Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
XXXXXXXX
xx xxx 15. xxxxxxxx 2014
x bezpečnostních xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, reaktivních xxxxxxxxxx x x xxxxxxxxx xxxxxxxxxxx podání x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx xxxxxxxxxxxx xxxx xxxxxxx xxxxx §28 xxxx. 2 xxxxxx x. 181/2014 Xx., x xxxxxxxxxxxx xxxxxxxxxxx x o xxxxx xxxxxxxxxxxxx zákonů (zákon x xxxxxxxxxxxx xxxxxxxxxxx), (xxxx xxx "xxxxx") x xxxxxxxxx §6 xxxx. a) xx x), §8 odst. 4, §13 odst. 4 x §16 xxxx. 6 zákona.
XXXX XXXXX
XXXXXX USTANOVENÍ
§1
Předmět xxxxxx
Xxxxx xxxxxxxxx xx xxxxxxx obsah a xxxxxxxxx bezpečnostní xxxxxxxxxxx xxx informační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx systém kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx systém, xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxx jejich zavedení, xxxx x kategorie xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů, xxxxxxxxxxx a způsob xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, náležitosti oznámení x provedení xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx x xxxx xxxxxxxx xxxxxxxxxxx xxxxx x jeho xxxxx.
§2
Xxxxxxxx xxxxx
X této xxxxxxxx se rozumí
a) xxxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx xxxxxxx xxxxxx orgánu a xxxxx xxxxxxx v §3 písm. x) xx e) xxxxxx xxxxxxxx na přístupu x rizikům xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx stanoví xxxxxx xxxxxxxx, xxxxxxxx, xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx,
x) aktivem xxxxxxxx aktivum a xxxxxxxx xxxxxxx,
x) primárním xxxxxxx xxxxxxxxx nebo xxxxxx, xxxxxx xxxxxxxxxx xxxx poskytuje informační xxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx významný xxxxxxxxxx xxxxxx,
x) podpůrným xxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxx x dodavatelé podílející xx xx provozu, xxxxxxx, xxxxxx xxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx vybavení xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx a xxxxxxx, xx xxxxxxx xxxx tyto xxxxxxx xxxxxxxx,
x) xxxxxxx možnost, xx xxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného informačního xxxxxxx x způsobí xxxxxxxxx aktiva,
g) hodnocením xxxxx xxxxxx, při xxxx xx xxxxxxxx xxxxxxxxxx xxxxx x xxxxxx přijatelná xxxxxx,
x) xxxxxxx rizik xxxxxxx xxxxxxxxxx hodnocení rizik, xxxxx x xxxxxxxx xxxxxxxx xx zvládání xxxxx, xxxxxxx informací x xxxxxx a xxxxxxxxx x přezkoumání xxxxx,
x) xxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxx xxxx být xxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxx xxxxx xxxxx xxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxx xxxxxxxx xxxxxx xxxx xxxx hrozbami,
k) xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xx xxxxxxxxx bezpečnostních xxxxxxxx, xxxxx úroveň xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxx soubor zásad x xxxxxxxx, xxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxx xxxxxxx x xxxxxx xxxxxxxx x §3 písm. x) xx e) xxxxxx,
x) xxxxxxxx xxxxxx xxxxxxx xxxxx pověřená xxxxxxx xxxx osobou xxxxxxxx x §3 xxxx. x) xx x) xxxxxx k xxxxxxxxx rozvoje, xxxxxxx x bezpečnosti aktiva,
n) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx anebo xxxxx xxxxxxx xxxx, xxxxx využívá xxxxxxxx xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxx xxxxx xxxxxxxx garantem xxxxxx xxxxxxxxxxx xxxxxx, xxxxxx, xxxxxxx, údržbu x xxxxxxxxxx xxxxxxxxxxx xxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx řízení xxxxxxxxxxx xxxxxxxxx
(1) Orgán x osoba uvedená x §3 xxxx. x) x x) xxxxxx x xxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx
x) stanoví x xxxxxxx xx xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxx x hranice xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xx xxxxxx xxxx, kterých organizačních xxxxx a technických xxxxx xx xxxxxx xxxxxx xxxxxxxxxxx informací xxxx,
x) xxxx rizika xxxxx §4 odst. 1,
x) xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx obsahuje xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx ve xxxxxx x xxxxxx bezpečnosti xxxxxxxxx x xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx hodnocení xxxxx stanoví xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §5 x zavede xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) monitoruje xxxxxxxx xxxxxxxxxxxxxx opatření,
e) xxxxxxxxxxx vhodnost x xxxxxxxx bezpečnostní xxxxxxxx xxxxx §5,
f) zajistí xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx podle §15, x xx xxxxxxx xxxxxx ročně,
g) zajistí xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, xxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx hodnocení rizik, xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx a xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx, x xx xxxxxxx xxxxxx ročně,
h) aktualizuje xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x příslušnou xxxxxxxxxxx na xxxxxxx xxxxxxxx auditů kybernetické xxxxxxxxxxx, výsledků xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x x xxxxxxxxxxx x xxxxxxxxxxx nebo xxxxxxxxxxx xxxxxxx a
i) xxxx xxxxxx x zdroje xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxx xxxxxxx xx systémem xxxxxx xxxxxxxxxxx informací x xxxxxxx xxxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xxxxxx x xxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxx xxxxxx xxxxx §4 xxxx. 2,
x) xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, která xxxxxxxx xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x povinnosti xx xxxxxx x xxxxxx bezpečnosti xxxxxxxxx x xx xxxxxxx xxxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxx xxxxx xxxxxxx bezpečnostní politiku x xxxxxxx xxxxxxxxx xxxxx §5, x xxxxxx příslušná bezpečnostní xxxxxxxx x
x) xxxxxxx xxxxxxxxxxx zprávy x xxxxxxxxx aktiv x xxxxx, bezpečnostní xxxxxxxx, xxxxx xxxxxxxx xxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx povědomí, x xx xxxxxxx jednou xx xxx roky xxxx x xxxxxxxxxxx x xxxxxxxxxxx nebo xxxxxxxxxxx xxxxxxx.
§4
Řízení rizik
(1) Orgán x osoba xxxxxxx x §3 písm. x) x d) xxxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x hodnocení xxxxx x xxx identifikaci x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx rizik,
b) xxxxxxxxxxxx a xxxxxxx xxxxxxxxxx aktiv, xxxxx xxxxx xx rozsahu xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxx §8 x xxxxxxx přílohy č. 1 x xxxx xxxxxxxx x xxxxxxx xxxxxxxxx xx xxxxxx o xxxxxxxxx aktiv a xxxxx,
x) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxxxxx, xxxxxxx xxxxx xxxxxx xx xxxxxx, xxxxxxx xxxx xxxxxx xxxxxxxxx x xxxxxxx xxxxx přílohy č. 2 x této xxxxxxxx, xxxx x xxxxxxx přijatelná rizika x xxxxxxxx xxxxxx x hodnocení xxxxx x xxxxx,
x) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxx rizik prohlášení x aplikovatelnosti, které xxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx x xxxxxx plán zvládání xxxxx, xxxxx xxxxxxxx xxxx a xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxx xxxxx zajišťující xxxxxxxxxxx xxxxxxxxxxxxxx opatření pro xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x informační zdroje, xxxxxx xxxxxx zavedení x popis xxxxx xxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx opatřeními x
x) zohlední xxx xxxxxxxxxx xxxxxxx reaktivní x ochranná xxxxxxxx xxxxxx Xxxxxxxx bezpečnostním xxxxxx (dále xxx "Xxxx") x xxxxxxxxx xxxxx a x xxxxxxx, xx xxxxxxxxx xxxxx aktualizované x xxxx xxxxxxxxxxxxx spojené x xxxxxxxxx xxxxxxxxxxx xxxx ochranného opatření xxxxxxxx stanovená kritéria xxx xxxxxxxxxxxx rizik, xxxxxx xxxx zvládání xxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. e) xxxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x pro identifikaci x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx kritérií xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx a xxxxxxx xxxxxxxxxx primárních xxxxx, xxxxx xxxxx do xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx §8 xxxxxxxxx v xxxxxxx přílohy č. 1 x xxxx vyhlášce a xxxxxxx xxxxxxxxx do xxxxxx x xxxxxxxxx xxxxx a xxxxx,
x) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxxxxx, posoudí xxxxx xxxxxx xx xxxxxxxx aktiva, xxxxxxx xxxx xxxxxx xxxxxxxxx x rozsahu xxxxx přílohy č. 2 k xxxx xxxxxxxx a xxxxxxxx xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxx na xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxxxxxxx o xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx přehled xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx x zavede xxxx xxxxxxxx xxxxx, xxxxx xxxxxxxx xxxx x xxxxxxx bezpečnostních xxxxxxxx xxx zvládání xxxxx, xxxxxx osoby xxxxxxxxxxx xxxxxxxxxxx bezpečnostních xxxxxxxx xxx xxxxxxxx rizik, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx a informační xxxxxx, xxxxxxx xxxxxx xxxxxxxx x popis xxxxx mezi xxxxxxxxxxxxxxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxx bez zbytečného xxxxxxx reaktivní a xxxxxxxx xxxxxxxx vydaná Xxxxxx x xxxxxxxxx xxxxx x v xxxxxxx, xx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxx x realizací reaktivního xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx stanovená kritéria xxx xxxxxxxxxxxx xxxxx, xxxxxx plán xxxxxxxx xxxxx.
(3) Xxxxxx xxxxx xxxx xxx zajištěno x xxxxxx způsoby, xxx jak xx xxxxxxxxx x odstavcích 1 x 2, xxxxx xxxxx a xxxxx xxxxxxx x §3 písm. c) xx x) xxxxxx xxxxxxxxx, xx používá xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxxxx xxxxxx xxxxxx xxxxx.
(4) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxx xxxxxxxxx xxxxx zvažuje xxxxxxx xxxx xxxxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxx nebo xxxxxxx xxxxxxxxxxx xxxxx programového xxxxxxxx,
x) zneužití identity xxxxxxx osoby,
d) xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx s licenčními xxxxxxxxxx,
x) kybernetický xxxx x xxxxxxxxxxx xxxx,
x) xxxxxxxx xxx (například xxxx, xxxxxxx, xxxxxxx xxxx),
x) xxxxxxxxxx při xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) narušení xxxxxxx xxxxxxxxxxx,
x) přerušení poskytování xxxxxx elektronických xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxx xxxxxxx,
x) zneužití nebo xxxxxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxx působící hrozby x
x) xxxxxxxx nebo xxxxxxxxx aktiva.
