Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
XXXXXXXX
xx dne 15. xxxxxxxx 2014
x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x o xxxxxxxxx xxxxxxxxxxx xxxxxx v xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x kybernetické xxxxxxxxxxx)
Xxxxxxx xxxxxxxxxxxx úřad xxxxxxx podle §28 xxxx. 2 zákona x. 181/2014 Xx., x xxxxxxxxxxxx xxxxxxxxxxx x x xxxxx xxxxxxxxxxxxx xxxxxx (zákon x xxxxxxxxxxxx bezpečnosti), (xxxx jen "xxxxx") x provedení §6 xxxx. x) xx x), §8 xxxx. 4, §13 odst. 4 a §16 xxxx. 6 zákona.
ČÁST XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxxx xxxxxxxxx xx xxxxxxx obsah a xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxx systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx systém, xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxx jejich zavedení, xxxx x kategorie xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů, xxxxxxxxxxx a xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxx x provedení xxxxxxxxxxx xxxxxxxx a xxxx xxxxxxxx x vzor xxxxxxxx xxxxxxxxxxx údajů x xxxx xxxxx.
§2
Xxxxxxxx xxxxx
X této xxxxxxxx xx rozumí
a) xxxxxxxx řízení bezpečnosti xxxxxxxxx xxxx xxxxxxx xxxxxx xxxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxxx xx xxxxxxxx x rizikům xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxx xxxxxx xxxxxxxx, zavádění, xxxxxx, xxxxxxxxxxxx, přezkoumání, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx,
x) aktivem xxxxxxxx xxxxxxx a xxxxxxxx aktivum,
c) xxxxxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx informační infrastruktury xxxx xxxxxxxx informační xxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xx xx xxxxxxx, xxxxxxx, xxxxxx nebo xxxxxxxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx systému x xxxxxxx, xx kterých xxxx xxxx xxxxxxx xxxxxxxx,
x) xxxxxxx možnost, xx xxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x způsobí xxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxx xxxxxx, při xxxx xx xxxxxxxx xxxxxxxxxx rizik x xxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxx činnost xxxxxxxxxx xxxxxxxxx xxxxx, xxxxx a xxxxxxxx xxxxxxxx xx xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx x riziku a xxxxxxxxx a xxxxxxxxxxx xxxxx,
x) xxxxxxx potencionální xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu, xxxxxx xxxxxxxxx xxxx být xxxxxxxxx aktiva,
j) xxxxxxxxxxxxx xxxxx xxxxx aktiva xxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxx xxxxxxxx xxxxxx nebo xxxx xxxxxxxx,
x) přijatelným xxxxxxx xxxxxx zbývající xx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx xxxxxxxx kritériím xxx xxxxxxxxxxxx rizik,
l) bezpečnostní xxxxxxxxx soubor xxxxx x xxxxxxxx, které xxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxx xxxxxxx x xxxxxx uvedenou x §3 xxxx. x) xx x) xxxxxx,
x) xxxxxxxx xxxxxx xxxxxxx xxxxx xxxxxxxx xxxxxxx nebo xxxxxx xxxxxxxx v §3 xxxx. x) až x) xxxxxx x xxxxxxxxx xxxxxxx, xxxxxxx x bezpečnosti aktiva,
n) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx osoba xxxxx xxxxx xxxxxxx xxxx, xxxxx xxxxxxx primární xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxx xxxxx xxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx správu, xxxxxx, použití, údržbu x xxxxxxxxxx xxxxxxxxxxx xxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx v rámci xxxxxxx xxxxxx bezpečnosti xxxxxxxxx
x) xxxxxxx x xxxxxxx na aktiva x xxxxxxxxxxx bezpečnost xxxxxx x xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xx kterém xxxx, xxxxxxx xxxxxxxxxxxxx xxxxx a technických xxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx,
x) řídí rizika xxxxx §4 odst. 1,
x) xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx x oblasti systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx obsahuje xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, práva x xxxxxxxxxx xx xxxxxx x řízení bezpečnosti xxxxxxxxx x xx xxxxxxx bezpečnostních xxxxxx x výsledků xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x dalších xxxxxxxxx xxxxx §5 x xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx xxxxxxxx bezpečnostních xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxx politiky xxxxx §5,
x) xxxxxxx xxxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx xxxxx §15, x xx xxxxxxx xxxxxx ročně,
g) xxxxxxx xxxxxxxxxxx xxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx obsahuje xxxxxxxxx xxxxx xxxxxxx řízení xxxxxxxxxxx informací včetně xxxxxx xxxxxxxxx xxxxx, xxxxxxxxx xxxxxxxx provedených xxxxxxx a xxxxxx xxxxxxxxxxxx bezpečnosti a xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, x xx xxxxxxx xxxxxx ročně,
h) xxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x příslušnou xxxxxxxxxxx xx xxxxxxx xxxxxxxx auditů kybernetické xxxxxxxxxxx, výsledků xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací x x xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx x
x) xxxx xxxxxx x zdroje xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxxxxxxxx činnosti xxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx.
