxxxx x
x) nedostatečné xxxxxxxxx xxxxxxxxxxxxxx pravidel, nepřesné xxxx xxxxxxxxxxxxx vymezení xxxx x povinností xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx.
(6) Orgán x xxxxx uvedená x §3 xxxx. x) a x) xxxxxx při xxxxxxxxx xxxxx xxxx xxxxxxx xxxx xxxxxx
x) porušení xxxxxxxxxxxx xxxxxxxx, provedení xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx ze xxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xx xxxxxx xxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxx, sabotáž,
d) xxxxxxxxxx přerušení poskytování xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxxxxxxxxx xxxxxxx xxxx jiných xxxxxxxxxx xxxxxx,
x) nedostatek zaměstnanců x xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxxxxxxx xxxx xxxxxx sociálního xxxxxxxxxxx, xxxxxxx špionážních xxxxxxx a
g) xxxxxxxx xxxxxxxxxxxxx technických nosičů xxx.
(7) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x x) zákona xxx hodnocení xxxxx xxxx zvažuje xxxx xxxxxxxxxxxxx
x) nedostatečná ochrana xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,
x) nedostatečná míra xxxxxxxxx xxxxxxxx x
x) xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxxx.
§5
Xxxxxxxxxxxx politika
(1) Orgán x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx stanoví xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx bezpečnost,
c) xxxxxx xxxxxx s xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxxx,
x) xxxxxx přístupu,
h) xxxxxxxx xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x obnova,
j) xxxxxxxx xxxxxxxxx a xxxxxx xxxxxxxxx,
x) řízení xxxxxxxxxxx xxxxxxxxxxxxx,
x) bezpečné xxxxxxxxx xxxxxxxxx zařízení,
m) xxxxxxxxxxx a xxxxxxxx xxxxxxx programového xxxxxxxx x xxxxxxxxx,
x) dlouhodobé xxxxxxxx x xxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx,
x) fyzická xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx sítě,
r) xxxxxxx xxxx xxxxxxxxx xxxxx,
x) xxxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxx kybernetických bezpečnostních xxxxxxxx,
x) xxxxxxx x xxxxxx xxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x
x) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(2) Xxxxx x xxxxx uvedená v §3 xxxx. x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) organizační xxxxxxxxxx,
x) xxxxxx dodavatelů,
d) klasifikace xxxxx,
x) bezpečnost lidských xxxxxx,
x) xxxxxx xxxxxxx x komunikací,
g) xxxxxx xxxxxxxx,
x) xxxxxxxx chování xxxxxxxxx,
x) xxxxxxxxxx x xxxxxx,
x) poskytování x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx,
x) xxxxxxx osobních xxxxx,
x) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxx škodlivým xxxxx a
n) nasazení x používání nástroje xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xx.
§6
Xxxxxxxxxxx bezpečnost
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxxx organizaci xxxxxx bezpečnosti xxxxxxxxx, x xxxxx které xxxx xxxxx xxx xxxxxx kybernetické xxxxxxxxxxx x bezpečnostní role x jejich xxxxx x povinnosti související x xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxx xxxxxxxxxxx xxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx určí xxxxxxxxxxxx xxxx
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxx xxxxxx xxxxx §2 xxxx. x).
(3) Xxxxx x xxxxx xxxxxxx v §3 xxxx. e) určí xxxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxx 2.
(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx, odpovědná xx xxxxxx xxxxxx xxxxxxxxxxx informací, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxx nejméně tří xxx.
(5) Architekt xxxxxxxxxxxx xxxxxxxxxxx je xxxxx xxxxxxxxxxx xxxxx a xxxxxxxxxxxx xxxxxxxxxxxxxx opatření, xxxxx je xxx xxxx xxxxxxx vyškolena x prokáže xxxxxxxx xxxxxxxxxxx xxxxx s xxxxxxxxxxx bezpečnostní xxxxxxxxxxxx xx dobu nejméně xxx xxx.
(6) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx xxxxxxxxxxx audit xxxxxxxxxxxx xxxxxxxxxxx, která xx xxx tuto xxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x prováděním xxxxxx xxxxxxxxxxxx bezpečnosti xx xxxx nejméně xxx xxx. Auditor xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxxxxx x xxxxx jeho xxxx je xxxxxxx xx xxxxxx xxxx xxxxxxxxx x odstavci 2 xxxx. a), x) xxxx x).
(7) Xxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx je xxxxxxxxxxxx skupina tvořená xxxxxxx, xxxxx xxxx xxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xx xxxxxxxx xxxxxxxx xx xxxxxx x xxxxxxxxxx xxxxxxxx spojených x xxxxxxxxxxxxx xxxxxxxxxxx těchto xxxxxxx.
(8) Xxxxx x xxxxx xxxxxxx v §3 písm. x) xx x) xxxxxx xxxxxxx odborné xxxxxxx xxxx, xxxxx zastávají xxxxxxxxxxxx role x xxxxxxx s xxxxxx xxxxxxx xxxxxxxxxxxxxx povědomí xxxxx §9 odst. 1 písm. x).
§7
Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxx dodavatele
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx zavede xxxxxxxx xxx xxxxxxxxxx, xxxxx xxxxxxxxxx potřeby xxxxxx xxxxxxxxxxx xxxxxxxxx, x xxxxxxxx xx x xxxxxxxxxx xxxx jiných xxxx, xxxxx xx xxxxxxxx na xxxxxxx, xxxxxxx nebo zajištění xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xxxxxx xxxxxxxx dodavatelů xx xxxxxxx, xxxxxxx xxxx zajištění bezpečnosti xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx a xxxxx uvedená v §3 xxxx. x) xx e) xxxxxx xxxxxxxx, xxxxx součástí xx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx u dodavatelů xxxxxxxxx x xxxxxxxx 1 xxxx
x) xxxx xxxxxxxxx smlouvy xxxxxxx xxxxxxxxx rizik podle přílohy č. 2 k xxxx xxxxxxxx, která xxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxx x xxxxxx služeb, xxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření a xxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx opatření, x
x) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx a pravidelnou xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxx xx xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxx.
§8
Xxxxxx xxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx v xxxxx xxxxxx xxxxx
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxx,
x) určí xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xx xxxxxxxx xxxxxx, x
x) xxxxxxx xxxxxxxxxx primárních xxxxx x hlediska důvěrnosti, xxxxxxxxx a dostupnosti x xxxxxx je xx xxxxxxxxxxxx úrovní xxxxxxxxx v xxxxxxx xxxxx přílohy č. 1 x xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx xxxxxxxxxxx primárních xxxxx xx xxxxx xxxxxxxxx xxxxxxxx
x) xxxxxx x xxxxxxxxxx xxxxxxxx xxxxx nebo xxxxxxxxxx xxxxxxxxx,
x) xxxxxx dotčených xxxxxxxx povinností xxxx xxxxxx závazků,
c) rozsah xxxxxxxx xxxxxxxxx řídících x xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx veřejných, xxxxxxxxxx xxxx ekonomických xxxxx,
x) xxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx xxxxxx a xxxxx xxxxxxx v §3 xxxx. c) xx x) xxxxxx,
x) xxxxxx xxxxxxx s xxxxxxxxx důvěrnosti, integrity x dostupnosti a
h) xxxxxx xx zachování xxxxxxx xxxxx xxxx xxxxxxx xxxxx xxxxxxx.
(3) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx dále
a) xxxxxxxxxxxx a xxxxxxx xxxxxxxx xxxxxx,
x) xxxx xxxxxxx xxxxx, xxxxx xxxx odpovědní za xxxxxxxx xxxxxx, a
c) xxxx xxxxx mezi xxxxxxxxxx x xxxxxxxxxx xxxxxx x hodnotí xxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.
(4) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx e) zákona xxxx
x) xxxxxxx xxxxxxxx xxxxxxx, nutná xxx xxxxxxxxxxx jednotlivých xxxxxx xxxxx tím, že
1. xxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxx pravidla pro xxxxxxxxxx x xxxxxxxx x aktivy podle xxxxxx aktiv, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxxxx a xxxxxxx přenášení aktiv x
3. xxxxxxx přípustné xxxxxxx xxxxxxxxx xxxxx,
x) xxxxxx pravidla xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx x
x) xxxx xxxxxxx xxx spolehlivé xxxxxxx xxxx xxxxxx technických xxxxxx dat x xxxxxxx na úroveň xxxxx.
§9
Xxxxxxxxxx xxxxxxxx xxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. c) xx x) xxxxxx x xxxxx řízení bezpečnosti xxxxxxxx zdrojů
a) stanoví xxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx, xxxxx obsahuje xxxxx, xxxxx x xxxxxx potřebných školení x xxxx xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx x plánu uvedeny,
b) x souladu x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx zajistí xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x jejich xxxxxxxxxxxx a x xxxxxxxxxxxx politice xxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) zajistí kontrolu xxxxxxxxxx xxxxxxxxxxxx politiky xx strany uživatelů, xxxxxxxxxxxxxx a osob xxxxxxxxxxxxx xxxxxxxxxxxx role x
x) zajistí xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx přístupových xxxxxxxxx xxx ukončení xxxxxxxxx xxxxxx s uživateli, xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxx x školení podle xxxxxxxx 1 přehledy, xxxxx obsahují xxxxxxx xxxxxxx a xxxxxx xxxx, xxxxx školení xxxxxxxxxxx.