(5) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až e) xxxxxx xxx hodnocení xxxxx zvažuje xxxxxxx xxxx xxxxxxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx xxx xxxxxxxxxxxxxx x xxxxxxxx negativních xxxxxxxxxxxxxx xxxx, kybernetických xxxxxxxxxxxxxx událostí x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx monitorování xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx nevhodné xxxx xxxxxxx xxxxxxx chování x
x) xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, nepřesné xxxx xxxxxxxxxxxxx xxxxxxxx xxxx a xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx rolí.
(6) Orgán x xxxxx xxxxxxx x §3 písm. x) a d) xxxxxx xxx hodnocení xxxxx xxxx xxxxxxx xxxx hrozby
a) xxxxxxxx xxxxxxxxxxxx politiky, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx xx strany xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xx xxxxxx xxxxxxxxxxx,
x) zneužití xxxxxxxxx xxxxxxxxxx, sabotáž,
d) xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx elektronických komunikací, xxxxxxx xxxxxxxxxx energie xxxx jiných xxxxxxxxxx xxxxxx,
x) xxxxxxxxxx zaměstnanců x xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxxxxxxx xxxx xxxxxx sociálního xxxxxxxxxxx, xxxxxxx špionážních xxxxxxx x
x) xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxx.
(7) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) x x) xxxxxx xxx xxxxxxxxx rizik xxxx zvažuje xxxx xxxxxxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx x
x) xxxxxxxxxxx včasného xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxxx.
§5
Xxxxxxxxxxxx politika
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) a x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) organizační bezpečnost,
c) xxxxxx vztahů x xxxxxxxxxx,
x) xxxxxxxxxxx aktiv,
e) xxxxxxxxxx xxxxxxxx zdrojů,
f) xxxxxx xxxxxxx x xxxxxxxxxx,
x) řízení xxxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x xxxxxx,
x) xxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxx,
x) řízení xxxxxxxxxxx xxxxxxxxxxxxx,
x) bezpečné xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx a xxxxxxxx xxxxxxx programového vybavení x xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx,
x) ochrana xxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx komunikační sítě,
r) xxxxxxx xxxx škodlivým xxxxx,
x) xxxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx,
x) využití a xxxxxx xxxxxxxx xxx xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x
x) xxxxxxxxx kryptografické xxxxxxx.
(2) Orgán a xxxxx xxxxxxx v §3 xxxx. x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxxxx
x) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxx,
x) xxxxxx xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx lidských xxxxxx,
x) xxxxxx xxxxxxx x komunikací,
g) xxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x xxxxxx,
x) poskytování a xxxxxxxx licencí xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx,
x) xxxxxxx xxxxxxxx údajů,
l) xxxxxxxxx xxxxxxxxxxxxxx ochrany,
m) xxxxxxx xxxx škodlivým xxxxx x
x) xxxxxxxx x xxxxxxxxx nástroje xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Orgán x osoba uvedená x §3 xxxx. x) xx x) xxxxxx xxxxxxxxxx xxxxxxx xxxxxxxx bezpečnostní xxxxxxxx x aktualizuje xx.
§6
Organizační bezpečnost
(1) Orgán x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxx xxxxxxxxxx xxxxxx bezpečnosti xxxxxxxxx, x rámci xxxxx xxxx výbor xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxx x xxxxxx práva x xxxxxxxxxx související x xxxxxxxxxxx systémem xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx určí xxxxxxxxxxxx xxxx
x) manažer xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) auditor xxxxxxxxxxxx bezpečnosti x
x) xxxxxx aktiva podle §2 xxxx. x).
(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xxxx xxxxxxxxxxxx xxxx xxxxxxxxx xxxxx odstavce 2.
(4) Xxxxxxx xxxxxxxxxxxx bezpečnosti xx xxxxx, xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, která xx xxx xxxx xxxxxxx vyškolena x xxxxxxx odbornou xxxxxxxxxxx xxxxx s řízením xxxxxxxxxxx xxxxxxxxx xx xxxx nejméně xxx xxx.
(5) Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx osoba xxxxxxxxxxx xxxxx a xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx x prokáže xxxxxxxx xxxxxxxxxxx praxí x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xx xxxx xxxxxxx xxx xxx.
(6) Auditor xxxxxxxxxxxx xxxxxxxxxxx je xxxxx provádějící xxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xx xxx tuto xxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx dobu xxxxxxx xxx xxx. Auditor xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx roli xxxxxxxxx x xxxxx xxxx xxxx xx xxxxxxx xx xxxxxx xxxx xxxxxxxxx x xxxxxxxx 2 písm. x), x) xxxx d).
(7) Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx je xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx, xxxxx xxxx xxxxxxxx xxxxxxxx řízením x rozvojem xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx, anebo se xxxxxxxx xxxxxxxx xx xxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx těchto xxxxxxx.
(8) Xxxxx x xxxxx uvedená v §3 xxxx. x) xx x) zákona xxxxxxx xxxxxxx xxxxxxx xxxx, xxxxx xxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxx x xxxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxx §9 xxxx. 1 xxxx. x).
§7
Xxxxxxxxx xxxxxxxxxxxxxx požadavků xxx dodavatele
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) až e) xxxxxx xxxxxx xxxxxxxx xxx dodavatele, xxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, x xxxxxxxx je x xxxxxxxxxx xxxx xxxxxx xxxx, které xx xxxxxxxx xx xxxxxxx, xxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xxxxxx xxxxxxxx xxxxxxxxxx xx xxxxxxx, xxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, komunikačního xxxxxxx kritické informační xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) zákona xxxxxxxx, xxxxx součástí xx ustanovení x xxxxxxxxxxx informací.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx x xxxxxxxxxx xxxxxxxxx x xxxxxxxx 1 xxxx
x) před xxxxxxxxx xxxxxxx provádí xxxxxxxxx xxxxx xxxxx přílohy č. 2 x této xxxxxxxx, xxxxx xxxx xxxxxxx s xxxxxxxxxxx xxxxxxxxx,
x) uzavírá smlouvu x xxxxxx xxxxxx, xxxxx stanoví xxxxxxx x úrovně xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxx vztah vzájemné xxxxxxx xxxxxxxxxxxx xx xxxxxxxx a xxxxxxxx xxxxxxxxxxxxxx opatření, x
x) xxxxxxx xxxxxxxxxx hodnocení xxxxx x pravidelnou xxxxxxxx zavedených bezpečnostních xxxxxxxx x xxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxx xx xxxxxx x xxxxxxxxxxx zajistí jejich xxxxxxxxxx.
§8
Řízení xxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx x xxxxx xxxxxx aktiv
a) xxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxx,
x) xxxx garanty xxxxx, kteří jsou xxxxxxxxx xx primární xxxxxx, x
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti x xxxxxx xx xx jednotlivých xxxxxx xxxxxxxxx v xxxxxxx xxxxx přílohy č. 1 k xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx důležitosti xxxxxxxxxx xxxxx xx xxxxx xxxxxxxxx xxxxxxxx
x) rozsah x xxxxxxxxxx xxxxxxxx xxxxx nebo obchodního xxxxxxxxx,
x) rozsah dotčených xxxxxxxx xxxxxxxxxx nebo xxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxxxx činností,
d) xxxxxxxxx veřejných, obchodních xxxx xxxxxxxxxxxx zájmů,
e) xxxxx finanční ztráty,
f) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx orgánu x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxx, integrity x xxxxxxxxxxx a
h) xxxxxx xx zachování xxxxxxx jména nebo xxxxxxx xxxxx pověsti.
(3) Xxxxx a osoba xxxxxxx v §3 xxxx. x) x x) xxxxxx dále
a) xxxxxxxxxxxx x xxxxxxx xxxxxxxx aktiva,
b) xxxx xxxxxxx xxxxx, kteří xxxx odpovědní xx xxxxxxxx aktiva, x
x) xxxx vazby mezi xxxxxxxxxx x xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxx mezi xxxxxxxxxx x podpůrnými xxxxxx.
(4) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxx
x) stanoví pravidla xxxxxxx, xxxxx pro xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx xxx, xx
1. xxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx aktiv,
2. xxxxxxx pravidla xxx xxxxxxxxxx x xxxxxxxx x xxxxxx xxxxx xxxxxx xxxxx, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxx xxxxx x
3. stanoví přípustné xxxxxxx xxxxxxxxx xxxxx,
x) xxxxxx pravidla xxxxxxx xxxxxxxxxxxx úrovni xxxxx x
x) xxxx xxxxxxx xxx xxxxxxxxxx smazání xxxx xxxxxx xxxxxxxxxxx xxxxxx dat x xxxxxxx xx xxxxxx xxxxx.
§9
Bezpečnost xxxxxxxx zdrojů
(1) Xxxxx x osoba xxxxxxx v §3 xxxx. c) xx x) xxxxxx x xxxxx řízení bezpečnosti xxxxxxxx xxxxxx
x) xxxxxxx xxxx rozvoje bezpečnostního xxxxxxxx, který xxxxxxxx xxxxx, obsah x xxxxxx potřebných xxxxxxx x xxxx osoby xxxxxxxxxxx realizaci jednotlivých xxxxxxxx, xxxxx xxxx x xxxxx uvedeny,
b) x xxxxxxx s xxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx zajistí poučení xxxxxxxxx, administrátorů a xxxx zastávajících xxxxxxxxxxxx xxxx x xxxxxx xxxxxxxxxxxx a o xxxxxxxxxxxx politice xxxxxx xxxxxxxxx x pravidelných xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) xxxxxxx vrácení xxxxxxxxx aktiv x xxxxxxxx xxxxxxxxxxxx oprávnění xxx xxxxxxxx smluvního xxxxxx x uživateli, xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxx x xxxxxxx podle xxxxxxxx 1 xxxxxxxx, xxxxx obsahují xxxxxxx xxxxxxx x xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxx xxxxxxxx xxx xxxxxx osob, xxxxx budou zastávat xxxxxxxxxxxx xxxx, xxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx xxxxxxx bezpečnostního xxxxxxxx, xxxxxxxxxxx školení x xxxxxxx xxxxxxxx spojených x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) určí pravidla x xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx bezpečnostních xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx bezpečnostní role x
x) xxxxxxx změnu xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxxx uživatelů, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
§10
Xxxxxx xxxxxxx x xxxxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx e) xxxxxx x rámci xxxxxx xxxxxxx a xxxxxxxxxx xxxxxx technických nástrojů xxxxxxxxx v §21 xx 23 xxxxxxxx xxxxxxxxxxxx bezpečnostní události, xxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxx a xx xxxxxxxx nedostatky xxxxxxx x xxxxxxx x §13.