(2) Xxxxx a xxxxx xxxxxxx v §3 xxxx. e) xxxxxx x xxxxx xxxxxxx xxxxxx bezpečnosti informací
a) xxxx xxxxxx xxxxx §4 xxxx. 2,
x) xxxxxxx x xxxxxxx xxxxxxxxxxxx politiku x xxxxxxx systému řízení xxxxxxxxxxx informací, xxxxx xxxxxxxx hlavní xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx xx vztahu x xxxxxx bezpečnosti xxxxxxxxx x na xxxxxxx xxxxxxxxxxxxxx potřeb a xxxxxxxx xxxxxxxxx rizik xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §5, x xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x
x) provádí xxxxxxxxxxx xxxxxx o xxxxxxxxx xxxxx x xxxxx, xxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx rizik x plánu xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, x xx nejméně xxxxxx xx tři xxxx xxxx v xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx.
§4
Řízení xxxxx
(1) Orgán x xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx pro identifikaci x xxxxxxxxx xxxxx x xxx identifikaci x xxxxxxxxx rizik xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxx, která xxxxx xx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx §8 x xxxxxxx přílohy č. 1 x xxxx xxxxxxxx x výstupy xxxxxxxxx xx zprávy x xxxxxxxxx aktiv a xxxxx,
x) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxxxxx, xxxxxxx možné xxxxxx xx aktiva, hodnotí xxxx xxxxxx xxxxxxxxx x xxxxxxx xxxxx přílohy č. 2 x xxxx xxxxxxxx, xxxx x xxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxx zprávu x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxx xx xxxxxxx bezpečnostních xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx vybraných x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx a xxxxxx plán xxxxxxxx xxxxx, který obsahuje xxxx x přínosy xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxx xxxxxx xxxxxxxx x popis xxxxx xxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxx bez xxxxxxxxxx xxxxxxx xxxxxxxxx x ochranná xxxxxxxx xxxxxx Xxxxxxxx bezpečnostním xxxxxx (xxxx jen "Xxxx") x xxxxxxxxx xxxxx x x xxxxxxx, xx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx spojené x realizací xxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx, xxxxxx xxxx xxxxxxxx xxxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) xxxxxx x rámci xxxxxx rizik
a) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx aktiv x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxxx stanovení xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx primárních aktiv, xxxxx patří xx xxxxxxx systému řízení xxxxxxxxxxx informací, xxxxx §8 xxxxxxxxx x xxxxxxx přílohy č. 1 k xxxx xxxxxxxx x xxxxxxx xxxxxxxxx xx xxxxxx o xxxxxxxxx xxxxx x rizik,
c) xxxxxxxxxxxx rizika, xxx xxxxxxx zohlední xxxxxx x xxxxxxxxxxxxx, xxxxxxx xxxxx dopady xx xxxxxxxx xxxxxx, xxxxxxx xxxx xxxxxx minimálně x xxxxxxx xxxxx přílohy č. 2 x xxxx xxxxxxxx x xxxxxxxx xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxx na xxxxxxx xxxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxx rizik xxxxxxxxxx o xxxxxxxxxxxxxxxx, xxxxx obsahuje xxxxxxx xxxxxxxxx x zavedených xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx x xxxxxx xxxx xxxxxxxx xxxxx, který xxxxxxxx cíle x xxxxxxx bezpečnostních xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx bezpečnostních xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, technické, xxxxxx a xxxxxxxxxx xxxxxx, xxxxxxx jejich xxxxxxxx x xxxxx xxxxx xxxx identifikovanými xxxxxx a příslušnými xxxxxxxxxxxxxx opatřeními x
x) xxxxxxxx bez xxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx opatření vydaná Xxxxxx x xxxxxxxxx xxxxx x v xxxxxxx, že xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxx opatření xxxxxxxx stanovená kritéria xxx xxxxxxxxxxxx xxxxx, xxxxxx xxxx zvládání xxxxx.