(3) Xxxxx x xxxxx uvedená v §3 xxxx. x) x d) zákona xxxx
x) stanoví xxxxxxxx xxx xxxxxx xxxx, xxxxx budou zastávat xxxxxxxxxxxx role, xxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx,
x) xxxxxxx účinnost plánu xxxxxxx xxxxxxxxxxxxxx povědomí, xxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxx xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) xxxxxxx xxxxx xxxxxxxxxxxx oprávnění xxx xxxxx xxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
§10
Řízení xxxxxxx a xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 písm. c) xx x) zákona x xxxxx xxxxxx xxxxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx v §21 xx 23 detekuje xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxxx xxxxxxxxxxx získané xxxxxxxxx x xx xxxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxx x §13.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. c) xx e) zákona x rámci xxxxxx xxxxxxx x xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xx xxxxx xxxxxx xxxxxxx provozní xxxxxxxx x xxxxxxx.
(3) Provozní xxxxxxxx x xxxxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) x x) xxxxxx obsahují
a) xxxxx a xxxxxxxxxx xxxx xxxxxxxxxxxxx bezpečnostní xxxx, xxxxxxxxxxxxxx x xxxxxxxxx,
x) xxxxxxx xxx xxxxxxxx x ukončení xxxxx xxxxxxx, pro xxxxxxx xxxx obnovení xxxxx systému xx xxxxxxx a pro xxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxx sledování xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxx xxxxxxx xxxxxxxx k záznamům x xxxxxx xxxxxxxxxx,
x) xxxxxxx na kontaktní xxxxx, xxxxx xxxx xxxxxx xxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxxx xxxxxxxxxxx nebo technických xxxxxx,
x) postupy xxxxxx x xxxxxxxxxxx provozních xxxx x
x) xxxxxxx xxx xxxxxxxxx, plánování x xxxxxx xxxxxxxx xxxxxxxx a technických xxxxxx.
(4) Xxxxxx provozu xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx spočívá x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x prověřování xxxxxxxxxxxxx xxxxxxxxxxx xxxxx.
(5) Xxxxxx xxxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxxxxx x
x) xxxxxxxxx xxxxxxxx vývojového, xxxxxxxxxxx x produkčního xxxxxxxxx,
x) řešení xxxxxxxxxxx xxxxxxxx xxxxxxxx Úřadem xxx, xx xxxxx x osoba uvedená x §3 xxxx. x) x d) xxxxxx
1. xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xx informační systém xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xx zavedená xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxx xxxxxxxxx xxxxxx x xxx zbytečného xxxxxxx xx oznámí Xxxxx a
2. xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxxxxxx xxxxx negativní xxxxxx, x xxxx xxxxxx xxxx jeho xxxxxxxxx.
(6) Orgán a xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx x xxxxx xxxxxx xxxxxxxxxx
x) xxxxxxxxx bezpečnost x xxxxxxxxx komunikačních xxxx x bezpečnost xxxxxxxxxxxxx xxxxxx xxxxx §17,
x) xxxx xxxxxxxx x xxxxxxx xxx xxxxxxx informací, které xxxx přenášeny komunikačními xxxxxx,
x) provádí xxxxxx x xxxxxxxxx xxxxxxxxx xx základě pravidel xxxxxxxxxxx xxxxxxxx předpisy xx xxxxxxxxxx zajištění xxxxxxxxxxx xxxxxxxxx a xxxx xxxxxxxx xxxxxxxxxxx x
x) x ohledem xx klasifikaci xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxx smluv, xxxxxxx xxxxxxxx xx xxxxxxxxxx o bezpečnosti xxxxxxxxx.
§11
Řízení přístupu x xxxxxxxx xxxxxxx xxxxxxxxx
(1) Xxxxx x osoba xxxxxxx v §3 xxxx. x) xx x) xxxxxx na xxxxxxx xxxxxxxxxx a xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxx k xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxx xxxxxxxxx jednoznačný xxxxxxxxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 písm. x) xx e) xxxxxx xxxxxx xxxxxxxx, xxxxx xxxxxx x xxxxxxxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx systému xxxxx §18 a 19, x která xxxxx xx xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(3) Xxxxx x xxxxx uvedená v §3 xxxx. x) x x) zákona xxxx x xxxxx xxxxxx xxxxxxxx
x) xxxxxxx xxxxxxxxxxxxx xxxxxxxxx samostatný xxxxxxxxxxxxx,
x) omezí xxxxxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx x xxxxxxxxx řízení xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx přístupových xxxxxxxxx včetně xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx nebo xxxxxx,
x) xxxxxxx nástroj xxx ověřování xxxxxxxx xxxxxxxxx xxxxx §18 x xxxxxxx pro xxxxxx přístupových oprávnění xxxxx §19 x
x) xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxx x bezpečnostní xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxx orgán a xxxxx xxxxxxx x §3 písm. c) x x) zákona xxxxxxxxxxx.
§12
Xxxxxxxx, xxxxx x xxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx e) zákona xxxxxxx xxxxxxxxxxxx požadavky xx xxxxx informačního xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx spojené x xxxxxx xxxxxxxx, xxxxxxx x údržbou x xxxxxx xx xx xxxxxxxx xxxxxxxx, xxxxxx x údržby systému.
(2) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxxxxxxx, xxxxxxx x xxxx xxxxxx xxxxxxxxxxx x xxxxxxxx, xxxxxxx x xxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx; pro postupy xxxxxxxxx a xxxxxx xxxxx xx xxxxxxxx xxxxx §4 xxxx. 1 xxxx. x) xxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxxx vývojového xxxxxxxxx x zajistí xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxx x
x) provádí xxxxxxxxxxxx xxxxxxxxx změn xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx jejich xxxxxxxxx xx xxxxxxx.
§13
Zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x incidentů
Orgán x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx při zvládání xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx
x) xxxxxx nezbytná xxxxxxxx, xxxxx zajistí xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x významného informačního xxxxxxx xx strany xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x x xxxxxxxxxx xxxx záznamy,
b) xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxx oznámených xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí a xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx §21 až 23, provádí xxxxxx xxxxxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx incidenty,
c) xxxxxxx klasifikaci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, přijímá xxxxxxxx pro xxxxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle §32 x xxxxxxx xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx analýzu xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx,
x) xxxxxxxx x určí xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx, xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a xx xxxxxxx vyhodnocení stanoví xxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxx opakování xxxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
§14
Xxxxxx xxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx x xxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxxx
x) xxxxx x xxxxxxxxxx xxxxxxx xxxxx, administrátorů x xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) xxxx řízení xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx, xxxxx xx xxxxxxxxxx xxx xxxxxxx, xxxxxx x xxxxxx informačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
2. xxxx xxxxxxxx xxxxx, xxxxx které xxxx xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx minimální xxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému, a
3. xxxx xxxxxxxx xxx xxxx xxxxxxx, xx xxxxxxx xxxxx xxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu, a
c) xxxxxxxxx xxxxxx kontinuity xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx x).
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxxxx x xxxxxxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx x xxxxxxx xxxxx xxxxxx související x ohrožením xxxxxxxxxx xxxxxxxx,
x) xxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxx xxxxx kontinuity xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury,
c) xxxxxxxxx xxxxxxxx xxx zvýšení xxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x využívá xxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx podle §26 x
x) xxxxxxx x xxxxxxxxxxx postupy xxx xxxxxxxxx opatření xxxxxxxx Xxxxxx xxxxx §13 x 14 xxxxxx, xx xxxxxxx xxxxxxxx
1. xxxxxxxx hodnocení xxxxx xxxxxxxxx xxxxxxxx,
2. xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
3. xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.
§15
Kontrola x xxxxx xxxxxxxx informační infrastruktury x významných informačních xxxxxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx e) xxxxxx x xxxxx kontroly x xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx systémů (xxxx xxx "xxxxx xxxxxxxxxxxx xxxxxxxxxxx")
x) xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx předpisy, xxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx x smluvními xxxxxxx xxxxxxxxxxxx xx x xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x určí opatření xxx xxxx prosazování x
x) xxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxx těchto xxxxxxx xxxxxxxx v xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxx xxxxxxxx xxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx zajišťuje xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxxx podle §6 xxxx. 6, xxxxx xxxxxxx xxxxxxxxx x xxxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx x xxxxx uvedená x §3 písm. x) x x) xxxxxx xxxx xxx informační xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxx kritické informační xxxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx nástrojů x jejich xxxxxxx xxxxxxxxxxx x xxxxxxx xx xxxxxxxx xxxxxxxxxxxxx.
XXXXX II
TECHNICKÁ OPATŘENÍ
§16
Fyzická xxxxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona x rámci xxxxxxx xxxxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx k xxxxxxxx xxxxxxxxxxxxx vstupu xx xxxxxxxxxx xxxxxxx, kde xxxx zpracovávány informace x xxxxxxxx xxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx x zásahům do xxxxxxxxxx prostor, kde xxxx xxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního systému, x
x) xxxxxxxxx xxxxxxxxx, xxxxxxx nebo xxxxxxxx xxxxx xxxx přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného informačního xxxxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxx xxxxxxxxx xxxxxxx na xxxxxx xxxxxxx x
x) xxx xxxxxxxxx xxxxxxx x rámci xxxxxxx xxxxxxxxxx zvýšené bezpečnosti xxxxxxxxxx xxxxxxx, xx xxxxxxx xxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.