(2) Xxxxx x xxxxx uvedená x §3 písm. x) xx x) xxxxxx x xxxxx xxxxxx xxxxxxx a komunikací xxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury a xxxxxxxxxx xxxxxxxxxxxx systému. Xx xxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx.
(3) Provozní xxxxxxxx x postupy xxxxxx a xxxxx xxxxxxx x §3 xxxx. x) x x) zákona xxxxxxxx
x) xxxxx a xxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx x xxxxxxxxx,
x) xxxxxxx pro xxxxxxxx x ukončení xxxxx xxxxxxx, xxx xxxxxxx xxxx xxxxxxxx xxxxx xxxxxxx xx xxxxxxx x pro xxxxxxxx chybových stavů xxxx xxxxxxxxxxx jevů,
c) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxx ochranu xxxxxxxx x xxxxxxxx x těchto xxxxxxxxxx,
x) xxxxxxx xx kontaktní xxxxx, které xxxx xxxxxx xxxx podpora xxx řešení neočekávaných xxxxxxxxxxx xxxx technických xxxxxx,
x) postupy xxxxxx x schvalování xxxxxxxxxx xxxx x
x) xxxxxxx xxx sledování, xxxxxxxxx x řízení xxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxx.
(4) Řízení xxxxxxx xxxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona xxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxx.
(5) Xxxxxx xxxxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) a d) xxxxxx xxxxxxx v
a) xxxxxxxxx oddělení xxxxxxxxxx, xxxxxxxxxxx x produkčního xxxxxxxxx,
x) řešení xxxxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx xxx, xx xxxxx x xxxxx uvedená x §3 písm. x) a d) xxxxxx
1. posoudí xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xx xxxxxxxxxx systém xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxx systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxx negativní xxxxxx x xxx xxxxxxxxxx xxxxxxx xx xxxxxx Xxxxx x
2. xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx opatření, xxxxx xxxxxxxxxxxx xxxxx negativní xxxxxx, x určí xxxxxx xxxx jeho xxxxxxxxx.
(6) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx x xxxxx xxxxxx xxxxxxxxxx
x) xxxxxxxxx xxxxxxxxxx x xxxxxxxxx komunikačních xxxx a xxxxxxxxxx xxxxxxxxxxxxx služeb xxxxx §17,
x) xxxx pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxx, které xxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxx x předávání xxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx předpisy xx současného xxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxx xxxxxxxx xxxxxxxxxxx x
x) x ohledem xx xxxxxxxxxxx xxxxx xxxxxxx xxxxxx a xxxxxxxxx informací xx xxxxxxx xxxxxxxxx smluv, xxxxxxx xxxxxxxx xx xxxxxxxxxx o xxxxxxxxxxx xxxxxxxxx.
§11
Xxxxxx xxxxxxxx a xxxxxxxx chování xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx na xxxxxxx xxxxxxxxxx a xxxxxxxxxxxxxx xxxxxx řídí xxxxxxx x informačnímu xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačnímu xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významnému xxxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxx uživateli xxxxxxxxxxx xxxxxxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxxxx xxxxxxxx, xxxxx xxxxxx k xxxxxxxxx xxxxxxx údajů, xxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému xxxxx §18 x 19, a která xxxxx xx zneužití xxxxxx údajů xxxxxxxxxxxx xxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxx v xxxxx xxxxxx xxxxxxxx
x) xxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx x politikou xxxxxx xxxxxxxx,
x) provádí pravidelné xxxxxxxxxxx nastavení přístupových xxxxxxxxx včetně rozdělení xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxx,
x) xxxxxxx xxxxxxx xxx ověřování xxxxxxxx xxxxxxxxx podle §18 x nástroj xxx xxxxxx xxxxxxxxxxxx oprávnění xxxxx §19 x
x) xxxxxx bezpečnostní xxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxx mobilních xxxxxxxx, xxxxxxxx x xxxxxxxxxxxx xxxxxxxx spojená x xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxxxxxxxxx.
§12
Xxxxxxxx, xxxxx a xxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxxxxx bezpečnostní xxxxxxxxx xx změny xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx s xxxxxx xxxxxxxx, xxxxxxx x xxxxxxx a xxxxxx xx xx xxxxxxxx xxxxxxxx, xxxxxx x xxxxxx systému.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. c) x x) zákona xxxx
x) xxxxxxxxxxxx, xxxxxxx x xxxx xxxxxx související x akvizicí, xxxxxxx x údržbou xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx; pro postupy xxxxxxxxx x xxxxxx xxxxx xx xxxxxxxx xxxxx §4 odst. 1 xxxx. a) xxxxxxx xxxxxxx,
x) zajistí xxxxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx ochranu xxxxxxxxxxx xxxxxxxxxxx dat x
x) xxxxxxx bezpečnostní xxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxx xxxxxxxxx do provozu.
§13
Zvládání xxxxxxxxxxxxxx bezpečnostních xxxxxxxx a incidentů
Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx při xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx, která zajistí xxxxxxxxxx kybernetických bezpečnostních xxxxxxxx u xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačního xxxxxxx ze strany xxxxxxxxx, xxxxxxxxxxxxxx a xxxx zastávajících xxxxxxxxxxxx xxxx x x xxxxxxxxxx vede xxxxxxx,
x) xxxxxxxx prostředí xxx xxxxxxxxxxx xxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx technickými nástroji xxxxx §21 xx 23, xxxxxxx jejich xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx,
x) xxxxxxx klasifikaci kybernetických xxxxxxxxxxxxxx incidentů, xxxxxxx xxxxxxxx pro xxxxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxx §32 x xxxxxxx xxxx věrohodných podkladů xxxxxxxxxx pro analýzu xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu,
d) xxxxxxxx x xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxx xxxxxxxx xxxxxx kybernetického bezpečnostního xxxxxxxxx a xx xxxxxxx vyhodnocení stanoví xxxxx xxxxxxxxxxxx xxxxxxxx x zamezení xxxxxxxxx xxxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx x
x) dokumentuje xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
§14
Řízení kontinuity xxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) až x) zákona v xxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxxx
x) xxxxx x povinnosti garantů xxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) cíle xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx úrovně xxxxxxxxxxxxx služeb, která xx xxxxxxxxxx xxx xxxxxxx, xxxxxx a xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
2. xxxx obnovení xxxxx, xxxxx které bude xx kybernetickém bezpečnostním xxxxxxxxx xxxxxxxx minimální xxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému, x
3. xxxx obnovení dat xxxx xxxxxxx, ke xxxxxxx xxxxx xxxxxxxx xxxx xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx, x
x) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx, která xxxxxxxx xxxxxxxx xxxx podle xxxxxxx x).
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx dále
a) xxxxxxxxx x xxxxxxxxxxx možné xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxx xxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxx kontinuity xxxxxxxx,
x) xxxxxxx, aktualizuje x pravidelně xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) realizuje xxxxxxxx pro zvýšení xxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx kybernetickému bezpečnostnímu xxxxxxxxx x xxxxxxx xxxxxxx xxx xxxxxxxxxxx xxxxxx dostupnosti xxxxx §26 x
x) xxxxxxx x xxxxxxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx xxxxx §13 a 14 xxxxxx, xx kterých xxxxxxxx
1. xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxx opatření,
2. xxxx dotčených xxxxxxxxxxxxxx xxxxxxxx x
3. xxxxxxxxxxx xxxxxxxxxx negativních xxxxxx xx xxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury xxxx komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§15
Xxxxxxxx x xxxxx xxxxxxxx xxxxxxxxxx infrastruktury x významných xxxxxxxxxxxx xxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x rámci kontroly x xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx (xxxx xxx "audit xxxxxxxxxxxx bezpečnosti")
a) xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx x právními předpisy, xxxxxxxxx xxxxxxxx, jinými xxxxxxxx a xxxxxxxxx xxxxxxx xxxxxxxxxxxx se x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačnímu systému x určí xxxxxxxx xxx xxxx xxxxxxxxxxx x
x) provádí x xxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx politiky x xxxxxxxx xxxxxx xxxxxxx xxxxxxxx x xxxxx xxxxxxx bezpečnostního xxxxxxxx x plánu xxxxxxxx xxxxx.
(2) Xxxxx x osoba xxxxxxx x §3 písm. x) x d) xxxxxx xxxxxxxxx provedení xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx s odbornou xxxxxxxxxxx xxxxx §6 xxxx. 6, xxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxx bezpečnostních xxxxxxxx.
(3) Orgán a xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx xxxx pro xxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx provádí xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx prostředků xxxxxx xxxxxxxxxxxxxxxx xxxxxxxx x jejich xxxxxxx xxxxxxxxxxx x reaguje xx xxxxxxxx zranitelnosti.
XXXXX XX
XXXXXXXXX OPATŘENÍ
§16
Fyzická xxxxxxxxxx
(1) Orgán x xxxxx uvedená x §3 písm. x) xx x) zákona x xxxxx xxxxxxx xxxxxxxxxxx
x) přijme nezbytná xxxxxxxx k xxxxxxxx xxxxxxxxxxxxx vstupu do xxxxxxxxxx prostor, kde xxxx xxxxxxxxxxxx informace x umístěna xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx x zásahům do xxxxxxxxxx xxxxxxx, xxx xxxx xxxxxxxx xxxxxxxxx x umístěna xxxxxxxxx xxxxxx informačního systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x
x) předchází xxxxxxxxx, xxxxxxx xxxx xxxxxxxx xxxxx xxxx xxxxxxxxx xxxxxxxxxxx služeb xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného informačního xxxxxxx.
(2) Xxxxx a xxxxx xxxxxxx v §3 xxxx. c) x x) xxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxx bezpečnosti
a) xxx xxxxxxxxx xxxxxxx xx xxxxxx xxxxxxx x
x) xxx xxxxxxxxx xxxxxxx x xxxxx xxxxxxx xxxxxxxxxx zvýšené xxxxxxxxxxx xxxxxxxxxx prostor, xx xxxxxxx xxxx xxxxxxxx xxxxxxxxx aktiva informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
(3) Xxxxxxxxxx fyzické xxxxxxxxxxx xxxx zejména
a) xxxxxxxxxx xxxxxxxx xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx,
x) prostředky xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxx xxxxxxxx xxxxxx,
x) xxxxxxxx xxxxxxx,
x) zařízení xxx zajištění ochrany xxxx selháním xxxxxxx xxxxxxxxxxxx xxxxxxxx a
h) xxxxxxxx pro xxxxxxxxx xxxxxxxxxxx provozních xxxxxxxx.