(3) Řízení xxxxx xxxx být xxxxxxxxx x jinými xxxxxxx, xxx jak xx xxxxxxxxx v xxxxxxxxxx 1 x 2, xxxxx xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx xxxxxxxxxxx stejnou xxxx vyšší úroveň xxxxxx xxxxx.
(4) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxx hodnocení xxxxx zvažuje xxxxxxx xxxx hrozby
a) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxx a administrátorů,
b) xxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx anebo programového xxxxxxxx,
x) xxxxxxxx identity xxxxxxx osoby,
d) xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx x xxxxxxxxxx xxxxxxxxxx,
x) kybernetický xxxx x xxxxxxxxxxx sítě,
f) xxxxxxxx kód (například xxxx, spyware, xxxxxxx xxxx),
x) xxxxxxxxxx při xxxxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx významného xxxxxxxxxxxx xxxxxxx,
x) narušení xxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx elektrické xxxxxxx,
x) xxxxxxxx xxxx xxxxxxxxxxx modifikace údajů,
k) xxxxxx xxxxxxxx xxxxxx x
x) xxxxxxxx nebo xxxxxxxxx xxxxxx.
(5) Xxxxx x osoba uvedená x §3 xxxx. x) xx x) xxxxxx xxx hodnocení xxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx
x) nedostatečná xxxxxxx vnějšího xxxxxxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx xxx xxxxxxxxxxxxxx x xxxxxxxx negativních xxxxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí a xxxxxxxxxxxxxx bezpečnostních incidentů,
f) xxxxxxxxxxxx monitorování xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxx xxxx xxxxxxx xxxxxxx xxxxxxx x
x) xxxxxxxxxxxx stanovení xxxxxxxxxxxxxx pravidel, xxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxx xxxx x povinností xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx.
(6) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxx hodnocení xxxxx xxxx xxxxxxx xxxx hrozby
a) porušení xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx činností, xxxxxxxx xxxxxxxxx ze xxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xx xxxxxx xxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx prostředků, xxxxxxx,
x) xxxxxxxxxx přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxxxxxxx xxxx pomocí sociálního xxxxxxxxxxx, xxxxxxx špionážních xxxxxxx x
x) zneužití xxxxxxxxxxxxx technických xxxxxx xxx.
(7) Xxxxx x xxxxx uvedená x §3 xxxx. x) x d) zákona xxx hodnocení xxxxx xxxx zvažuje xxxx xxxxxxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxxx kritické informační xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,
x) xxxxxxxxxxxx míra xxxxxxxxx xxxxxxxx x
x) xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxxx.
§5
Bezpečnostní xxxxxxxx
(1) Orgán x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxx bezpečnostní xxxxxxxx x xxxxxxxxx
x) xxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxx,
x) xxxxxx xxxxxx s xxxxxxxxxx,
x) klasifikace xxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxxx,
x) xxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx a obnova,
j) xxxxxxxx xxxxxxxxx x xxxxxx informací,
k) řízení xxxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx vybavení x xxxxxxxxx,
x) dlouhodobé xxxxxxxx x xxxxxxxxx xxxxxxxxx,
x) xxxxxxx osobních xxxxx,
x) fyzická bezpečnost,
q) xxxxxxxxxx xxxxxxxxxxx sítě,
r) xxxxxxx xxxx xxxxxxxxx xxxxx,
x) nasazení x xxxxxxxxx nástroje xxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx,
x) využití a xxxxxx xxxxxxxx xxx xxxx x vyhodnocení xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x
x) používání kryptografické xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx stanoví xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxx,
x) xxxxxx xxxxxxxxxx,
x) klasifikace xxxxx,
x) xxxxxxxxxx lidských xxxxxx,
x) xxxxxx provozu x komunikací,
g) xxxxxx xxxxxxxx,
x) xxxxxxxx chování xxxxxxxxx,
x) xxxxxxxxxx a xxxxxx,
x) poskytování a xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx,
x) xxxxxxx osobních xxxxx,
x) xxxxxxxxx kryptografické xxxxxxx,
x) xxxxxxx xxxx škodlivým xxxxx x
x) nasazení x xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx politiky x aktualizuje xx.
§6
Xxxxxxxxxxx xxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx zavede organizaci xxxxxx xxxxxxxxxxx xxxxxxxxx, x xxxxx které xxxx xxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxx role x jejich práva x xxxxxxxxxx související x informačním xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx systémem.