(3) Prostředky xxxxxxx xxxxxxxxxxx xxxx xxxxxxx
x) xxxxxxxxxx zábranné xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx omezující xxxxxxxx požárů,
d) xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxx kontrolu vstupu,
f) xxxxxxxx xxxxxxx,
x) xxxxxxxx xxx xxxxxxxxx xxxxxxx xxxx xxxxxxxx dodávky xxxxxxxxxxxx xxxxxxxx a
h) xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxx.
§17
Xxxxxxx xxx xxxxxxx xxxxxxxxx komunikačních xxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx sítě, xxxxx není xxx xxxxxxx xxxxxx nebo xxxxx, x xxxxxxx xxxxxxxxxxx sítě, xxxxx xx pod správou xxxxxx xxxx xxxxx, xxxxxx
x) xxxxxx bezpečného xxxxxxxx mezi xxxxxx x xxxxxxx xxxx,
x) xxxxxxxxxx xxxxxxx použitím xxxxxxxxxxxxxxxxxx zón jako xxxxxxxxxxx xxxx xxxx xxxxxxxxxxx xx xxxxxxx xxxxxxxxxxx aplikací xxxxxxxxxx x vnější xxxx x x xxxxxxxx xxxxx xxxxxxxxxx xxxxxxx xxxx x xxxxxx xxxx,
x) kryptografické xxxxxxxxxx (§25) pro vzdálený xxxxxxx, xxxxxxxxx xxxxxx xxxx xxx přístup xxxxxx xxxxxxxxxxxx technologií x
x) xxxxxxxx xxx xxxxxxxxxx nebo xxxxxxxxx xxxxxxxxxxx dat, které xxxxxxxxxxxx požadavkům na xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx.
(2) Orgán a xxxxx uvedená x §3 xxxx. c) x d) xxxxxx xxxx xxxxxxx nástroje xxx xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxx, xxxxx zajistí její xxxxxxxxxx.
§18
Nástroj pro xxxxxxxxx xxxxxxxx xxxxxxxxx
(1) Xxxxx x osoba uvedená x §3 xxxx. x) až x) xxxxxx xxxxxxx nástroje xxx xxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxx xxx xxxxxxxxx identity xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx xxxxxxx identity xxxxxxxxx x xxxxxxxxxxxxxx xxxx xxxxxxxxx xxxxxx xxxxxxx v informačním xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxx.
(3) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxx xxxxxxx xxxxxxxxxxx xxxxx xxxxxx, xxxxxxxxx
x) xxxxxxxxx xxxxx xxxxx xxx xxxxx,
x) xxxxxxxxx xxxxxxxxx xxxxx xxx, xx heslo bude xxxxxxxxx xxxxxxx 3 x následujících xxxx xxxxxxxxx
1. nejméně jedno xxxxx písmeno,
2. nejméně xxxxx malé xxxxxxx,
3. xxxxxxx jednu xxxxxxx, xxxx
4. xxxxxxx xxxxx xxxxxxxxx znak odlišný xx požadavků xxxxxxxxx x xxxxxx 1 xx 3,
c) xxxxxxxxx xxxx xxx xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxxx xxx xxx; tento xxxxxxxxx xxxx vyžadován xxx xxxxxxxxxx identifikátory xxxxxxxx.
(4) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxxx
x) xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxx, xxxxx
1. xxxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxx x neumožní xxxx xxxx hesla xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxx, které xxxx xxx xxxxxxx 24 xxxxx, a
2. xxxxxxx xxxxxxxx xxxxxxx xxxxxxxx xx xxxxxx xxxx xxxxxxxxxx a
b) xxxxxxx xxxxxxx xxx xxxxxxxxx identity xxxxxxxxxxxxxx. X případě, xx xxxxx nástroj xxxxxxx xxxxxxxxxxx xxxxxx, zajistí xxxxxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxx znaků xxx dodržení xxxxxxxxx xxxxx xxxxxxxx 3 xxxx. b) x x).
(5) Nástroj pro xxxxxxxxx xxxxxxxx xxxxxxxxx xxxx xxx xxxxxxxx x jinými xxxxxxx, xxx xxxx xxxx xxxxxxxxx v odstavcích 3 xx 5, xxxxx xxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx e) zákona xxxxxxxxx, xx používá xxxxxxxx zajišťující xxxxxxx xxxx xxxxx xxxxxx xxxxxxxxx xxxxx.
§19
Xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxx xxx xxxxxx přístupových xxxxxxxxx, kterým zajistí xxxxxx oprávnění
a) xxx xxxxxxx k jednotlivým xxxxxxxxx x xxxxx x
x) xxx xxxxx xxx, xxx xxxxx xxx x xxx xxxxx xxxxxxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx dále xxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxx oprávnění, xxxxx xxxxxxxxxxx použití xxxxxxxxxxxx xxxxxxxxx v xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx hodnocení xxxxx.
§20
Xxxxxxx xxx xxxxxxx xxxx škodlivým xxxxx
Xxxxx x osoba uvedená x §3 písm. x) až x) xxxxxx pro xxxxxx xxxxx spojených x xxxxxxxxx xxxxxxxxxx xxxx xxxxxxx nástroj xxx xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačního systému xxxx xxxxxxxxx kódem, xxxxx xxxxxxx ověření x xxxxxx xxxxxxxx
x) xxxxxxxxxx xxxx vnitřní xxxx x vnější xxxx,
x) xxxxxxx x xxxxxxxxx datových úložišť x
x) pracovních xxxxxx,
xxxxxxx xxxxxxx xxxxxxxxxxx a xxxxxxx xxxxxxxxxxx nástroje xxx xxxxxxx před xxxxxxxxx kódem, jeho xxxxxxx x xxxxxxxx.
§21
Xxxxxxx xxx zaznamenávání xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx systémů, xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx zajistí
a) sběr xxxxxxxxx x provozních x xxxxxxxxxxxxxx činnostech, xxxxxxx xxx xxxxxxxx, xxxxx x xxx, xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, xxxxx xxxxxxx xxxxxxxxxxx, xxxxxxxxxxxx původce a xxxxx xxxxxxxx x xxxxxxxxx nebo xxxxxxxxxxx xxxxxxxx a
b) xxxxxxx xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxx xxxxxx xxxx xxxxxx.
(2) Xxxxx a xxxxx uvedená v §3 písm. x) xx e) zákona xxxx pomocí xxxxxxxx xxx xxxxxxxxxxxxx činnosti xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému zaznamenává
a) xxxxxxxxxx x odhlášení xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxx xx xxxxx přístupových xxxxxxxxx,
x) xxxxxxxxxxx činností v xxxxxxxx nedostatku přístupových xxxxxxxxx x další xxxxxxxxx činnosti xxxxxxxxx,
x) xxxxxxxx a xxxxxxxx xxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx a významného xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxx xxxx xxxxxxx xxxxxxx xxxxxxxxxxx aktiv,
g) xxxxxxxx k xxxxxxxx x xxxxxxxxxx, xxxxxx x xxxxxxxxxx xx xxxxxxx x xxxxxxxxxx x xxxxx nastavení xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx x
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxx xxxxxx xxxxx xxxxx, xxxxx xxxxxx x přihlášení.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxx činností xxxxxxxxxxx xxxxx xxxxxxxx 2 uchovává nejméně xx xxxx 3 xxxxxx.
(4) Xxxxx a xxxxx xxxxxxx v §3 písm. x) xx x) xxxxxx xxxxxxxxx xxxxxxx jednou xx 24 xxxxx xxxxxxxxxxxxx xxxxxxxxxx systémového xxxx technických xxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační infrastruktury xxxx xxxxxxxxxx informačního xxxxxxx.
§22
Xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxx a osoba xxxxxxx v §3 xxxx. c) až x) xxxxxx používá xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxxxx xxxxxxx xx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx a který xxxxxxx ověření, xxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxx mezi xxxxxxx xxxxxxxxxxx sítí x xxxxxx xxxx.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxx používá xxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxxxx zajistí ověření, xxxxxxxx x případně xxxxxxxxxxx xxxxxxxxxx
x) x xxxxx vnitřní xxxxxxxxxxx xxxx x
x) xxxxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§23
Nástroj pro xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx používá xxxxxxx xxx xxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxxxx x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx
x) integrovaný xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) poskytování xxxxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxx o xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxx v xxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx xxxx é xxxxxxxxxx xxxxxxxxxxxxxx x
x) xxxxxxxxxxx vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxx xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx incidentů, xxxxxx xxxxxxxx varování xxxxxxxx xxxxxxxxxxxxxx xxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxx zajistí
a) xxxxxxxxxxx aktualizaci nastavení xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxx varování, xxx xxxx omezovány xxxxxxx xxxxxxxxxxx vyhodnocení xxxxxxxx xxxx xxxxxxx xxxxxxxxx varování, x
x) xxxxxxxxx informací, xxxxx xxxx připraveny xxxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§24
Xxxxxxxxx xxxxxxxxxx
(1) Xxxxx x osoba uvedená x §3 xxxx. x) až e) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxx zranitelnosti xxxxxxxx, xxxxx jsou xxxxxxxxx x vnější sítě, x to před xxxxxx uvedením do xxxxxxx x xx xxxxx xxxxxxx změně xxxxxxxxxxxxxx xxxxxxxxxx.