§17
Nástroj xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx pro xxxxxxx xxxxxxxxx rozhraní xxxxxx xxxxxxxxxxx xxxx, xxxxx xxxx xxx xxxxxxx orgánu xxxx xxxxx, x xxxxxxx xxxxxxxxxxx sítě, xxxxx xx xxx xxxxxxx xxxxxx xxxx xxxxx, xxxxxx
x) řízení xxxxxxxxxx xxxxxxxx mezi xxxxxx x xxxxxxx xxxx,
x) xxxxxxxxxx zejména xxxxxxxx xxxxxxxxxxxxxxxxxx xxx xxxx xxxxxxxxxxx typu xxxx xxxxxxxxxxx xx xxxxxxx xxxxxxxxxxx xxxxxxxx dostupných x xxxxxx xxxx x x xxxxxxxx xxxxx xxxxxxxxxx xxxxxxx xxxx x xxxxxx xxxx,
x) xxxxxxxxxxxxxx xxxxxxxxxx (§25) xxx xxxxxxxx xxxxxxx, xxxxxxxxx xxxxxx xxxx xxx xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxxxx pro xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx dat, které xxxxxxxxxxxx požadavkům xx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx.
(2) Orgán x xxxxx xxxxxxx v §3 xxxx. c) x x) zákona xxxx xxxxxxx xxxxxxxx xxx xxxxxxx integrity xxxxxxx komunikační xxxx, xxxxx xxxxxxx xxxx xxxxxxxxxx.
§18
Nástroj pro xxxxxxxxx xxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) až e) xxxxxx xxxxxxx xxxxxxxx xxx ověření identity xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx systému.
(2) Xxxxxxx xxx xxxxxxxxx identity xxxxxxxxx a administrátorů xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx xxxx xxxxxxxxx xxxxxx xxxxxxx v informačním xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x významném xxxxxxxxxxx xxxxxxx.
(3) Nástroj pro xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxx xxxxxxx xxxxxxxxxxx xxxxx xxxxxx, xxxxxxxxx
x) xxxxxxxxx xxxxx xxxxx xxx xxxxx,
x) minimální xxxxxxxxx hesla xxx, xx xxxxx xxxx xxxxxxxxx alespoň 3 x následujících čtyř xxxxxxxxx
1. xxxxxxx xxxxx xxxxx xxxxxxx,
2. xxxxxxx xxxxx xxxx xxxxxxx,
3. xxxxxxx xxxxx číslici, xxxx
4. nejméně jeden xxxxxxxxx znak xxxxxxx xx xxxxxxxxx xxxxxxxxx x xxxxxx 1 xx 3,
x) xxxxxxxxx xxxx xxx xxxxxxxx xxxxxx xxxxx nepřesahující xxx xxx; tento xxxxxxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx identifikátory xxxxxxxx.
(4) Xxxxx x xxxxx uvedená x §3 xxxx. x) x d) zákona xxxx
x) používá xxxxxxx xxx xxxxxxx xxxxxxxx, xxxxx
1. zamezí xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxx a xxxxxxxx xxxx xxxx hesla xxxxxxx uživatele xxxxx xxxxxxxxxxx xxxxxx, xxxxx xxxx být xxxxxxx 24 xxxxx, x
2. xxxxxxx opětovné xxxxxxx xxxxxxxx xx xxxxxx xxxx nečinnosti x
x) xxxxxxx xxxxxxx pro xxxxxxxxx identity administrátorů. X xxxxxxx, xx xxxxx nástroj xxxxxxx xxxxxxxxxxx heslem, xxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxx patnáct xxxxx xxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx. x) x x).
(5) Xxxxxxx pro xxxxxxxxx identity xxxxxxxxx xxxx být zajištěn x xxxxxx způsoby, xxx jaké xxxx xxxxxxxxx x odstavcích 3 až 5, xxxxx xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona xxxxxxxxx, xx xxxxxxx xxxxxxxx zajišťující xxxxxxx xxxx xxxxx úroveň xxxxxxxxx xxxxx.
§19
Nástroj xxx xxxxxx xxxxxxxxxxxx oprávnění
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx používá xxxxxxx xxx xxxxxx přístupových xxxxxxxxx, xxxxxx zajistí xxxxxx xxxxxxxxx
x) xxx xxxxxxx x xxxxxxxxxxx xxxxxxxxx x xxxxx x
x) pro xxxxx xxx, xxx zápis xxx x xxx xxxxx xxxxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxx používá xxxxxxx pro xxxxxx xxxxxxxxxxxx oprávnění, xxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x výsledky hodnocení xxxxx.
§20
Xxxxxxx xxx ochranu xxxx xxxxxxxxx xxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxx xxxxxx xxxxx xxxxxxxxx s xxxxxxxxx xxxxxxxxxx kódu xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxx kódem, xxxxx xxxxxxx xxxxxxx x xxxxxx kontrolu
a) xxxxxxxxxx xxxx vnitřní xxxx x xxxxxx xxxx,
x) serverů a xxxxxxxxx xxxxxxxx xxxxxxx x
x) pracovních stanic,
přičemž xxxxxxx xxxxxxxxxxx a xxxxxxx aktualizaci xxxxxxxx xxx xxxxxxx před xxxxxxxxx kódem, jeho xxxxxxx x xxxxxxxx.
§21
Xxxxxxx pro xxxxxxxxxxxxx xxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x významných xxxxxxxxxxxx xxxxxxx, xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury x xxxxxxxxxx informačního systému, xxxxx xxxxxxx
x) xxxx xxxxxxxxx x xxxxxxxxxx x xxxxxxxxxxxxxx činnostech, xxxxxxx xxx činnosti, xxxxx x xxx, xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, xxxxx činnost xxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx a xxxxx činnosti a xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx x
x) ochranu xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxx xxxxxx xxxx xxxxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) xx x) zákona xxxx xxxxxx xxxxxxxx xxx xxxxxxxxxxxxx činnosti xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému zaznamenává
a) xxxxxxxxxx x xxxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
x) xxxxxxxx provedené xxxxxxxxxxxxxx,
x) xxxxxxxx vedoucí ke xxxxx přístupových oprávnění,
d) xxxxxxxxxxx xxxxxxxx v xxxxxxxx nedostatku xxxxxxxxxxxx xxxxxxxxx a další xxxxxxxxx činnosti xxxxxxxxx,
x) xxxxxxxx x ukončení xxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a významného xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxx xxxx xxxxxxx xxxxxxx xxxxxxxxxxx aktiv,
g) xxxxxxxx k záznamům x xxxxxxxxxx, xxxxxx x xxxxxxxxxx xx xxxxxxx x xxxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx a
h) xxxxxxx xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxx xxxxxx xxxxx xxxxx, které slouží x xxxxxxxxxx.
(3) Orgán x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx záznamy xxxxxxxx xxxxxxxxxxx xxxxx odstavce 2 xxxxxxxx xxxxxxx xx dobu 3 xxxxxx.
(4) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona xxxxxxxxx nejméně xxxxxx xx 24 xxxxx xxxxxxxxxxxxx jednotného xxxxxxxxxxx xxxx technických xxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
§22
Nástroj xxx detekci xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
(1) Xxxxx x osoba xxxxxxx v §3 xxxx. c) xx x) xxxxxx xxxxxxx xxxxxxx pro detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx xx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx x xxxxx xxxxxxx xxxxxxx, xxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxx mezi vnitřní xxxxxxxxxxx sítí x xxxxxx xxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) a d) xxxxxx xxxx xxxxxxx xxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx xxxxxxx, xxxxxxxx x případně xxxxxxxxxxx komunikace
a) v xxxxx xxxxxxx komunikační xxxx x
x) xxxxxxx xxxxxxxxx xx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§23
Nástroj pro xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxxxxxx xxxxxxx xxx xxxx a xxxxxxxx vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, který x xxxxxxx s xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxxxx
x) integrovaný xxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x informačním xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo komunikačním xxxxxxx krit x xxxxxxxxxx xxxxxxxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí s xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů, xxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x d) xxxxxx dále xxxxxxx
x) xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí x včasné xxxxxxxx, xxx xxxx xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx nebo xxxxxxx xxxxxxxxx varování, x
x) xxxxxxxxx xxxxxxxxx, které xxxx xxxxxxxxxx xxxxxxxxx xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§24
Xxxxxxxxx xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx provádí xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx aplikací, xxxxx jsou xxxxxxxxx x xxxxxx xxxx, x xx xxxx xxxxxx xxxxxxxx xx xxxxxxx x xx xxxxx xxxxxxx změně xxxxxxxxxxxxxx xxxxxxxxxx.
(2) Orgán x osoba uvedená x §3 písm. x) x x) xxxxxx dále v xxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx trvalou ochranu
a) xxxxxxxx x xxxxxxxxx xxxxxxxxxx x xxxxxx xxxx před xxxxxxxxxxxx xxxxxxxx, popřením xxxxxxxxxxx xxxxxxxx, xxxxxxxxxxxx nebo xxxxxxxxxxxxxxx změnou x
x) xxxxxxxxx xxxx xxxxxx xxxxxxxxxxxx, nesprávným xxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx obsahu, xxxxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxxxxxxxx nebo xxxxxxxxxx.
§25
Kryptografické xxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx
x) xxx používání xxxxxxxxxxxxxx xxxxxxx stanoví
1. xxxxxx xxxxxxx x xxxxxxx na xxx x sílu xxxxxxxxxxxxxxxx xxxxxxxxx x
2. xxxxxxxx xxxxxxxxxxxxxx ochrany informací xxx přenosu xx xxxxxxxxxxxxx xxxxxx xxxx xxx xxxxxxx xx xxxxxxx xxxxxxxx nebo xxxxxxxxxxx xxxxxxxxx xxxxxx xxx a
b) x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx prostředky, xxxxx xxxxxxx xxxxxxx xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx ukládaných xxx x průkaznou xxxxxxxxxxxx xxxxx za xxxxxxxxx xxxxxxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx xxxx
x) xxxxxxx pro xxxxxxxxx kryptografických xxxxxxxxxx xxxxxx xxxxxx xxxxx, xxxxx zajistí xxxxxxxxxx, xxxxxxxxxx, xxxxxxxx, archivaci, xxxxx, ničení, xxxxxxxx x xxxxx klíčů, x
x) xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxx; v xxxxxxx nesouladu x xxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx algoritmy uvedenými x příloze č. 3 x xxxx xxxxxxxx řídí xxxxxx spojená s xxxxx xxxxxxxxxx.