(2) Xxxxx a osoba xxxxxxx v §3 xxxx. c) x x) xxxxxx xxxx xxxxxxxxxxxx role
a) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx bezpečnosti a
d) xxxxxx aktiva xxxxx §2 xxxx. x).
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) určí xxxxxxxxxxxx xxxx xxxxxxxxx xxxxx odstavce 2.
(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx osoba, xxxxxxxxx xx systém xxxxxx xxxxxxxxxxx informací, která xx xxx xxxx xxxxxxx vyškolena a xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x řízením xxxxxxxxxxx xxxxxxxxx xx xxxx xxxxxxx tří xxx.
(5) Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxxx bezpečnostních xxxxxxxx, xxxxx xx xxx xxxx činnost xxxxxxxxx x xxxxxxx odbornou xxxxxxxxxxx xxxxx s xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xx xxxx xxxxxxx xxx xxx.
(6) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx bezpečnosti, která xx pro xxxx xxxxxxx vyškolena x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx s prováděním xxxxxx kybernetické xxxxxxxxxxx xx xxxx xxxxxxx xxx xxx. Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxxxxx x výkon xxxx xxxx xx xxxxxxx xx výkonu xxxx xxxxxxxxx x odstavci 2 písm. x), x) xxxx x).
(7) Xxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx je xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx, které jsou xxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx informačního xxxxxxx kritické informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx, xxxxx xx xxxxxxxx xxxxxxxx na xxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx.
(8) Xxxxx a xxxxx xxxxxxx v §3 xxxx. c) xx x) xxxxxx xxxxxxx odborné xxxxxxx xxxx, které xxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxx x plánem xxxxxxx xxxxxxxxxxxxxx povědomí xxxxx §9 xxxx. 1 písm. x).
§7
Xxxxxxxxx xxxxxxxxxxxxxx požadavků xxx xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až e) xxxxxx zavede xxxxxxxx xxx xxxxxxxxxx, xxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, a xxxxxxxx xx x xxxxxxxxxx xxxx jiných xxxx, xxxxx xx xxxxxxxx xx xxxxxxx, xxxxxxx xxxx zajištění xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx systému. Xxxxxx xxxxxxxx xxxxxxxxxx xx xxxxxxx, xxxxxxx xxxx zajištění bezpečnosti xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx nebo významného xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx orgán x xxxxx xxxxxxx x §3 xxxx. x) xx e) zákona xxxxxxxx, xxxxx součástí xx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx x xxxxxxxxxx xxxxxxxxx x xxxxxxxx 1 xxxx
x) před xxxxxxxxx smlouvy provádí xxxxxxxxx xxxxx podle přílohy č. 2 k xxxx xxxxxxxx, xxxxx xxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) uzavírá smlouvu x xxxxxx xxxxxx, xxxxx xxxxxxx způsoby x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření a xxxx vztah xxxxxxxx xxxxxxx odpovědnosti xx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, x
x) xxxxxxx xxxxxxxxxx hodnocení xxxxx x pravidelnou xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxx xxxxxx a zjištěné xxxxxxxxxx odstraňuje nebo xx dohodě s xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxx.
§8
Xxxxxx aktiv
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx x xxxxx xxxxxx aktiv
a) xxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxx,
x) xxxx garanty xxxxx, xxxxx jsou xxxxxxxxx za xxxxxxxx xxxxxx, a
c) xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx důvěrnosti, xxxxxxxxx a dostupnosti x zařadí xx xx xxxxxxxxxxxx úrovní xxxxxxxxx x xxxxxxx xxxxx přílohy č. 1 x xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx je třeba xxxxxxxxx xxxxxxxx
x) xxxxxx x xxxxxxxxxx xxxxxxxx xxxxx xxxx obchodního xxxxxxxxx,
x) xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx nebo xxxxxx závazků,
c) xxxxxx xxxxxxxx vnitřních xxxxxxxx x xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx veřejných, xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxx,
x) xxxxx xxxxxxxx ztráty,
f) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx xxxxxx a xxxxx xxxxxxx v §3 xxxx. c) xx x) zákona,
g) xxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti x
x) xxxxxx xx zachování xxxxxxx xxxxx xxxx xxxxxxx dobré pověsti.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx xxxx
x) xxxxxxxxxxxx x eviduje xxxxxxxx xxxxxx,
x) určí xxxxxxx xxxxx, xxxxx xxxx odpovědní xx xxxxxxxx xxxxxx, a
c) xxxx xxxxx xxxx xxxxxxxxxx a xxxxxxxxxx xxxxxx a hodnotí xxxxxxxx závislostí mezi xxxxxxxxxx a xxxxxxxxxx xxxxxx.