(2) Xxxxx x osoba uvedená x §3 xxxx. x) x x) xxxxxx xxxx v xxxxx aplikační bezpečnosti xxxxxxx trvalou xxxxxxx
x) xxxxxxxx x xxxxxxxxx xxxxxxxxxx x xxxxxx xxxx xxxx neoprávněnou xxxxxxxx, popřením xxxxxxxxxxx xxxxxxxx, xxxxxxxxxxxx xxxx xxxxxxxxxxxxxxx xxxxxx a
b) xxxxxxxxx xxxx xxxxxx xxxxxxxxxxxx, nesprávným směrováním, xxxxxxxxxxxxxxx změnou xxxxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxx.
§25
Kryptografické prostředky
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx
x) pro xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxx
1. xxxxxx xxxxxxx x xxxxxxx na xxx x xxxx kryptografického xxxxxxxxx x
2. xxxxxxxx xxxxxxxxxxxxxx xxxxxxx informací xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx xxxx xxx xxxxxxx xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx nosiče xxx x
x) v xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x výsledky xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, které xxxxxxx xxxxxxx xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxx xxx x xxxxxxxxx identifikaci xxxxx xx xxxxxxxxx xxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. c) x d) xxxxxx xxxx
x) stanoví pro xxxxxxxxx kryptografických xxxxxxxxxx xxxxxx xxxxxx xxxxx, xxxxx zajistí generování, xxxxxxxxxx, xxxxxxxx, xxxxxxxxx, xxxxx, xxxxxx, kontrolu x xxxxx klíčů, x
x) používá xxxxxx xxxxxxxxxxxxxx algoritmy x xxxxxxxxxxxxxx xxxxx; x xxxxxxx nesouladu s xxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx algoritmy xxxxxxxxx x příloze č. 3 k xxxx xxxxxxxx xxxx xxxxxx xxxxxxx s xxxxx xxxxxxxxxx.
§26
Nástroj xxx zajišťování xxxxxx xxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx v xxxxxxx x xxxxxxxxxxxxxx potřebami x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxx zajišťování xxxxxx xxxxxxxxxxx informací.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) a x) xxxxxx používá nástroj xxx xxxxxxxxxxx úrovně xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxx
x) dostupnost xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxx splnění xxxx řízení kontinuity xxxxxxxx,
x) xxxxxxxx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx vůči xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, které xx xxxxx xxxxxx xxxxxxxxxx, x
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx
1. xxxxxxxx xxxxxxxxxx x xxxxxx xxxxxx x
2. zajištěním xxxxxxxxxx technických xxxxx x xxxxxxx čase.
§27
Bezpečnost průmyslových x xxxxxxxx xxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx xxx bezpečnost průmyslových x xxxxxxxx xxxxxxx, xxxxx xxxx xxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxx xxxxxx součástí, xxxxxxx xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx xxxxxxxxx xxxxxxxx x xxxx x xxxxxxxxx průmyslových x xxxxxxxx xxxxxxx,
x) omezení xxxxxxxxx x vzdáleného xxxxxxxx x xxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxx,
x) ochranu jednotlivých xxxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx xxxx využitím xxxxxxx xxxxxxxxxxxxx x
x) obnovení xxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx po xxxxxxxxxxxxx bezpečnostním xxxxxxxxx.
XXXXX XXX
XXXXXXXXXXXX XXXXXXXXXXX
§28
Xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) zákona xxxx x aktualizuje xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxx xxxxx §5 odst. 1,
x) xxxxxx z xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §3 odst. 1 písm. x),
x) xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxx §3 xxxx. 1 xxxx. x),
x) xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxx xxxxx x pro xxxxxxxxxxxx a hodnocení xxxxx,
x) xxxxxx x xxxxxxxxx aktiv x xxxxx,
x) prohlášení x xxxxxxxxxxxxxxxx,
x) xxxx zvládání xxxxx,
x) xxxx xxxxxxx xxxxxxxxxxxxxx povědomí podle §9 odst. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xxxxx §13 xxxx. x),
x) xxxxxxxxx řízení xxxxxxxxxx činností podle §14 odst. 1 xxxx. x) a
k) xxxxxxx právních xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx předpisů x xxxxxxxxx xxxxxxx xxxxx §15 odst. 1 xxxx. x).
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xxxxxx xxxx x aktualizuje bezpečnostní xxxxxxxxxxx, která obsahuje
a) xxxxxxxxxxxx xxxxxxxx xxxxx §5 xxxx. 2,
x) xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx rizik xxxxx §4 xxxx. 2 písm. x),
x) xxxxxx x xxxxxxxxx xxxxx a xxxxx xxxxx §4 xxxx. 2 xxxx. x) x x),
x) xxxxxxxxxx x aplikovatelnosti xxxxx §4 xxxx. 2 xxxx. x),
x) xxxx xxxxxxxx xxxxx podle §4 xxxx. 2 xxxx. x),
x) plán xxxxxxx xxxxxxxxxxxxxx povědomí xxxxx §9 odst. 1 xxxx. a),
g) xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. x),
x) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxx §14 xxxx. 1 xxxx. c) x
x) přehled xxxxxxxx xxxxxxxx, vnitřních předpisů x jiných xxxxxxxx x smluvních závazků xxxxx §15 xxxx. 1 xxxx. x).
(3) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxx xxxxxxxxxxxx dokumentaci xxx, xxx xxxxxxx x xxxxxxxxxxx činnostech byly xxxxx, čitelné, snadno xxxxxxxxxxxxxxxxx a xxx xx daly xxxxxx xxxxxxxx. Xxxxxxxx xxxxxxxx x xxxxxxxxxxxx, uložení, xxxxxxx, xxxxxxxxx, xxxx xxxxxxxxx x xxxxxxxxxx xxxxxxx o xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxxxxx xxxxxxxxx bezpečnostní xxxxxxxxxxx xx xxxxxxxxx x příloze č. 4 x této xxxxxxxx.
§29
Prokázání xxxxxxxxxxx
Xxxxx x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx, xxxxx xxxxxxxxxx systém xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxx informační xxxxxx xx xxxxx xxxxxxx xx rozsahu systému xxxxxx bezpečnosti xxxxxxxxx, xxxxx xxx certifikován xxxxx příslušné xxxxxxxxx xxxxx1) xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx, x xxxxx xxxx xxxxxxxxx obsahující
a) xxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx politiky a xxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxx xxxxxx hodnocení xxxxx x xxxxxx x xxxxxxxxx rizik,
d) xxxxxxxxxx o xxxxxxxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx splňující xxxxxxxxx příslušné xxxxxxxxx xxxxx xxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxx1),
x) záznam x xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxxx souvisejících xxxxxx x xxxxxxx přezkoumání x
x) xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxxx neshod s xxxxxxxxxx xxxxxx,
xxxxxxx xxxxxxxxx xx zavedení bezpečnostních xxxxxxxx xxxxx zákona x xxxx xxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX BEZPEČNOSTNÍ XXXXXXXX
§30
Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx xxxxxxx xxxx kybernetické bezpečnostní xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxx xxxxxxxxxxxxx útokem nebo xxxxx událostí xxxxxxx x xxxxxxx do xxxxxxx xxxx x xxxxxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxx bezpečnostní incident xxxxxxxxx škodlivým kódem,
c) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxx technických xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx opatření,
e) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx trvale xxxxxxxxxx xxxxxx a
f) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx.
(2) Podle xxxxxx xxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx xxxx
x) kybernetický xxxxxxxxxxxx xxxxxxxx způsobující xxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx narušení integrity xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx aktiv, xxxx
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx x písmenech x) xx x).
§31
Kategorie xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Pro potřeby xxxxxxxx kybernetických bezpečnostních xxxxxxxxx se podle xxxxxxxx x negativních xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - xxxxx xxxxxxx kybernetický bezpečnostní xxxxxxxx, při xxxxxx xx přímo a xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho xxxxxx xxxxxxxx neprodlené xxxxxx xxxxxxx x tím, xx xxxx být xxxxx xxxxxxxxxx prostředky xxxxxxxxx dalšímu xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx vzniklých x xxxxxxxxxxxxx xxxx.
x) Xxxxxxxxx II - xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx. Xxxx řešení xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x xxx, xx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx šíření kybernetického xxxxxxxxx včetně xxxxxxxxxxxx xxxxxxxxx xxxx.
x) Kategorie X - xxxx xxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, xxx kterém xxxxxxx x xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx služeb xxxx xxxxx. Xxxx řešení xxxxxxxx zásahy xxxxxxx x xxx, xx xxxx být xxxxxxxx xxxxxxxxxx xxxxxxx další xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) až e) xxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle xxxxxxxx 1 xxxxxxxx
x) xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxx na xxxxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxx významného xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxx poskytované xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačními xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, nebo xxxxxxxxxx xxxxxxxxxxxx systémy a
d) xxxxxxxxxxxxx škody x xxxxx xxxxxx.