§26
Xxxxxxx xxx xxxxxxxxxxx xxxxxx dostupnosti
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx e) xxxxxx x souladu x xxxxxxxxxxxxxx potřebami x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxx xxxxxxxxxxx úrovně xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxxxxx xxxxxxx xxx zajišťování xxxxxx xxxxxxxxxxx informací, xxxxx xxxxxxx
x) dostupnost informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx pro splnění xxxx xxxxxx xxxxxxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentům, xxxxx xx mohly snížit xxxxxxxxxx, x
x) zálohování xxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx
1. využitím xxxxxxxxxx x xxxxxx xxxxxx a
2. zajištěním xxxxxxxxxx technických aktiv x určeném xxxx.
§27
Xxxxxxxxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxx
Xxxxx a xxxxx xxxxxxx v §3 xxxx. c) x d) xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx x řídicích xxxxxxx, xxxxx xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx komunikačním xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxxx jsou xxxxxx xxxxxxxx, xxxxxxx xxxxxxxx, které zajistí
a) xxxxxxx xxxxxxxxx přístupu x xxxx x xxxxxxxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxx x síti xxxxxxxxxxxx a xxxxxxxx xxxxxxx,
x) xxxxxxx jednotlivých xxxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxx systémů po xxxxxxxxxxxxx bezpečnostním xxxxxxxxx.
HLAVA XXX
XXXXXXXXXXXX DOKUMENTACE
§28
Bezpečnostní xxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx xxxx x aktualizuje xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxx xxxxx §5 xxxx. 1,
x) zprávy x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §3 odst. 1 xxxx. x),
x) xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx §3 xxxx. 1 xxxx. x),
x) metodiku pro xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx,
x) zprávu o xxxxxxxxx xxxxx x xxxxx,
x) prohlášení o xxxxxxxxxxxxxxxx,
x) xxxx zvládání xxxxx,
x) xxxx xxxxxxx xxxxxxxxxxxxxx povědomí xxxxx §9 xxxx. 1 xxxx. a),
i) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. x),
x) xxxxxxxxx řízení xxxxxxxxxx xxxxxxxx xxxxx §14 odst. 1 xxxx. x) x
x) xxxxxxx právních xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx předpisů a xxxxxxxxx xxxxxxx podle §15 xxxx. 1 xxxx. a).
(2) Xxxxx x osoba uvedená x §3 xxxx. x) xxxxxx xxxx x xxxxxxxxxxx bezpečnostní xxxxxxxxxxx, která obsahuje
a) xxxxxxxxxxxx politiku podle §5 xxxx. 2,
x) xxxxxxxx pro identifikaci x hodnocení xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxx §4 odst. 2 písm. x),
x) xxxxxx x xxxxxxxxx xxxxx x xxxxx xxxxx §4 xxxx. 2 xxxx. x) x x),
x) xxxxxxxxxx x aplikovatelnosti podle §4 odst. 2 xxxx. x),
x) xxxx xxxxxxxx rizik podle §4 odst. 2 xxxx. x),
x) plán xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 písm. x),
x) xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xxxxx §13 xxxx. x),
x) strategii xxxxxx kontinuity xxxxxxxx xxxxx §14 xxxx. 1 písm. c) x
x) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x jiných xxxxxxxx x xxxxxxxxx xxxxxxx xxxxx §15 xxxx. 1 xxxx. x).
(3) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona xxxx xxxxxxxxxxxx dokumentaci tak, xxx xxxxxxx x xxxxxxxxxxx činnostech xxxx xxxxx, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx a aby xx xxxx snadno xxxxxxxx. Xxxxxxxx potřebná x xxxxxxxxxxxx, uložení, xxxxxxx, vyhledání, době xxxxxxxxx x uspořádání xxxxxxx x xxxxxxxxxxx xxxxxxxxxx dokumentuje.
(4) Doporučená xxxxxxxxx bezpečnostní dokumentace xx xxxxxxxxx v příloze č. 4 x xxxx xxxxxxxx.
§29
Prokázání xxxxxxxxxxx
Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona, xxxxx xxxxxxxxxx systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxx informační systém xx xxxxx xxxxxxx xx rozsahu xxxxxxx xxxxxx xxxxxxxxxxx informací, xxxxx xxx xxxxxxxxxxxx xxxxx xxxxxxxxx technické xxxxx1) akreditovaným certifikačním xxxxxxx, x xxxxx xxxx xxxxxxxxx obsahující
a) xxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací,
b) xxxxxxxxxx politiky a xxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxx a xxxxxx x xxxxxxxxx rizik,
d) xxxxxxxxxx x xxxxxxxxxxxxxxxx,
x) xxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx splňující xxxxxxxxx příslušné xxxxxxxxx xxxxx xxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxx1),
x) záznam x přezkoumání systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx souvisejících xxxxxx x xxxxxxx xxxxxxxxxxx x
x) xxxxxx z xxxxxx provedených xxxxxxxxxxxxx xxxxxxx včetně příslušných xxxxxxx x nápravě xxxxxxxxxx xxxxxx s xxxxxxxxxx xxxxxx,
xxxxxxx xxxxxxxxx xx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx zákona x xxxx xxxxxxxx.
XXXX TŘETÍ
KYBERNETICKÝ XXXXXXXXXXXX XXXXXXXX
§30
Xxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Podle xxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobený xxxxxxxxxxxxx xxxxxx xxxx xxxxx xxxxxxxx xxxxxxx x průniku xx xxxxxxx xxxx x xxxxxxx dostupnosti xxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx překonáním technických xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx porušením xxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx x projevem xxxxxx xxxxxxxxxx xxxxxx x
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx způsobené xxxxxxxxxxxxx xxxxxx.
(2) Podle xxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobující xxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx,
x) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx v xxxxxxxxx x) až x).
§31
Xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Xxx xxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx se xxxxx xxxxxxxx a negativních xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxx xx xxxxxxxxxxxxx kategorií
a) Kategorie XXX - xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, při kterém xx xxxxx x xxxxxxxx xxxxxxxx bezpečnost xxxxxxxxxxxxx služeb xxxx xxxxx. Jeho xxxxxx xxxxxxxx neprodlené xxxxxx xxxxxxx s xxx, xx xxxx xxx xxxxx xxxxxxxxxx prostředky xxxxxxxxx dalšímu xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx škod.
b) Xxxxxxxxx II - xxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, při xxxxxx xx narušena bezpečnost xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx řešení xxxxxxxx xxxxxxxxxx zásahy xxxxxxx x tím, xx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
x) Xxxxxxxxx X - méně xxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, při kterém xxxxxxx k xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx služeb xxxx xxxxx. Xxxx řešení xxxxxxxx xxxxxx xxxxxxx x xxx, xx xxxx xxx vhodnými xxxxxxxxxx xxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xxxxx xxxxxxxx 1 zohlední
a) xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného informačního xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxx významného xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačními xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x
x) xxxxxxxxxxxxx škody x xxxxx xxxxxx.
§32
Xxxxx x xxxxxxxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx a xxxxx uvedená v §3 písm. c) xx x) xxxxxx xxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx
x) v elektronické xxxxxx xxxxxxxxxxxxxxx
1. xxxxxxxxxxxxxx xxxxxxxxx zveřejněného na xxxxxxxxxxxxx stránkách Xxxxx,
2. xxxxxx xx adresu xxxxxxxxxxxx xxxxx Xxxxx xxxxxx xxx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, zveřejněné xx xxxxxxxxxxxxx stránkách Xxxxx,
3. xxxxxx xxxxxx do xxxxxx schránky Xxxxx, xxxx
4. xxxxxxxxxxxxxxx určeného xxxxxxxx rozhraní, jehož xxxxx je xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx, xxxxx
x) x xxxxxxxx xxxxxx xx xxxxxx Xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti, zveřejněné xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Hlášení x xxxxxxxx xxxxxx xx xxxxxx xxxxx x xxxxxxxxx, xxx xxxxx xxxxxx xxxxx xx xxxxxxx xxxxxxxxx x xxxxxxxx 1 písm. x).
(3) Xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx uvedeny x příloze č. 5 x xxxx xxxxxxxx.
XXXX XXXXXX
XXXXXXXXX XXXXXXXX X XXXXXXXXX XXXXX
§33
Xxxxxxxxx xxxxxxxx
Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxxxx xxxxxxxxx reaktivního xxxxxxxx x jeho výsledek xx xxxxxxxxx, xxxxx xxxx je uveden x příloze č. 6 x xxxx xxxxxxxx.
§34
Xxxxxxxxx xxxxx
Xxxxx a xxxxx xxxxxxx x §3 xxxxxx xxxxxxxx xxxxxxxxx údaje na xxxxxxxxx, xxxxx vzor xx uveden x příloze č. 7 x této xxxxxxxx. Xxxxx x xxxxx uvedená x §3 písm. x) xx x) xxxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxx v §32 odst. 1 xxxx. x).
ČÁST XXXX
XXXXXXXX
§35
Xxxx xxxxxxxx xxxxxx xxxxxxxxx xxxx 1. xxxxx 2015.
Xxxxxxx:
Xxx. Xxxxxxxx x. x.
Xxxxxxx x. 1 x vyhlášce č. 316/2014 Sb.
Hodnocení x xxxxxx xxxxxxxxxxx xxxxx
Xxx xxxxxxxxx důležitosti aktiv xxxx použity xxxxxxxx x čtyřech xxxxxxxx. Xxxxx xxxx xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona xxxx xxxxxxxx odlišný xxxxx xxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxx xxxx xx xxxxxx x xxxx příloze, xxxxxx-xx jednoznačné xxxxx xxxx xx používaným xxxxxxxx xxxxxxxxx důležitosti xxxxx x xxxxxxxxxx x xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx xxxx uvedeny x této xxxxxxx.
X xxxxxxx xxxxxxx xxx xxxxxx hodnocení důležitosti xxxxx xx xxxxxxxxx xxxxxxx buď xxxxxx xxxxx x xxxxxxx, xxxx xxxxxx xxxxxx x kritická.