(4) Orgán x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx xxxx
x) stanoví pravidla xxxxxxx, xxxxx xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx xxx, xx
1. xxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxx xxxxxxxx pro xxxxxxxxxx a evidenci x xxxxxx xxxxx xxxxxx xxxxx, včetně xxxxxxxx xxx bezpečné xxxxxxxxxxxx xxxxxxx a xxxxxxx přenášení aktiv x
3. xxxxxxx xxxxxxxxx xxxxxxx používání xxxxx,
x) xxxxxx pravidla xxxxxxx xxxxxxxxxxxx xxxxxx aktiv x
x) určí xxxxxxx xxx xxxxxxxxxx smazání xxxx xxxxxx xxxxxxxxxxx xxxxxx xxx x xxxxxxx xx úroveň xxxxx.
§9
Xxxxxxxxxx lidských xxxxxx
(1) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx x xxxxx řízení bezpečnosti xxxxxxxx zdrojů
a) xxxxxxx xxxx rozvoje bezpečnostního xxxxxxxx, xxxxx xxxxxxxx xxxxx, obsah x xxxxxx xxxxxxxxxx školení x xxxx osoby xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx jsou x xxxxx uvedeny,
b) x souladu s xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx o jejich xxxxxxxxxxxx x x xxxxxxxxxxxx politice formou xxxxxxxxx x pravidelných xxxxxxx,
x) zajistí xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní xxxx x
x) xxxxxxx xxxxxxx xxxxxxxxx aktiv a xxxxxxxx xxxxxxxxxxxx oprávnění xxx ukončení smluvního xxxxxx x xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxxxx bezpečnostní xxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) xx x) zákona xxxx x xxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx, xxxxx xxxxxxxx předmět xxxxxxx x xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
(3) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) stanoví pravidla xxx xxxxxx osob, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx role, role xxxxxxxxxxxxxx xxxx xxxxxxxxx,
x) xxxxxxx účinnost xxxxx xxxxxxx xxxxxxxxxxxxxx povědomí, xxxxxxxxxxx školení a xxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxx xxxxxxxx x xxxxxxx pro xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx pravidel xx xxxxxx uživatelů, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní role x
x) zajistí xxxxx xxxxxxxxxxxx xxxxxxxxx při xxxxx postavení uživatelů, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
§10
Řízení xxxxxxx x xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona x rámci řízení xxxxxxx x xxxxxxxxxx xxxxxx technických nástrojů xxxxxxxxx v §21 xx 23 xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxx x na xxxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxx x §13.
(2) Xxxxx x xxxxx uvedená x §3 písm. x) xx x) xxxxxx x xxxxx xxxxxx xxxxxxx x komunikací xxxx xxxxxxxxx xxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xx xxxxx xxxxxx xxxxxxx xxxxxxxx pravidla x postupy.
(3) Xxxxxxxx xxxxxxxx x xxxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxxx
x) xxxxx a xxxxxxxxxx xxxx zastávajících xxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx a xxxxxxxxx,
x) postupy xxx xxxxxxxx x xxxxxxxx xxxxx xxxxxxx, xxx xxxxxxx xxxx obnovení xxxxx xxxxxxx xx xxxxxxx x pro xxxxxxxx chybových stavů xxxx mimořádných jevů,
c) xxxxxxx pro xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxx xxxxxxx xxxxxxxx k xxxxxxxx x xxxxxx činnostech,
d) xxxxxxx na xxxxxxxxx xxxxx, xxxxx jsou xxxxxx xxxx podpora xxx xxxxxx neočekávaných xxxxxxxxxxx xxxx technických xxxxxx,
x) xxxxxxx xxxxxx x schvalování provozních xxxx x
x) postupy xxx xxxxxxxxx, xxxxxxxxx x xxxxxx kapacity xxxxxxxx x technických xxxxxx.
(4) Xxxxxx xxxxxxx xxxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx spočívá x xxxxxxxxx pravidelného xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxx.