§32
Forma x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx
x) x xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxx
1. elektronického xxxxxxxxx zveřejněného xx xxxxxxxxxxxxx xxxxxxxxx Úřadu,
2. xxxxxx xx adresu xxxxxxxxxxxx pošty Xxxxx xxxxxx xxx xxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, zveřejněné xx xxxxxxxxxxxxx stránkách Xxxxx,
3. xxxxxx xxxxxx do xxxxxx xxxxxxxx Úřadu, xxxx
4. xxxxxxxxxxxxxxx určeného xxxxxxxx xxxxxxxx, xxxxx xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx, xxxxx
x) x xxxxxxxx xxxxxx xx xxxxxx Xxxxxxxxx centra xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxx xx internetových xxxxxxxxx Xxxxx.
(2) Xxxxxxx x xxxxxxxx xxxxxx se xxxxxx xxxxx x xxxxxxxxx, xxx xxxxx xxxxxx xxxxx xx xxxxxxx uvedených x xxxxxxxx 1 xxxx. x).
(3) Xxxxxxxxxxx hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx x příloze č. 5 x xxxx xxxxxxxx.
ČÁST XXXXXX
XXXXXXXXX OPATŘENÍ X XXXXXXXXX ÚDAJE
§33
Reaktivní xxxxxxxx
Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx výsledek xx xxxxxxxxx, jehož xxxx xx xxxxxx x příloze č. 6 x xxxx vyhlášce.
§34
Xxxxxxxxx xxxxx
Xxxxx a xxxxx xxxxxxx v §3 xxxxxx oznamuje xxxxxxxxx xxxxx xx xxxxxxxxx, xxxxx xxxx xx uveden v příloze č. 7 x xxxx xxxxxxxx. Xxxxx x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx xxxxxxxx kontaktní údaje xxxxxx xxxxxxxx x §32 xxxx. 1 xxxx. a).
XXXX XXXX
XXXXXXXX
§35
Xxxx xxxxxxxx xxxxxx xxxxxxxxx dnem 1. xxxxx 2015.
Xxxxxxx:
Xxx. Xxxxxxxx v. r.
Xxxxxxx x. 1 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxxx x xxxxxx xxxxxxxxxxx xxxxx
Xxx xxxxxxxxx důležitosti xxxxx xxxx použity stupnice x xxxxxxx xxxxxxxx. Xxxxx xxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxx xxxxxxxx xxxxxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxx xxxx je xxxxxx x této xxxxxxx, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx xx používaným xxxxxxxx hodnocení důležitosti xxxxx x xxxxxxxxxx x xxxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx xxxx xxxxxxx x xxxx příloze.
V xxxxxxx xxxxxxx tří xxxxxx xxxxxxxxx důležitosti xxxxx je xxxxxxxxx xxxxxxx buď xxxxxx xxxxx x střední, xxxx xxxxxx xxxxxx x kritická.
Stupnice pro xxxxxxxxx důvěrnosti
Úroveň |
Popis |
Ochrana |
Nízká |
Aktiva jsou xxxxxxx přístupná xxxx xxxx xxxxxx xx xxxxxxxxxx (xxxx. na xxxxxxx xxxxxx č. 106/1999 Sb., x xxxxxxxxx přístupu x xxxxxxxxxx, ve xxxxx xxxxxxxxxx xxxxxxxx). Xxxxxxxx důvěrnosti xxxxx xxxxxxxxxx oprávněné xxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
Xxxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx x xxxxx xxxx-xxx xxxxxx x osoby uvedené x §3 písm. x) xx x) xxxxxx, xxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxx předpisem nebo xxxxxxxx xxxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxx xxxxxx xxxxxxxx. |
Xxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx a xxxxxx xxxxxxx xx vyžadována xxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx xxxx smluvními xxxxxxxxxx (např. xxxxxxxx xxxxxxxxx podle zákona č. 89/2012 Sb., xxxxxxxx xxxxxxx, xxxxxx údaje xxxxx xxxxxx č. 101/2000 Sb., x xxxxxxx xxxxxxxx xxxxx, xx xxxxx xxxxxxxxxx xxxxxxxx). |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx prostředky, xxxxx xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx sítí xxxx xxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
Xxxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxx xxx xxxxx xxxxxxxxx xxxxxxxxx (např. strategické xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxx xxxxx). |
Xxx xxxxxxx xxxxxxxxxx xx xxxxxxxxxx xxxxxxxx xxxx, xxxxx x xxxxxxx xxxxxxxxxxx, x xxxxxx xxxxxxx xxxxxxxxxxx zneužití aktiv xx xxxxxx administrátorů. Xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxx
Xxxxxx |
Xxxxx |
Xxxxxxx |
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxx integrity. Xxxxxxxx integrity aktiva xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) zákona. |
Není xxxxxxxxxx xxxxx xxxxxxx. |
Xxxxxxx |
Xxxxxxx xxxx xxxxxxxxx xxxxxxx z xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx xxxxxx může xxxx k poškození xxxxxxxxxxx xxxxx orgánu x xxxxx xxxxxxx v §3 písm. x) xx e) xxxxxx x xxxx xx xxxxxxxx xxxx xxxxxxxxx xxxxxx na xxxxxxxx xxxxxx. |
Xxx xxxxxxx integrity xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx (xxxx. xxxxxxx xxxxxxxxxxxx xxxx xxx xxxxx). |
Xxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx orgánu x osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx s xxxxxxxxxxx xxxxxx xx primární xxxxxx. |
Xxx xxxxxxx integrity xxxx xxxxxxxxx speciální xxxxxxxxxx, xxxxx dovolují xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx a xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx prostředků. |
Kritická |
Aktivum xxxxxxxx xxxxxxx z xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx xxxx x velmi xxxxxxx poškození oprávněných xxxxx orgánu x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx x přímými x xxxxx xxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx jsou využívány xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (xxxx. xxxxxx xxxxxxxxxxx xxxxxxxxxxx podpisu). |
Stupnice xxx xxxxxxxxx dostupnosti
Úroveň |
Popis |
Ochrana |
Nízká |
Narušení xxxxxxxxxxx xxxxxx není xxxxxxxx x v xxxxxxx výpadku xx xxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxx xxxxxxx (cca xx 1 xxxxx). |
Xxx xxxxxxx xxxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx xxxx xxxxxxxxxx xxx, xxxxxxxxxxxxx výpadek xxxx x xxxxxxx xxxxxxxx zájmů orgánu x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx. |
Xxx xxxxxxx dostupnosti xxxx využívány xxxxx xxxxxx xxxxxxxxxx a xxxxxx. |
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva by xxxxxx překročit dobu xxxxxxxx xxxxx. Jakýkoli xxxxxxx xx xxxxx xxxxx xxxxxxxxxx, xxxxxxx xxxx k přímému xxxxxxxx xxxxx orgánu x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx. Xxxxxx xxxx považována xxxx xxxxx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx xxxxxxx systémy x xxxxxx xxxxxxxxxxx xxxxxx xxxx být xxxxxxxxx xxxxxx xxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx. |
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xxxx xxxxxxxxx x x krátkodobá xxxxxxxxxxxx (x xxxx xxxxxxxx xxxxx) xxxx k xxxxxxx xxxxxxxx zájmů orgánu x osoby xxxxxxx x §3 písm. x) až x) xxxxxx. Xxxxxx xxxx xxxxxxxxxx xxxx kritická. |
Pro xxxxxxx dostupnosti xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx poskytování xxxxxx xx krátkodobá x automatizovaná. |
Xxxxxxx x. 2 x vyhlášce x. 316/2014 Xx.
Xxxxxxxxx xxxxx
Xxxxxxxxx xxxxx xx xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxx xxxxx, hrozba x zranitelnost.
Pro hodnocení xxxxx lze xxxxxx xxxxxxx tuto funkci
riziko = xxxxx x xxxxxx x xxxxxxxxxxxx.