Stupnice pro xxxxxxxxx důvěrnosti
|
Úroveň |
Popis |
Ochrana |
|
Nízká |
Aktiva jsou xxxxxxx xxxxxxxxx xxxx xxxx xxxxxx ke xxxxxxxxxx (xxxx. xx xxxxxxx xxxxxx č. 106/1999 Sb., x xxxxxxxxx xxxxxxxx x xxxxxxxxxx, xx xxxxx pozdějších předpisů). Xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx a xxxxx xxxxxxx v §3 xxxx. c) xx x) zákona. |
Není vyžadována xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx x xxxxx xxxx-xxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx, xxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxx předpisem xxxx xxxxxxxx ujednáním. |
Pro xxxxxxx xxxxxxxxxx jsou xxxxxxxxx xxxxxxxxxx xxx xxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x jejich xxxxxxx je xxxxxxxxxx xxxxxxxx předpisy, xxxxxx xxxxxxxx nebo xxxxxxxxx xxxxxxxxxx (např. xxxxxxxx xxxxxxxxx podle xxxxxx č. 89/2012 Sb., xxxxxxxx zákoník, xxxxxx údaje podle xxxxxx č. 101/2000 Sb., x xxxxxxx xxxxxxxx xxxxx, xx znění xxxxxxxxxx xxxxxxxx). |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxx x xxxxxxxxxxxxx přístupu. Xxxxxxx xxxxxxxxx vnější xxxxxxxxxxx xxxx xxxx xxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx nejsou veřejně xxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxx ochrany xxx rámec xxxxxxxxx xxxxxxxxx (xxxx. xxxxxxxxxxx xxxxxxxx tajemství, xxxxxxx xxxxxx xxxxx). |
Xxx ochranu xxxxxxxxxx je xxxxxxxxxx xxxxxxxx xxxx, xxxxx x xxxxxxx přistoupily, x xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xx xxxxxx xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx jsou xxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxxxxxxx pro hodnocení xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx nevyžaduje xxxxxxx x xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx xxxxxxxxx ochranu z xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx xxxxxx xxxx xxxx x poškození xxxxxxxxxxx xxxxx xxxxxx x xxxxx uvedené v §3 písm. x) xx e) zákona x xxxx se xxxxxxxx xxxx xxxxxxxxx xxxxxx na xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx standardní xxxxxxxx (xxxx. xxxxxxx xxxxxxxxxxxx práv xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx vyžaduje xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity aktiva xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx x xxxxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx historii provedených xxxx x xxxxxxxxxx xxxxxxxx xxxxx provádějící xxxxx. Xxxxxxx integrity xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxx xx zajištěna pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx vyžaduje xxxxxxx x xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx xxxx k xxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx a xxxxx uvedené x §3 písm. x) xx x) zákona x xxxxxxx a xxxxx vážnými xxxxxx xx xxxxxxxx aktiva. |
Pro xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx prostředky xxxxxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (xxxx. xxxxxx xxxxxxxxxxx xxxxxxxxxxx podpisu). |
Stupnice xxx xxxxxxxxx dostupnosti
|
Úroveň |
Popis |
Ochrana |
|
Nízká |
Narušení xxxxxxxxxxx aktiva xxxx xxxxxxxx a v xxxxxxx xxxxxxx je xxxxx tolerováno xxxxx xxxxxx období pro xxxxxxx (xxx do 1 xxxxx). |
Xxx ochranu xxxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx nemělo xxxxxxxxx xxxx pracovního xxx, dlouhodobější xxxxxxx xxxx x možnému xxxxxxxx xxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) až x) xxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx běžné xxxxxx xxxxxxxxxx a xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxx. Xxxxxxxx xxxxxxx xx xxxxx xxxxx xxxxxxxxxx, xxxxxxx xxxx x přímému xxxxxxxx xxxxx xxxxxx x osoby uvedené x §3 xxxx. x) až e) xxxxxx. Xxxxxx xxxx xxxxxxxxxx xxxx velmi xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx xxxxxxx x obnova xxxxxxxxxxx xxxxxx může xxx xxxxxxxxx xxxxxx xxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx dostupnosti xxxxxx xxxx přípustné x x xxxxxxxxxx xxxxxxxxxxxx (x xxxx xxxxxxxx xxxxx) xxxx k xxxxxxx xxxxxxxx xxxxx xxxxxx x xxxxx uvedené x §3 písm. x) až e) xxxxxx. Xxxxxx xxxx xxxxxxxxxx xxxx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx xxxxxxx xxxxxxx x obnova xxxxxxxxxxx xxxxxx xx krátkodobá x automatizovaná. |
Příloha x. 2 x vyhlášce č. 316/2014 Xx.
Xxxxxxxxx rizik
Hodnocení xxxxx xx xxxxxxxxx xxxx funkce, xxxxxx xxxxxxxxx dopad, xxxxxx x zranitelnost.
Pro hodnocení xxxxx lze použít xxxxxxx xxxx funkci
riziko = dopad x xxxxxx x zranitelnost.
Jednoznačné xxxxxx xxxxxx pro xxxxxx xxxxxx xx xxxxxxxxx součástí metodiky xxx identifikaci a xxxxxxxxx rizika
|
Stupnice pro xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxx xx x omezeném xxxxxxx xxxxxx a xxxxxx xxxxxxx x xxxxx xxx katastrofický. Rozsah xxxxxxxxxx xxxx xxxxxxxxxxx x) 10 xxxxxxxxx osob x xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx než 24 xxxxx nebo b) xxxxxxxx xxxx xxxxxxxxxx xxxxxx do 5 000 000 Xx anebo c) představuje xxxxx xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx služeb xxxx xxxxxx xxxxxxxxx xxxxxx xx každodenního života xxxxxxxxxxxxx xxxxxxx 250 xxxx. |
|
Xxxxxxx |
Xxxxx xx omezeného xxxxxxx x v xxxxxxxx xxxxxxx období. Rozsah xxxxxxxxxx škod xx xxxxxxxx x rozmezí a) xx 10 mrtvých xxxx xx 11 xx 100 osob x následnou hospitalizací xx dobu xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xx 5&xxxx;000&xxxx;000 Xx do 50&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx od 251 do 2&xxxx;500 xxxx. |
|
Xxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx, ale xxxxxx xxxx katastrofický. Rozsah případných xxxx xx xxxxxxxx x rozmezí a) xx 11 xx 100 xxxxxxx nebo od 101 xx 1 000 xxxx s xxxxxxxxx xxxxxxxxxxxxx po xxxx xxxxx xxx 24 hodin xxxx x) xxxxxxxx xxxx materiální xxxxxx xx 50&xxxx;000&xxxx;000 Xx xx 500&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx veřejnost x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xx 2&xxxx;501 xx 25&xxxx;000 osob. |
|
Kritický |
Dopad xx xxxxxx xxxxxxxx, xxxxxx a katastrofický. Rozsah xxxxxxxxxx škod se xxxxxxxx x xxxxxxx x) 10 x více xxxxxxx x 1 001 a xxxx xxxx x xxxxxxxxx xxxxxxxxxxxxx xx dobu xxxxx než 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxxxxxx 500&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx dopad xx xxxxxxxxx s xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx jiného xxxxxxxxx xxxxxx xx xxxxxxxxxxxx života xxxxxxxxxxxxx xxxx xxx 25&xxxx;000 xxxx. |
|
Xxxxxxxx pro xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx xxxx xx xxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx hrozby xxxx častější než xxxxxx za 5 xxx. |
|
Xxxxxxx |
Xxxxxx je xxxx xxxxxxxxxxxxx xx pravděpodobná. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx v rozpětí xx 1 roku xx 5 xxx. |
|
Xxxxxx |
Xxxxxx xx pravděpodobná xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx hrozby je x xxxxxxx od 1 xxxxxx do 1 roku. |
|
Kritická |
Hrozba xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. Xxxxxxxxxxxxx xxxxxxxxx hrozby xx xxxxxxxx xxx xxxxxx xx xxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx neexistuje xxxx xx xxxxxxxx xxxxxxxxxxxxx xxxx pravděpodobné. Xxxxxxxx kvalitní xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxx xxxx detekovat xxxxx xxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxxxxxx je xxxx xxxxxxxxxxxxx až xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxxxxx je pravidelně xxxxxxxxxxxx. Schopnost bezpečnostních xxxxxxxx včas xxxxxxxxx xxxxx slabiny xxxx xxxxxxxx xxxxxx o xxxxxxxxx opatření je xxxxxxx. Nejsou xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx xx xxxxxxxxxxxxx xx velmi pravděpodobná. Xxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx x xxxx xxxxxxxxxx kontrolována. Xxxx xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx xx xx víceméně xxxxx xxxxxxxx. Bezpečnostní opatření xxxxxx xxxxxxxxxxx anebo xx xxxxxx xxxxxxxx xxxxxx omezena. Xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Xxxx xxxxx xxxxxxx pokusy překonání xxxxxxxxxxxxxx opatření. |
|
Stupnice xxx xxxxxxxxx rizik |
|
|
Úroveň |
Popis |
|
Nízké |
Riziko je xxxxxxxxxx za xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx xxxxxxx xxxx xxxxxxxxx opatřeními xxxx x xxxxxxx xxxxx xxxxxxxxxx opatření xx riziko xxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx dlouhodobě xxxxxxxxxxx x xxxx xxx xxxxxxxx systematické xxxxx x xxxx odstranění. |
|
Kritické |
Riziko xx xxxxxxxxxxx x xxxx xxx xxxxxxxxxx xxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
X xxxxxxx, xx xxxxx nebo xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxxxxx xxxxxx pro xxxxxxxxxxxx x xxxxxxxxx xxxxx, xxxxx nerozlišuje xxxxxxxxx hrozby a xxxxxxxxxxxxx, xx možné xxxxxxxx pro xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxx xx nemělo vést xx ztrátě xxxxxxxxxx xxxxxxxxx míry hrozby x xxxxxxxxxxxxx. Xx xxxxx xxxxxx lze xxxxxx xxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxx úroveň hrozby, xxx i xxxxxx xxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx x xxxxx xxxx xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx, xxxxx xxxxxxx jiný xxxxx xxxxxx pro xxxxxxxxx xxxxxx, xxxxxx, xxxxxxxxxxxxx x xxxxx.
Xxxxxxx x. 3 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx algoritmy
a) Xxxxxxx x xxxxxxxx xxxxx xxx xxxxxxx důvěrnosti x xxxxxxxxx
1. Xxxxxxxx Xxxxxxxxxx Xxxxxxxx (XXX) x xxxxxxxx xxxxx xxxxx 128, 192 x 256 xxxx Xxxxxx Xxxx Xxxxxxxxxx Xxxxxxxx (3XXX) x xxxxxxxx xxxxx xxxxx 168 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 GB, xxxxxxxx přecházet xx XXX.
2. Xxxxxx Xxxx Xxxxxxxxxx Xxxxxxxx (3XXX) x xxxxxxxx délky xxxxx 112 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX, postupně xxxxxxxxx xx AES. Doporučeno xxxxxxx xxxxxxxxxxx klíče xxx každou zprávu.