(5) Xxxxxx provozu xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxx x
x) xxxxxxxxx oddělení vývojového, xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) řešení xxxxxxxxxxx xxxxxxxx vydaných Xxxxxx xxx, že orgán x xxxxx uvedená x §3 xxxx. x) a x) xxxxxx
1. posoudí xxxxxxxxx xxxxxx reaktivního xxxxxxxx xx xxxxxxxxxx systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xx xxxxxxxx xxxxxxxxxxxx opatření, xxxxxxxxx xxxxx xxxxxxxxx xxxxxx x xxx xxxxxxxxxx xxxxxxx xx oznámí Xxxxx x
2. xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx opatření, xxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxx, a xxxx xxxxxx xxxx xxxx xxxxxxxxx.
(6) Xxxxx a xxxxx uvedená x §3 xxxx. x) x x) zákona x rámci xxxxxx xxxxxxxxxx
x) xxxxxxxxx xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx xxxx x xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxxx §17,
x) xxxx pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx,
x) xxxxxxx výměnu x xxxxxxxxx xxxxxxxxx xx základě xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx xx xxxxxxxxxx zajištění xxxxxxxxxxx xxxxxxxxx a xxxx xxxxxxxx dokumentuje x
x) x ohledem xx xxxxxxxxxxx aktiv xxxxxxx výměnu x xxxxxxxxx xxxxxxxxx xx xxxxxxx písemných xxxxx, xxxxxxx xxxxxxxx xx xxxxxxxxxx x bezpečnosti xxxxxxxxx.
§11
Řízení xxxxxxxx x xxxxxxxx chování uživatelů
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xx xxxxxxx xxxxxxxxxx a xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx.
(2) Xxxxx x xxxxx uvedená v §3 písm. x) xx e) xxxxxx xxxxxx xxxxxxxx, která xxxxxx k xxxxxxxxx xxxxxxx xxxxx, které xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx §18 x 19, x xxxxx xxxxx xx zneužití xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxxx x xxxxx xxxxxx přístupu
a) xxxxxxx xxxxxxxxxxxxx aplikacím samostatný xxxxxxxxxxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxxxx oprávnění,
c) xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx x xxxxxxxxx řízení xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx přístupových xxxxxxxxx včetně xxxxxxxxx xxxxxxxxxxxx uživatelů x xxxxxxxxxxxx skupinách xxxx xxxxxx,
x) xxxxxxx xxxxxxx xxx xxxxxxxxx identity xxxxxxxxx xxxxx §18 x nástroj xxx xxxxxx přístupových xxxxxxxxx xxxxx §19 x
x) xxxxxx xxxxxxxxxxxx opatření xxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxx i xxxxxxxxxxxx xxxxxxxx xxxxxxx s xxxxxxxx xxxxxxxxxxx zařízení, xxxxxxx xxxxx x xxxxx xxxxxxx x §3 písm. c) x x) xxxxxx xxxxxxxxxxx.
§12
Xxxxxxxx, xxxxx x xxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. c) xx e) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného informačního xxxxxxx xxxxxxx x xxxxxx akvizicí, vývojem x xxxxxxx x xxxxxx xx xx xxxxxxxx xxxxxxxx, xxxxxx x xxxxxx systému.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x x) zákona xxxx
x) xxxxxxxxxxxx, xxxxxxx a xxxx xxxxxx související x xxxxxxxx, xxxxxxx x údržbou informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx; pro postupy xxxxxxxxx x řízení xxxxx xx metodiky xxxxx §4 odst. 1 xxxx. x) xxxxxxx obdobně,
b) xxxxxxx xxxxxxxxxx vývojového xxxxxxxxx x xxxxxxx ochranu xxxxxxxxxxx testovacích xxx x
x) xxxxxxx bezpečnostní xxxxxxxxx změn xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxx xxxxxxxxx do xxxxxxx.
§13
Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxx zvládání xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) přijme nezbytná xxxxxxxx, xxxxx xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační infrastruktury x xxxxxxxxxx informačního xxxxxxx ze xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx a x xxxxxxxxxx xxxx xxxxxxx,
x) xxxxxxxx xxxxxxxxx pro xxxxxxxxxxx xxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx nástroji xxxxx §21 xx 23, xxxxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxx xxx xxxxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu, xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §32 a xxxxxxx xxxx věrohodných xxxxxxxx xxxxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx x xxxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxx účinnost xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xx xxxxxxx xxxxxxxxxxx stanoví xxxxx bezpečnostní xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a
e) dokumentuje xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
§14
Xxxxxx xxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxxx
x) xxxxx x povinnosti xxxxxxx xxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxx xxxxxx xxxxxxxxxx xxxxxxxx formou xxxxxx
1. minimální xxxxxx xxxxxxxxxxxxx xxxxxx, xxxxx xx xxxxxxxxxx xxx xxxxxxx, provoz a xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
2. xxxx xxxxxxxx xxxxx, xxxxx xxxxx bude xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx obnovena minimální xxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo významného xxxxxxxxxxxx xxxxxxx, x
3. xxxx xxxxxxxx xxx xxxx termínu, ke xxxxxxx xxxxx xxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx, x
x) xxxxxxxxx xxxxxx kontinuity xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx x).