Xxxxxxxxxxx xxxxxx xxxxxx xxx xxxxxx xxxxxx je xxxxxxxxx součástí metodiky xxx identifikaci x xxxxxxxxx xxxxxx
Xxxxxxxx xxx xxxxxxxxx xxxxxx |
|
Xxxxxx |
Xxxxx |
Xxxxx |
Xxxxx xx x xxxxxxxx xxxxxxx xxxxxx a xxxxxx xxxxxxx a nesmí xxx katastrofický. Rozsah případných xxxx nepřesahuje a) 10 xxxxxxxxx osob s xxxxxxxxx xxxxxxxxxxxxx po xxxx xxxxx než 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx do 5&xxxx;000&xxxx;000 Xx anebo c) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx omezením xxxxxxxxxx xxxxxx nebo xxxxxx závažného xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx nejvýše 250 xxxx. |
Xxxxxxx |
Xxxxx je omezeného xxxxxxx x v xxxxxxxx xxxxxxx období. Rozsah xxxxxxxxxx xxxx se xxxxxxxx v xxxxxxx x) xx 10 mrtvých xxxx od 11 xx 100 xxxx x následnou xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx xxxx x) finanční xxxx xxxxxxxxxx xxxxxx xx 5&xxxx;000&xxxx;000 Xx do 50&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx s xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx jiného xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xx 251 do 2 500 xxxx. |
Xxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx, ale xxxxxx xxxx katastrofický. Rozsah xxxxxxxxxx xxxx xx xxxxxxxx x xxxxxxx x) xx 11 do 100 xxxxxxx xxxx od 101 do 1 000 osob x xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx než 24 hodin xxxx x) xxxxxxxx nebo xxxxxxxxxx xxxxxx od 50 000 000 Xx xx 500&xxxx;000&xxxx;000 Xx xxxxx x) představuje xxxxx xx xxxxxxxxx x rozsáhlým xxxxxxxx xxxxxxxxxx služeb xxxx xxxxxx závažného xxxxxx xx každodenního života xxxxxxxxxxxxx od 2&xxxx;501 xx 25&xxxx;000 xxxx. |
Xxxxxxxx |
Xxxxx xx xxxxxx xxxxxxxx, xxxxxx x xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx škod se xxxxxxxx x xxxxxxx x) 10 x xxxx xxxxxxx a 1 001 x xxxx xxxx x následnou xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx xxxx x) finanční xxxx materiální xxxxxx xxxxxxxxxxx 500&xxxx;000&xxxx;000 Kč xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx omezením xxxxxxxxxx xxxxxx nebo xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxx xxx 25&xxxx;000 xxxx. |
Xxxxxxxx xxx hodnocení xxxxxx |
|
Xxxxxx |
Xxxxx |
Xxxxx |
Xxxxxx neexistuje nebo xx xxxx pravděpodobná. Xxxxxxxxxxxxx realizace xxxxxx xxxx častější xxx xxxxxx xx 5 xxx. |
Xxxxxxx |
Xxxxxx je xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx x rozpětí xx 1 xxxx xx 5 xxx. |
Xxxxxx |
Xxxxxx xx xxxxxxxxxxxxx až xxxxx xxxxxxxxxxxxx. Předpokládaná xxxxxxxxx xxxxxx je x rozpětí xx 1 xxxxxx do 1 xxxx. |
Xxxxxxxx |
Xxxxxx je xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx xxxxxxxx než xxxxxx xx xxxxx. |
Xxxxxxxx pro xxxxxxxxx xxxxxxxxxxxxx |
|
Xxxxxx |
Xxxxx |
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx xxxx je xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxxx. Xxxxxxxx kvalitní bezpečnostní xxxxxxxx, xxxxx jsou xxxxxxx xxxx detekovat xxxxx xxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx. |
Xxxxxxx |
Xxxxxxxxxxxx xx xxxx xxxxxxxxxxxxx až xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx opatření, xxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx. Schopnost xxxxxxxxxxxxxx xxxxxxxx xxxx detekovat xxxxx xxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx xx xxxxxxx. Xxxxxx xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
Xxxxxx |
Xxxxxxxxxxxx xx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxx jejich xxxxxxxx xxxxxxxxx xxxxxxx potřebné xxxxxxx a xxxx xxxxxxxxxx xxxxxxxxxxxx. Jsou xxxxx xxxxx xxxxxxx xxxxxx x překonání xxxxxxxxxxxxxx opatření. |
Kritická |
Zranitelnost xx xxxxx pravděpodobná xx xx xxxxxxxx xxxxx xxxxxxxx. Bezpečnostní xxxxxxxx xxxxxx xxxxxxxxxxx xxxxx xx xxxxxx xxxxxxxx xxxxxx xxxxxxx. Xxxxxxxxx xxxxxxxx účinnosti bezpečnostních xxxxxxxx. Xxxx xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
Xxxxxxxx xxx xxxxxxxxx xxxxx |
|
Xxxxxx |
Xxxxx |
Xxxxx |
Xxxxxx xx xxxxxxxxxx xx xxxxxxxxxx. |
Xxxxxxx |
Xxxxxx xxxx být xxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxx x xxxxxxx xxxxx náročnosti opatření xx riziko xxxxxxxxxx. |
Xxxxxx |
Xxxxxx xx dlouhodobě nepřípustné x musí být xxxxxxxx systematické xxxxx x jeho odstranění. |
Kritické |
Riziko xx nepřípustné x xxxx být xxxxxxxxxx xxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
X xxxxxxx, xx xxxxx xxxx xxxxx xxxxxxx x §3 xxxx. x) xx e) zákona xxxxxxx xxxxxx pro xxxxxxxxxxxx a xxxxxxxxx xxxxx, xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx, xx xxxxx xxxxxxxx pro xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx stupnic xx nemělo xxxx xx ztrátě schopnosti xxxxxxxxx xxxx xxxxxx x xxxxxxxxxxxxx. Xx xxxxx účelem xxx xxxxxx xxxxxxxxx komentář, xxxxx xxxxxxxx vyjádří xxx xxxxxx hrozby, xxx x xxxxxx xxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx x orgán nebo xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx, xxxxx xxxxxxx jiný xxxxx úrovní xxx xxxxxxxxx xxxxxx, xxxxxx, xxxxxxxxxxxxx x xxxxx.
Xxxxxxx x. 3 x vyhlášce x. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxx
x) Xxxxxxx x proudové šifry xxx xxxxxxx xxxxxxxxxx x xxxxxxxxx
1. Advanced Xxxxxxxxxx Xxxxxxxx (XXX) x xxxxxxxx xxxxx xxxxx 128, 192 x 256 bitů Xxxxxx Data Xxxxxxxxxx Xxxxxxxx (3DES) x xxxxxxxx xxxxx klíčů 168 xxxx, omezené xxxxxxx xxx xx xxxxxxxxx xxxxx menším xxx 10 GB, xxxxxxxx přecházet na XXX.
2. Triple Xxxx Xxxxxxxxxx Xxxxxxxx (3XXX) x využitím xxxxx xxxxx 112 xxxx, xxxxxxx použití jen xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX, xxxxxxxx xxxxxxxxx xx AES. Doporučeno xxxxxxx jedinečného xxxxx xxx xxxxxx xxxxxx.
3. Xxxxxxxx x xxxxxxxx xxxxxxxxx délky xxxxx 128 bitů, omezené xxxxxxx jen xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX.
4. Xxxxxx s xxxxxxxx xxxxx xxxxx 128 xxxx, omezené xxxxxxx xxx se xxxxxxxxx xxxxx menším než 10 XX.
5. Twofish x xxxxxxxx xxxxx xxxxx 128 xx 256 xxxx.
6. Serpent x využitím délky xxxxx 128, 192, 256 bitů.
7. Xxxxxxxx x xxxxxxxx délky xxxxx 128, 192 x 256 xxxx.
8. XXXX 2.0, SNOW 3X x využitím xxxxx xxxxx 128, 256 xxxx.
x) Xxxx xxxxxxxxx s xxxxxxxx xxxxxxxxx
1. CCM,
2. XXX,
3. XXX,
4. Xxxxxxx xxxxxxxx xxxx "Xxxxxxx-xxxx-XXX".
Xxxxxxxx:
Xxxxxxxx xxxx "Xxxxxxx-xxxx-XXX",xxxx xxxxxxxx x xxxxxxxxx pouze xxxxxxx xxxxxxxxx xxxx a x výpočtu XXX xxxxx xxxxxxx xxxx xxx xxxxxxx xxxxxxxxx.
x) Xxxx šifrování
1. XXX,
2. XXX,
3. XXX,
4. XXX,
Xxxxxxxx:
Xxxx XXX x XXX xxxx xxx xxxxxxx x xxxxxxxx, xxx xxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxxx xxxx XXX se xxx xxxx klíč xxxxx opakovat xxxxxxx xxxxxxxxxxxxxxx xxxxxxx, xxx xxxxxxx xxxx XXX xx xxx xxxx xxxx nesmí opakovat xxxxxxx čítače, x xxxxxxx xxxxxxx XXX xxxx x xxxxxxxxx xxx ochrany xxxxxxxxx xx xxxxx xxxxxx xxxxxxxx xxxxx xxxxx xx xxxxxxx XXX xxxx.
x) Xxxx xxx xxxxxxx xxxxxxxxx
1. XXXX,
2. XXX-XXX-X9.19, xxxxxxx použití xxx xx zatížením xxxxxx než 109 XXX,
3. XXX-XXX-XXXX,
4. CMAC.
(2) Xxxxxxxxxxx xxxxxxxxx
x) Pro xxxxxxxxxxx xxxxxxxxxxx xxxxxxx
1. Xxxxxxx Xxxxxxxxx Algorithm (XXX) x xxxxxxxx xxxxx xxxxx 2048 xxxx x xxxx, xxxxx xxxxxxxxx cyklické xxxxxxxx 224 bitů x xxxx.