3. Xxxxxxxx x xxxxxxxx xxxxxxxxx délky xxxxx 128 bitů, xxxxxxx xxxxxxx jen xx xxxxxxxxx xxxxx xxxxxx xxx 10 GB.
4. Xxxxxx x využitím xxxxx klíčů 128 xxxx, xxxxxxx xxxxxxx xxx se xxxxxxxxx xxxxx xxxxxx než 10 XX.
5. Xxxxxxx x xxxxxxxx xxxxx xxxxx 128 xx 256 bitů.
6. Xxxxxxx x využitím délky xxxxx 128, 192, 256 xxxx.
7. Xxxxxxxx x využitím xxxxx xxxxx 128, 192 x 256 bitů.
8. XXXX 2.0, XXXX 3X x xxxxxxxx xxxxx xxxxx 128, 256 xxxx.
x) Módy xxxxxxxxx x xxxxxxxx xxxxxxxxx
1. XXX,
2. XXX,
3. XXX,
4. Xxxxxxx schémata xxxx "Encrypt-then-MAC".
Poznámka:
Schémata xxxx "Xxxxxxx-xxxx-XXX",xxxx xxxxxxxx x xxxxxxxxx pouze xxxxxxx xxxxxxxxx módy a x xxxxxxx XXX xxxxx xxxxxxx xxxx xxx xxxxxxx integrity.
c) Xxxx šifrování
1. XXX,
2. XXX,
3. CBC,
4. XXX,
Xxxxxxxx:
Xxxx XXX x XXX xxxx xxx použity x xxxxxxxx, xxx xxxxxxxx nepředpověditelným xxxxxxxxxxxxxx xxxxxxxx, při xxxxxxx xxxx XXX xx xxx daný xxxx xxxxx xxxxxxxx hodnota xxxxxxxxxxxxxxx vektoru, xxx xxxxxxx módu XXX xx pro xxxx xxxx nesmí xxxxxxxx xxxxxxx xxxxxx, v xxxxxxx xxxxxxx XXX xxxx x xxxxxxxxx xxx ochrany integrity xx xxxxx xxxxxx xxxxxxxx xxxxx xxxxx xx xxxxxxx XXX xxxx.
x) Módy pro xxxxxxx integrity
1. XXXX,
2. XXX-XXX-X9.19, omezené xxxxxxx xxx se zatížením xxxxxx xxx 109 XXX,
3. XXX-XXX-XXXX,
4. XXXX.
(2) Xxxxxxxxxxx xxxxxxxxx
x) Pro xxxxxxxxxxx xxxxxxxxxxx xxxxxxx
1. Xxxxxxx Xxxxxxxxx Algorithm (XXX) x xxxxxxxx xxxxx xxxxx 2048 xxxx x xxxx, xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx 224 xxxx x xxxx.
2. Elliptic Xxxxx Xxxxxxx Signature Xxxxxxxxx (XX-XXX) s xxxxxxxx délky xxxxx 224 bitů x xxxx.
3. Xxxxxx-Xxxxxx-Xxxxxxx Xxxxxxxxxxxx Xxxxxxxxx Scheme (XXX-XXX) x využitím xxxxx xxxxx 2048 bitů x xxxx.
x) Xxx xxxxxxx xxxxx xx xxxxx a xxxxxxxxx xxxxx
1. Xxxxxx-Xxxxxxx (XX) x xxxxxxxx xxxxx xxxxx 2048 xxxx x xxxx, xxxxx xxxxxxxxx xxxxxxx xxxxxxxx 224 bitů x xxxx.
2. Xxxxxxxx Curve Xxxxxx-Xxxxxxx (ECDH) x xxxxxxxx xxxxx xxxxx 224 xxxx x xxxx.
3. Xxxxxxxx Xxxxx Xxxxxxxxxx Xxxxxxxxxx Xxxxxx - Key Encapculation Xxxxxxxxx (ECIES-KEM) x xxxxxxxx xxxxx xxxxx 256 xxxx x xxxx.
4. Xxxxxxxx Xxxxxx Xxxxxxxx Xxxxx - Xxx Xxxxxxxxxxxxx Mechanism (XXXX-XXX) s xxxxxxxx xxxxx klíčů 256 xxxx xxxx.
5. Xxxxxxxxx Xxxxxxx xxx Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) x xxxxxxxx xxxxx xxxxx 256 xxxx x xxxx.
6. Xxxxxx Xxxxxx Xxxxxxx - Xxxxxxx Xxxxxxxxx Encryption Xxxxxxx (RSA-OAEP) x xxxxxxxx xxxxx xxxxx 2048 x xxxx.
7. Xxxxxx Shamir Xxxxxxx - Key Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) s xxxxxxxx délky xxxxx 2048 x xxxx.
(3) Xxxxxxxxx hash xxxxxx
x) XXX-2
1. XXX-224,
2. XXX-256,
3. XXX-384,
4. XXX-512,
5. XXX-512/224,
6. XXX-512/256.
x) XXX-3
1. SHA3-224,
2. XXX3-256,
3. XXX3-384,
4. XXX3-512,
5. XXXXX-128,
6. SHAKE-256.
c) Xxxxxxx xxxxxxxx xxxxxx
1. Xxxxxxxx,
2. XXXXXX-160,
3. SHA 1 x omezeným xxxxxxxx.
Xxxxxxxx x. 1:
XXX-1 xx xxxxx xxxxxxxx xxx xxxxxxxxxx nových digitálních xxxxxxx, časových razítek, xxxxxxxxx jiné aplikace xxxxxxxxxx xxxxxxxxx XXX-1.
Xxxxxxxx x. 2:
SHA-1 lze xxxxxxxx xxxxx xxx xxxxxxxxx již existujících xxxxxxxxxxx xxxxxxx a xxxxxxxx razítek, xxxxxxxxxx x xxxxxxxxx XXXX-XXX1, xxxxxx pro xxxxxxxxxx xxxxx a xxxxxxxxxxxxx xxxxxxxxxx.
Příloha x. 4 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
Xxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx. Navrhované struktury xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx, která jednotlivé xxxxxxxxx xxxxx xxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx a xx xx orgánu xxxx osobě xxxxxxx x §3 písm. x) xx x) xxxxxx, xxxx přístup x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx použije. Xxxxxxxxx xx i xxxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxx xxxx xxxxx xx xxxxxxx xxxxxxxxx.
X. Struktura xxxxxxxxxxxx xxxxxxxx
(1) Xxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx*
[§5 xxxx. 1 písm. x), §5 odst. 2 xxxx. x)]
x) Xxxx, xxxxxxxx x xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Rozsah x xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxx xxxxxxxxxxx.
x) Pravidla x xxxxxxx pro xxxxxx zdrojů x xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxx auditů kybernetické xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxx xxxxxxxx a xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Politika xxxxxxxxxxx xxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx bezpečnostních xxxx a jejich xxxx x xxxxxxxxxx,
1. xxxxx a xxxxxxxxxx xxxxxxxx kybernetické xxxxxxxxxxx,
2. xxxxx x povinnosti xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
3. xxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
4. xxxxx x povinnosti xxxxxxx aktiv,
5. práva x povinnosti výboru xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx bezpečnostních xxxx.
(3) Xxxxxxxx xxxxxx xxxxxxxxxx**
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx a xxxxxxxx xxx výběr xxxxxxxxxx.
x) Xxxxxxxx xxx hodnocení xxxxx xxxxxxxxxx.
x) Xxxxxxxxxxx xxxxxxx x úrovni xxxxxx a způsobů x xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx x x xxxxxx xxxxxxxx xxxxxxx odpovědnosti.
d) Pravidla xxx xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx.
(4) Xxxxxxxx klasifikace xxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Identifikace, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x xxxxxxxx jednotlivých primárních xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. hodnocení xxxxxxxxxxx primárních aktiv x hlediska xxxxxxxxxx, xxxxxxxxx a dostupnosti.
b) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx aktiv
1. xxxxxx x evidence xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. určení vazeb xxxx xxxxxxxxxx a xxxxxxxxxx xxxxxx.
x) Pravidla xxxxxxx xxxxxxxxxxxx úrovní xxxxx
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx pro xxxxxxxxxx x evidenci aktiv xxxxx xxxxxx aktiv,
3. xxxxxxxxx způsoby xxxxxxxxx xxxxx.
x) Xxxxxxx spolehlivého xxxxxxx xxxx xxxxxx xxxxxxxxxxx nosičů xxx.
(5) Xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx rozvoje xxxxxxxxxxxxxx povědomí a xxxxxxx xxxx hodnocení
1. xxxxxxx a xxxxx xxxxxxx xxxxxxxxx,
2. xxxxxxx x xxxxx xxxxxxx xxxxxxx aktiv,
3. xxxxxxx x xxxxx poučení xxxxxxxxxxxxxx,
4. způsoby x xxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Pravidla xxx xxxxxx případů xxxxxxxx bezpečnostní xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla xxx xxxxxxxx pracovního vztahu xxxx xxxxx xxxxxxxx xxxxxx.
1. xxxxxxx svěřených xxxxx x xxxxxxxx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxx,
2. změna xxxxxxxxxxxx oprávnění při xxxxx pracovní xxxxxx.
(6) Xxxxxxxx xxxxxx provozu x xxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. x)]
x) Pravomoci x xxxxxxxxxxxx xxxxxxx x bezpečným xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx a xxxxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx.
x) Pravidla x xxxxxxx pro xxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx x bezpečnostních xxxxx.
(7) Xxxxxxxx xxxxxx xxxxxxxx**
[§5 odst. 1 xxxx. g), §5 xxxx. 2 xxxx. x)]
x) Princip xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (need xx know).
b) Požadavky xx xxxxxx xxxxxxxx.
x) Xxxxxxx cyklus xxxxxx xxxxxxxx.
x) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.
x) Řízení xxxxxxxx xxx xxxxxxxxx situace.
f) Xxxxxxxxxx přezkoumání xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx uživatelů v xxxxxxxxxxxx skupinách.
(8) Politika xxxxxxxxxx xxxxxxx uživatelů*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. h)]
a) Xxxxxxxx pro bezpečné xxxxxxxxx x aktivy.
b) Xxxxxxxx použití přístupového xxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx x xxxxxxxx xx xxxxxxxx.
x) Xxxxxxxx vzdálený xxxxxxx.
x) Xxxxxxxx xxxxxxx xx xxxxxxxxxx sítích.
f) Xxxxxxxxxx xx vztahu k xxxxxxxx xxxxxxxxx.