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx dále
a) xxxxxxxxx x xxxxxxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx x xxxxxxx xxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxxx,
x) xxxxxxx, aktualizuje x xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxx činností xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x komunikačního xxxxxxx xxxxxxxx informační infrastruktury xxxx xxxxxxxxxxxxxx bezpečnostnímu xxxxxxxxx x xxxxxxx xxxxxxx xxx zajišťování xxxxxx xxxxxxxxxxx xxxxx §26 a
d) xxxxxxx x xxxxxxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Úřadem xxxxx §13 a 14 xxxxxx, xx kterých xxxxxxxx
1. xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxx opatření,
2. xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
3. xxxxxxxxxxx xxxxxxxxxx negativních xxxxxx xx xxxxxx a xxxxxxxxxx informačního systému xxxxxxxx informační infrastruktury xxxx komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.
§15
Xxxxxxxx a xxxxx xxxxxxxx informační infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx e) xxxxxx x xxxxx xxxxxxxx x xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx systémů (xxxx jen "xxxxx xxxxxxxxxxxx bezpečnosti")
a) xxxxxxxx xxxxxx bezpečnostních xxxxxxxx x xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx vztahujícími xx x xxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxx xxxxxxxx xxx jeho xxxxxxxxxxx x
x) xxxxxxx x xxxxxxxxxxx xxxxxxxxxx kontroly xxxxxxxxxx xxxxxxxxxxxx politiky x xxxxxxxx xxxxxx xxxxxxx xxxxxxxx x xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx a plánu xxxxxxxx xxxxx.
(2) Xxxxx x osoba uvedená x §3 písm. x) x x) xxxxxx zajišťuje xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx s odbornou xxxxxxxxxxx podle §6 xxxx. 6, xxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x x) zákona xxxx xxx xxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx kontrolu xxxxxxxxxxxxx xxxxxxxxxxx prostředků xxxxxx xxxxxxxxxxxxxxxx xxxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxx a reaguje xx xxxxxxxx zranitelnosti.
XXXXX II
TECHNICKÁ XXXXXXXX
§16
Xxxxxxx xxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona x rámci xxxxxxx xxxxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxx vstupu do xxxxxxxxxx xxxxxxx, xxx xxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxx xxxxxxxx opatření x zamezení poškození x xxxxxxx xx xxxxxxxxxx xxxxxxx, xxx xxxx xxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x
x) xxxxxxxxx xxxxxxxxx, xxxxxxx xxxx zneužití xxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 písm. x) x d) xxxxxx xxxx xxxxxxxxx prostředky xxxxxxx bezpečnosti
a) pro xxxxxxxxx xxxxxxx na xxxxxx xxxxxxx a
b) xxx xxxxxxxxx ochrany x xxxxx xxxxxxx xxxxxxxxxx zvýšené xxxxxxxxxxx xxxxxxxxxx xxxxxxx, ve xxxxxxx xxxx umístěna xxxxxxxxx aktiva informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx nebo komunikačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx.
(3) Xxxxxxxxxx fyzické xxxxxxxxxxx xxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxx prostředky,
b) xxxxxxxx elektrické zabezpečovací xxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxx působení xxxxxxx xxxxxxxxx událostí,
e) xxxxxxx xxx kontrolu xxxxxx,
x) xxxxxxxx systémy,
g) xxxxxxxx xxx xxxxxxxxx xxxxxxx xxxx xxxxxxxx dodávky xxxxxxxxxxxx xxxxxxxx a
h) xxxxxxxx xxx zajištění xxxxxxxxxxx provozních podmínek.