2. Xxxxxxxx Xxxxx Xxxxxxx Signature Xxxxxxxxx (EC-DSA) x xxxxxxxx xxxxx klíčů 224 xxxx x xxxx.
3. Xxxxxx-Xxxxxx-Xxxxxxx Xxxxxxxxxxxx Xxxxxxxxx Xxxxxx (RSA-PSS) x xxxxxxxx xxxxx xxxxx 2048 bitů x více.
b) Xxx xxxxxxx dohod na xxxxx x xxxxxxxxx xxxxx
1. Xxxxxx-Xxxxxxx (DH) x xxxxxxxx xxxxx xxxxx 2048 bitů x xxxx, xxxxx xxxxxxxxx xxxxxxx xxxxxxxx 224 xxxx a xxxx.
2. Xxxxxxxx Xxxxx Xxxxxx-Xxxxxxx (ECDH) x xxxxxxxx délky xxxxx 224 xxxx x xxxx.
3. Xxxxxxxx Xxxxx Xxxxxxxxxx Xxxxxxxxxx System - Key Encapculation Xxxxxxxxx (ECIES-KEM) x xxxxxxxx xxxxx xxxxx 256 bitů x xxxx.
4. Xxxxxxxx Xxxxxx Xxxxxxxx Xxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXXX-XXX) x využitím xxxxx klíčů 256 xxxx xxxx.
5. Asymetrie Xxxxxxx and Key Xxxxxxxxxxxxx Xxxxxxxxx (ACE-KEM) x využitím xxxxx xxxxx 256 bitů x xxxx.
6. Xxxxxx Xxxxxx Adleman - Xxxxxxx Asymetrie Encryption Xxxxxxx (RSA-OAEP) x xxxxxxxx xxxxx klíčů 2048 x více.
7. Xxxxxx Shamir Xxxxxxx - Key Encapculation Xxxxxxxxx (XXX-XXX) x xxxxxxxx xxxxx xxxxx 2048 x xxxx.
(3) Xxxxxxxxx xxxx xxxxxx
x) XXX-2
1. SHA-224,
2. XXX-256,
3. XXX-384,
4. XXX-512,
5. XXX-512/224,
6. XXX-512/256.
x) SHA-3
1. SHA3-224,
2. XXX3-256,
3. XXX3-384,
4. XXX3-512,
5. XXXXX-128,
6. XXXXX-256.
x) Xxxxxxx xxxxxxxx funkce
1. Whirpool,
2. XXXXXX-160,
3. SHA 1 x omezeným xxxxxxxx.
Xxxxxxxx x. 1:
XXX-1 se xxxxx používat xxx xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx, xxxxxxxx xxxxxxx, xxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx SHA-1.
Poznámka x. 2:
XXX-1 xxx xxxxxxxx xxxxx xxx xxxxxxxxx xxx existujících xxxxxxxxxxx podpisů x xxxxxxxx xxxxxxx, xxxxxxxxxx x xxxxxxxxx HMAC-SHA1, xxxxxx xxx xxxxxxxxxx xxxxx x xxxxxxxxxxxxx xxxxxxxxxx.
Xxxxxxx x. 4 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
Xxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxxxx struktury xxxxxxxxxxxx dokumentů zahrnují xxxxxx, která jednotlivé xxxxxxxxx xxxxx této xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx a xx na xxxxxx xxxx osobě xxxxxxx x §3 xxxx. x) xx x) xxxxxx, xxxx xxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx použije. Xxxxxxxxx xx x změna xxxxx jednotlivých xxxxxxxxx xxxx xxxxxxxxxxx xxxx xxxxx do xxxxxxx xxxxxxxxx.
X. Xxxxxxxxx xxxxxxxxxxxx xxxxxxxx
(1) Xxxxxxxx systému xxxxxx xxxxxxxxxxx informací*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxx, principy x xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx a xxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxx xxxxxxxxxxx.
x) Pravidla x postupy xxx xxxxxx xxxxxx x xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxx auditů kybernetické xxxxxxxxxxx.
x) Pravidla x xxxxxxx pro přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla a xxxxxxx xxx xxxxxxxx xxxxxxxx x zlepšování xxxxxxx řízení bezpečnosti xxxxxxxxx.
(2) Politika xxxxxxxxxxx xxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Určení xxxxxxxxxxxxxx xxxx a xxxxxx xxxx x xxxxxxxxxx,
1. xxxxx x povinnosti xxxxxxxx kybernetické bezpečnosti,
2. xxxxx a povinnosti xxxxxxxxxx xxxxxxxxxxxx bezpečnosti,
3. xxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx bezpečnosti,
4. xxxxx x xxxxxxxxxx xxxxxxx aktiv,
5. práva x xxxxxxxxxx výboru xxx řízení xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx bezpečnostních xxxx.
(3) Xxxxxxxx xxxxxx xxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. c)]
a) Xxxxxxxx x principy xxx xxxxx dodavatelů.
b) Xxxxxxxx xxx hodnocení xxxxx dodavatelů.
c) Xxxxxxxxxxx xxxxxxx o xxxxxx xxxxxx a xxxxxxx x úrovní xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x x xxxxxx vzájemné xxxxxxx xxxxxxxxxxxx.
x) Pravidla xxx provádění xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx.
(4) Xxxxxxxx xxxxxxxxxxx xxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx primárních xxxxx
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. hodnocení xxxxxxxxxxx primárních xxxxx x hlediska důvěrnosti, xxxxxxxxx a xxxxxxxxxxx.
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx aktiv
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx aktiv xxxxxx určení xxxxxx xxxxxxx,
2. xxxxxx xxxxx xxxx xxxxxxxxxx a xxxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx úrovní xxxxx,
2. xxxxxxxx xxx xxxxxxxxxx x evidenci xxxxx xxxxx xxxxxx xxxxx,
3. xxxxxxxxx způsoby xxxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxxx xxxxxxx xxxx ničení xxxxxxxxxxx xxxxxx xxx.
(5) Xxxxxxxx xxxxxxxxxxx lidských xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxx xxxx xxxxxxxxx
1. xxxxxxx a formy xxxxxxx xxxxxxxxx,
2. xxxxxxx x formy xxxxxxx xxxxxxx xxxxx,
3. způsoby x xxxxx xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx x xxxxx poučení xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx pro xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxx xxxxxxxx xxxxxx.
1. xxxxxxx svěřených xxxxx x xxxxxxxx xxxx xxx xxxxxxxx xxxxxxxxxx vztahu,
2. změna xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxx xxxxxx.
(6) Xxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxx**
[§5 odst. 1 xxxx. f), §5 odst. 2 xxxx. x)]
x) Xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx x standardy xxxxxxxxxx xxxxxxx.
x) Xxxxxx xxxxxxxxxxx zranitelností.
e) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx.
(7) Xxxxxxxx řízení xxxxxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (xxxx xx know).
b) Xxxxxxxxx xx xxxxxx přístupu.
c) Xxxxxxx cyklus xxxxxx xxxxxxxx.
x) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.
x) Řízení xxxxxxxx xxx mimořádné xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx přístupových xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx v xxxxxxxxxxxx xxxxxxxxx.
(8) Xxxxxxxx xxxxxxxxxx chování xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxx pro xxxxxxxx xxxxxxxxx x aktivy.
b) Xxxxxxxx použití xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx a xxxxxxxx xx xxxxxxxx.
x) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx xxxxxxx xx xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx xx vztahu x xxxxxxxx xxxxxxxxx.
(9) Politika xxxxxxxxxx x obnovy**
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. i)]
a) Xxxxxxxxx xx xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx uložení xxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxx.
x) Xxxxxxxx x postupy xxxxxxxxx xxxxxxxxxx a xxxxxx.
(10) Xxxxxxxx bezpečného xxxxxxxxx x xxxxxx informací**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx xxxxxxx elektronické xxxxxx xxxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(11) Xxxxxxxx řízení xxxxxxxxxxx xxxxxxxxxxxxx**
[§5 xxxx. 1 xxxx. k)]
a) Xxxxxxxx xxx xxxxxxx instalace xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx x xxxxxxx vyhledávání xxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) Xxxxxxxx a postupy xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx a xxxxxxx nasazení oprav xxxxxxxxxxxx vybavení.
(12) Xxxxxxxx xxxxxxxxxx používání mobilních xxxxxxxx*
[§5 xxxx. 1 xxxx. 1)]
x) Pravidla x xxxxxxx xxx xxxxxxxx používání xxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxxxxx, kterými xxxxx a osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxxxxxx.
(13) Xxxxxxxx xxxxxxxxxxx a xxxxxxxx xxxxxxx programového xxxxxxxx x informací*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx x xxxxxxx xxxxxxxx programového xxxxxxxx x xxxx xxxxxxxx.
x) Xxxxxxxx x postupy xxx kontrolu dodržování xxxxxxxxxx podmínek.
(14) Xxxxxxxx xxxxxxxxxxxx xxxxxxxx a xxxxxxxxx xxxxxxxxx*
[§5 xxxx. x písm. x)]
x) Xxxxxxxx x postupy xxxxxxxxx xxxxxxxxx x xxxxxxx.
x) Ochrana xxxxxxxxxxxxx xxxxxxxxx x xxxxxxx.
x) Xxxxxxxx xxxxxxxx k xxxxxxxxxxxx dokumentům x xxxxxxxx.
(15) Xxxxxxxx xxxxxxx xxxxxxxx xxxxx*
[§5 odst. x písm. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx osobních xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx opatření xxx xxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
(16) Xxxxxxxx xxxxxxx xxxxxxxxxxx**
[§5 odst. x písm. x)]
x) Xxxxxxxx xxx ochranu xxxxxxx.
x) Pravidla xxx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx xxx xxxxxxx xxxxxxxx.
x) Xxxxxxx narušení xxxxxxx xxxxxxxxxxx.