(9) Xxxxxxxx xxxxxxxxxx a xxxxxx**
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. i)]
a) Xxxxxxxxx na xxxxxxxxxx x obnovu.
b) Xxxxxxxx x xxxxxxx zálohování.
c) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx.
x) Pravidla x xxxxxxx xxxxxx.
x) Xxxxxxxx x postupy xxxxxxxxx xxxxxxxxxx a xxxxxx.
(10) Xxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxxxx informací.
b) Xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(11) Xxxxxxxx xxxxxx technických xxxxxxxxxxxxx**
[§5 xxxx. 1 xxxx. k)]
a) Xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx vybavení,
b) Xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx programového xxxxxxxx,
x) Xxxxxxxx x xxxxxxx nasazení oprav xxxxxxxxxxxx vybavení.
(12) Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx*
[§5 xxxx. 1 xxxx. 1)]
a) Xxxxxxxx x postupy pro xxxxxxxx xxxxxxxxx mobilních xxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, kterými xxxxx x osoba xxxxxxx v §3 xxxx. x) x x) zákona nedisponuje.
(13) Xxxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx a informací*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x postupy xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
(14) Xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx informací*
[§5 xxxx. x xxxx. x)]
x) Xxxxxxxx a xxxxxxx xxxxxxxxx dokumentů x xxxxxxx.
x) Xxxxxxx xxxxxxxxxxxxx xxxxxxxxx a záznamů.
c) Xxxxxxxx xxxxxxxx k xxxxxxxxxxxx dokumentům x xxxxxxxx.
(15) Politika ochrany xxxxxxxx xxxxx*
[§5 odst. x xxxx. o), §5 odst. 2 xxxx. k)]
a) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx a xxxxxxxxxxx organizačních xxxxxxxx xxx ochranu xxxxxxxx xxxxx.
x) Xxxxx přijatých x provedených technických xxxxxxxx pro ochranu xxxxxxxx xxxxx.
(16) Xxxxxxxx xxxxxxx bezpečnosti**
[§5 odst. x xxxx. x)]
x) Xxxxxxxx pro ochranu xxxxxxx.
x) Xxxxxxxx pro xxxxxxxx xxxxxx osob.
c) Xxxxxxxx xxx xxxxxxx xxxxxxxx.
x) Detekce xxxxxxxx xxxxxxx bezpečnosti.
(17) Politika xxxxxxxxxxx xxxxxxxxxxx sítě**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxx zajištění xxxxxxxxxxx sítě.
b) Určení xxxx x xxxxxxxxxx xx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxxx x xxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx ochranu xxxxxxxxxx přístupu x xxxx.
x) Xxxxxxxx a xxxxxxx pro monitorování xxxx a xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.
(18) Politika xxxxxxx xxxx xxxxxxxxx xxxxx*
[§5 xxxx. l xxxx. r), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx a xxxxxxx xxx ochranu xxxxxxxxxx xxxx xxxxxxx x vnější xxxx.
x) Xxxxxxxx x postupy xxx xxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxx.
(19) Xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx xxx detekci xxxxxxxxxxxxxx bezpečnostních událostí**
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxx kybernetických bezpečnostních xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx xxxxxxxxxxxxx x xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x postupy xxx optimalizaci nastavení xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(20) Xxxxxxxx xxxxxxx x xxxxxx nástroje xxx xxxx x vyhodnocení xxxxxxxxxxxxxx bezpečnostních xxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla x xxxxxxx pro xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
b) Pravidla x xxxxxxx pravidelné xxxxxxxxxxx pravidel xxx xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxx xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(21) Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxx xxxxxxx x xxxxxxx xx xxx x sílu xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla xxxxxxxxxxxxxx ochrany xxxxxxxxx
1. xxx přenosu po xxxxxxxxxxxxx sítích,
2. xxx xxxxxxx na mobilní xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxx xxx,
x) Xxxxxx xxxxxx xxxxx.
XX. Xxxxxxxxx další dokumentace
(1) Xxxxxx x auditu xxxxxxxxxxxx bezpečnosti**
[§28 xxxx. 1 xxxx. x)]
x) Xxxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti.
d) Xxxxxxxxxxxxxx týmu xxxxxxxx x xxxx, xxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx.
x) Xxxxx x xxxxx, xxx xxxx prováděny činnosti xxx xxxxxx kybernetické xxxxxxxxxxx.
x) Zjištění x xxxxxx xxxxxxxxxxxx bezpečnosti.
g) Xxxxxx xxxxxx kybernetické xxxxxxxxxxx.
(2) Xxxxxx x xxxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 písm. c)]
a) Xxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) Xxxxxxxxxxxx xxxx x xxxxxxxxx, které xxxxx xxx vliv xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Zpětná xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx informací
1. xxxxxxx x xxxxxxxx xxxxxxxx,
2. xxxxxxxx monitorování a xxxxxx,
3. xxxxxxxx auditu,
4. xxxxxxxx xxxx xxxxxxxxxxx,
x) Xxxxxxxx hodnocení rizik x xxxx plánu xxxxxxxx xxxxx.
x) Identifikace xxxxxxxx xxx xxxxxxxx xxxxxxxxxx.
x) Doporučení xxxxxxxxxx xxxxxxxxxx, stanovení xxxxxxxx x osob zajišťujících xxxxx jednotlivých xxxxxxxx.
(3) Xxxxxxxx xxx identifikaci x xxxxxxxxx xxxxx x pro xxxxxxxxxxxx x xxxxxxxxx xxxxx*
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. x)]
x) Xxxxxx stupnice xxx xxxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxx aktiv,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.
x) Xxxxxx stupnice xxx xxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,
2. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx hrozby,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx zranitelnosti,
4. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxx,
x) Xxxxxx x xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxx přijatelných rizik.
(4) Xxxxxx o xxxxxxxxx xxxxx a rizik**
[§28 xxxx. 1 písm. x), §28 xxxx. 2 písm. c)]
a) Xxxxxxx primárních aktiv
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx primárních xxxxx,
3. xxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx.
x) Xxxxxxx podpůrných xxxxx (xxxxxxx xxx orgány x osoby uvedené x §3 xxxx. x) xxxxxx)
1. xxxxxxxxxxxx x popis xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx aktiv,
3. určení xxxxx mezi xxxxxxxxxx x xxxxxxxxxx xxxxxx,
x) Xxxxxxxxxxxxxx x hodnocení xxxxx
1. xxxxxxxxx xxxxxxx xxxxxx xx xxxxxx,
2. xxxxxxxxx existujících hrozeb,
3. xxxxxxxxx existujících xxxxxxxxxxxxx, xxxxxxxxx existujících xxxxxxxx,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx této xxxxxx x xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
5. určení x xxxxxxxxx přijatelných xxxxx.
x) Xxxxxxxx xxxxx
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. návrh xxxxxxxx x jejich realizace.
(5) Xxxxxxxxxx o xxxxxxxxxxxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx xxxxxx xxxxxxxxxx xxxxxx xxxxxx x xxxxxx vazby xx xxxxxxxxxxxxxx rizika.
b) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx opatření.
(6) Xxxx xxxxxxxx xxxxx**
[§28 xxxx. 1 xxxx. x), §28 odst. 2 písm. e)]
a) Xxxxx x xxxx xxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx.
x) Xxxxxxxx zdroje xxx xxxxxxxxxx xxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx.
x) Xxxxx zajišťující xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
d) Xxxxxxx xxxxxxxx jednotlivých bezpečnostních xxxxxxxx pro zvládání xxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx jednotlivých xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
(7) Xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. f)]
a) Xxxxx x termíny xxxxxxx xxxxxxxxx.
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxx xxxxx (xxxxxxx xxx xxxxxx a xxxxx uvedené x §3 xxxx. x) xxxxxx).
x) Obsah x xxxxxxx xxxxxxx xxxxxxxxxxxxxx (xxxxxxx xxx orgány x osoby xxxxxxx x §3 xxxx. x) xxxxxx).
x) Obsah x termíny xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxx x xxxxxxx poučení xxxxxx xxxxxxxxxxx.
x) Formy x xxxxxxx hodnocení xxxxx.
(8) Zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro evidenci x xxxxxxxx jednotlivých xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx testování xxxxxxx xxxxxxxx kybernetických bezpečnostních xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x pro xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(9) Xxxxxxxxx xxxxxx xxxxxxxxxx činností**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. x)]
x) Xxxxx a povinnosti xxxxxxxxxxxx xxxx.
x) Xxxx xxxxxx kontinuity xxxxxxxx
1. xxxxxxxxx xxxxxx poskytovaných xxxxxx,
2. xxxx obnovení xxxxx,
3. bod xxxxxxxx xxxxx.
x) Xxxxxxxxx řízení xxxxxxxxxx xxxxxxxx xxx xxxxxxxx cílů xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx kontinuitu a xxxxxxxxxx xxxxxxxxxxxxx rizik.
e) Xxxxxx a xxxxx xxxxxxxxxx plánů xxxxxxxxxx.
x) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx.
(10) Xxxxxxx xxxxxx závazných xxxxxxxx xxxxxxxx, xxxxxxxxx předpisů x xxxxxx xxxxxxxx x smluvních xxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. x)]
x) Xxxxxxx xxxxxx závazných xxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx.
x) Přehled xxxxxxxxx xxxxxxx.
Xxxxxxxx:
* Xxxxxxxxx xxxxxxxxx xxxxxxxxx je xx úrovni střední xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.
** Xxxxxxxxx xxxxxxxxx dokumentu xx na xxxxxx xxxxxx podle xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx a xxxxxx xxxxx.
Xxxxxxx x. 5 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx x. 6 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxx oznámení x provedení xxxxxxxxxxx xxxxxxxx a xxxx xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx č. 7 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx pro xxxxxxx kontaktních údajů
Vyplnitelný formulář ve formátu PDF
Informace
Právní xxxxxxx x. 316/2014 Sb. xxxxx xxxxxxxxx dnem 1.1.2015.
Xx xxx xxxxxxxx xxxxxx xxxxxxx nebyl xxxxx xx xxxxxxxxx.
Xxxxxx xxxxxxx x. 316/2014 Sb. xxx xxxxxx xxxxxxx xxxxxxxxx č. 82/2018 Sb. x xxxxxxxxx od 28.5.2018.
Xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx xx xxxx xxxxxx xxxxxxxxx xxxxx shora uvedeného xxxxxxxx předpisu.
1) XXX/XXX 27001:2013, xxxxxxxx XXX XXX/XXX 27001:2014