(17) Politika xxxxxxxxxxx xxxxxxxxxxx xxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxx.
x) Xxxxxx xxxx x xxxxxxxxxx xx xxxxxxxx provoz xxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxx xxxxxxxx v xxxxx xxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxxxxxx xxxxxxxx x xxxx.
x) Xxxxxxxx x xxxxxxx pro monitorování xxxx a xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.
(18) Xxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx*
[§5 xxxx. x xxxx. r), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx x xxxxxxx xxx ochranu xxxxxxxxxx xxxx xxxxxxx x xxxxxx sítí.
b) Xxxxxxxx a postupy xxx xxxxxxx xxxxxxx x sdílených xxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx pro ochranu xxxxxxxxxx xxxxxx.
(19) Politika xxxxxxxx a xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx**
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. n)]
a) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx xxxxxxxxxxxxx a xxxxxxxxx na detekované xxxxxxxxxxxx xxxxxxxxxxxx události.
c) Xxxxxxxx x xxxxxxx xxx optimalizaci nastavení xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí.
(20) Xxxxxxxx xxxxxxx x xxxxxx xxxxxxxx xxx xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí**
[§5 xxxx. 1 písm. x)]
x) Xxxxxxxx a xxxxxxx pro xxxxxxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí.
b) Pravidla x xxxxxxx pravidelné xxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx optimální xxxxxxxxx bezpečnostních vlastností xxxxxxxx xxx sběr x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí.
(21) Politika xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx**
[§5 xxxx. 1 xxxx. u), §5 xxxx. 2 xxxx. x)]
x) Úroveň ochrany x xxxxxxx xx xxx a xxxx xxxxxxxxxxxxxxxx algoritmu.
b) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxx informací
1. xxx přenosu xx xxxxxxxxxxxxx xxxxxx,
2. při xxxxxxx xx mobilní xxxxxxxx xxxx vyměnitelný xxxxxxxxx nosič xxx,
x) Xxxxxx xxxxxx xxxxx.
XX. Xxxxxxxxx xxxxx xxxxxxxxxxx
(1) Xxxxxx x xxxxxx xxxxxxxxxxxx bezpečnosti**
[§28 xxxx. 1 xxxx. x)]
x) Xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Kritéria xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx xxxx xxxxxxxx x xxxx, xxxxx xx auditu kybernetické xxxxxxxxxxx zúčastnily.
e) Xxxxx x xxxxx, kde xxxx xxxxxxxxx činnosti xxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Zjištění x xxxxxx xxxxxxxxxxxx bezpečnosti.
g) Xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(2) Zpráva z xxxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx informací**
[§28 xxxx. 1 xxxx. x)]
x) Xxxxxxxxxxx opatření x xxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti informací,
b) Xxxxxxxxxxxx změn a xxxxxxxxx, xxxxx xxxxx xxx vliv xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxx x výkonnosti xxxxxx xxxxxxxxxxx xxxxxxxxx
1. neshody x xxxxxxxx opatření,
2. xxxxxxxx xxxxxxxxxxxx a xxxxxx,
3. xxxxxxxx auditu,
4. xxxxxxxx xxxx bezpečnosti,
d) Xxxxxxxx hodnocení rizik x xxxx plánu xxxxxxxx xxxxx.
x) Xxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, stanovení xxxxxxxx x xxxx xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
(3) Xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx rizik*
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. x)]
x) Xxxxxx stupnice pro xxxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxxxxxxx xxxxx,
2. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxx,
3. určení xxxxxxxx pro hodnocení xxxxxx xxxxxxxxxxx xxxxx.
x) Xxxxxx xxxxxxxx pro xxxxxxxxx xxxxx
1. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,
2. určení xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxx,
3. xxxxxx xxxxxxxx pro hodnocení xxxxxx zranitelnosti,
4. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxx,
x) Xxxxxx x xxxxxxxx pro xxxxxxxx xxxxx.
x) Způsoby xxxxxxxxxxx xxxxxxxxxxxx rizik.
(4) Xxxxxx x hodnocení xxxxx x xxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. c)]
a) Xxxxxxx primárních xxxxx
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx aktiv,
2. xxxxxx xxxxxxx xxxxxxxxxx aktiv,
3. xxxxxxxxx primárních aktiv x hlediska xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx aktiv (xxxxxxx xxx orgány x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx)
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. určení xxxxx mezi xxxxxxxxxx x xxxxxxxxxx aktivy,
c) Xxxxxxxxxxxxxx x xxxxxxxxx xxxxx
1. xxxxxxxxx xxxxxxx xxxxxx xx xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx zranitelností, xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx xxxx úrovně x kritérii xxx xxxxxxxxxxxx rizik,
5. určení x xxxxxxxxx xxxxxxxxxxxx xxxxx.
x) Zvládání rizik
1. xxxxx způsobu zvládání xxxxx,
2. návrh xxxxxxxx x jejich xxxxxxxxx.
(5) Xxxxxxxxxx o aplikovatelnosti*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. x)]
x) Xxxxxxx vybraných xxxxxxxxxxxxxx xxxxxxxx xxxxxx zdůvodnění xxxxxx výběru x xxxxxx vazby xx xxxxxxxxxxxxxx xxxxxx.
x) Xxxxxxx xxxxxxxxxx bezpečnostních xxxxxxxx.
(6) Xxxx zvládání rizik**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. x)]
x) Xxxxx x xxxx xxxxxxxxx xxxxxxxxxxxxxx opatření xxx zvládání xxxxx.
x) Xxxxxxxx zdroje xxx xxxxxxxxxx xxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
d) Termíny xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx zvládání xxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx jednotlivých xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx rizik.
(7) Plán xxxxxxx bezpečnostního xxxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx x termíny xxxxxxx xxxxxxxxx.
x) Xxxxx x termíny xxxxxxx xxxxxxx xxxxx (xxxxxxx xxx orgány a xxxxx xxxxxxx x §3 xxxx. x) xxxxxx).
x) Xxxxx a xxxxxxx poučení xxxxxxxxxxxxxx (xxxxxxx pro xxxxxx x osoby xxxxxxx x §3 xxxx. x) xxxxxx).
x) Xxxxx x termíny xxxxxxx xxxxxxx xxxx zastávajících xxxxxxxxxxxx xxxx.
x) Xxxxx x termíny xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxx x xxxxxxx xxxxxxxxx xxxxx.
(8) Xxxxxxxx kybernetických xxxxxxxxxxxxxx incidentů**
[§28 odst. 1 xxxx. i), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxx x xxxxxxxx jednotlivých xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx testování xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx vyhodnocení xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx x xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(9) Strategie xxxxxx xxxxxxxxxx xxxxxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx a povinnosti xxxxxxxxxxxx xxxx.
x) Xxxx xxxxxx xxxxxxxxxx činností
1. xxxxxxxxx xxxxxx poskytovaných xxxxxx,
2. xxxx obnovení xxxxx,
3. bod xxxxxxxx xxxxx.
x) Strategie xxxxxx xxxxxxxxxx činností xxx xxxxxxxx xxxx xxxxxxxxxx.
x) Xxxxxxx hodnocení xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx x xxxxxxxxxx souvisejících xxxxx.
x) Xxxxxx x obsah xxxxxxxxxx xxxxx kontinuity.
f) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx.
(10) Xxxxxxx xxxxxx xxxxxxxxx právních xxxxxxxx, xxxxxxxxx xxxxxxxx x jiných xxxxxxxx x xxxxxxxxx xxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. x)]
x) Xxxxxxx xxxxxx závazných xxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxx a xxxxxx xxxxxxxx.
x) Přehled xxxxxxxxx xxxxxxx.
Xxxxxxxx:
* Xxxxxxxxx xxxxxxxxx xxxxxxxxx xx xx xxxxxx xxxxxxx xxxxx xxxxxxxx uvedené x příloze č. 1: Xxxxxxxxx x úroveň aktiv.
** Xxxxxxxxx důvěrnost xxxxxxxxx xx na xxxxxx xxxxxx xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx a xxxxxx xxxxx.
Xxxxxxx x. 5 x vyhlášce x. 316/2014 Xx.
Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
Vyplnitelný formulář ve formátu PDF
Příloha x. 6 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx oznámení x xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx x. 7 x xxxxxxxx x. 316/2014 Sb.
Formulář pro xxxxxxx xxxxxxxxxxx údajů
Vyplnitelný formulář ve formátu PDF
Informace
Právní předpis x. 316/2014 Xx. xxxxx xxxxxxxxx xxxx 1.1.2015.
Ke xxx xxxxxxxx právní xxxxxxx nebyl xxxxx xx xxxxxxxxx.
Xxxxxx předpis x. 316/2014 Xx. xxx zrušen xxxxxxx xxxxxxxxx č. 82/2018 Sb. x xxxxxxxxx xx 28.5.2018.
Xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx právních předpisů x odkazech xxxx xxxxxxxxxxxxx, xxxxx se xxxx netýká derogační xxxxx shora xxxxxxxxx xxxxxxxx xxxxxxxx.
1) XXX/XXX 27001:2013, xxxxxxxx XXX XXX/XXX 27001:2014