§17
Xxxxxxx pro xxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxx
(1) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) až x) xxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxx, xxxxx není xxx xxxxxxx orgánu xxxx xxxxx, x xxxxxxx xxxxxxxxxxx sítě, xxxxx xx xxx xxxxxxx xxxxxx nebo xxxxx, xxxxxx
x) řízení xxxxxxxxxx xxxxxxxx xxxx vnější x xxxxxxx xxxx,
x) xxxxxxxxxx xxxxxxx použitím xxxxxxxxxxxxxxxxxx xxx jako xxxxxxxxxxx typu sítě xxxxxxxxxxx xx xxxxxxx xxxxxxxxxxx aplikací dostupných x xxxxxx sítě x k zamezení xxxxx xxxxxxxxxx vnitřní xxxx x xxxxxx xxxx,
x) xxxxxxxxxxxxxx prostředky (§25) xxx xxxxxxxx xxxxxxx, xxxxxxxxx xxxxxx xxxx xxx přístup xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x
x) opatření xxx xxxxxxxxxx nebo xxxxxxxxx xxxxxxxxxxx xxx, xxxxx xxxxxxxxxxxx požadavkům na xxxxxxx integrity xxxxxxxxxxx xxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 písm. c) x x) xxxxxx xxxx xxxxxxx nástroje xxx xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxx, xxxxx xxxxxxx xxxx xxxxxxxxxx.
§18
Nástroj pro xxxxxxxxx xxxxxxxx uživatelů
(1) Xxxxx x osoba uvedená x §3 písm. x) xx x) xxxxxx xxxxxxx xxxxxxxx xxx ověření identity xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x významného xxxxxxxxxxxx xxxxxxx.
(2) Nástroj xxx xxxxxxxxx xxxxxxxx xxxxxxxxx x administrátorů xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxx zahájením xxxxxx xxxxxxx x informačním xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačním systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významném xxxxxxxxxxx xxxxxxx.
(3) Xxxxxxx xxx xxxxxxxxx xxxxxxxx uživatelů, xxxxx xxxxxxx xxxxxxxxxxx xxxxx heslem, xxxxxxxxx
x) xxxxxxxxx xxxxx xxxxx xxx xxxxx,
x) xxxxxxxxx xxxxxxxxx hesla xxx, xx xxxxx xxxx xxxxxxxxx alespoň 3 x xxxxxxxxxxxxx xxxx xxxxxxxxx
1. nejméně xxxxx xxxxx xxxxxxx,
2. xxxxxxx xxxxx malé písmeno,
3. xxxxxxx xxxxx xxxxxxx, xxxx
4. xxxxxxx jeden xxxxxxxxx znak xxxxxxx xx xxxxxxxxx xxxxxxxxx x bodech 1 xx 3,
x) xxxxxxxxx xxxx pro xxxxxxxx xxxxxx hesla xxxxxxxxxxxxx xxx dnů; xxxxx xxxxxxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx identifikátory xxxxxxxx.
(4) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) zákona xxxx
x) xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxx, xxxxx
1. xxxxxx xxxxxxxxxx xxxxxxxxx dříve používaných xxxxx a neumožní xxxx změn xxxxx xxxxxxx xxxxxxxxx během xxxxxxxxxxx xxxxxx, xxxxx xxxx xxx xxxxxxx 24 xxxxx, x
2. xxxxxxx opětovné ověření xxxxxxxx xx xxxxxx xxxx nečinnosti a
b) xxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx. X případě, xx xxxxx xxxxxxx xxxxxxx xxxxxxxxxxx heslem, zajistí xxxxxxxxx xxxxxxxxx délky xxxxx xxxxxxx znaků xxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx. x) x x).
(5) Xxxxxxx pro xxxxxxxxx xxxxxxxx xxxxxxxxx xxxx xxx zajištěn x xxxxxx xxxxxxx, xxx jaké xxxx xxxxxxxxx v odstavcích 3 xx 5, xxxxx orgán a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx xxxxxxxxxxx stejnou xxxx xxxxx úroveň xxxxxxxxx hesla.
§19
Nástroj pro xxxxxx xxxxxxxxxxxx oprávnění
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx zajistí xxxxxx oprávnění
a) xxx xxxxxxx x jednotlivým xxxxxxxxx x xxxxx x
x) pro xxxxx xxx, xxx xxxxx xxx x xxx xxxxx xxxxxxxxx.
(2) Xxxxx x osoba xxxxxxx x §3 písm. x) a x) xxxxxx dále používá xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, který xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxx x bezpečnostními xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx.
§20
Nástroj xxx ochranu xxxx xxxxxxxxx kódem
Orgán x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxx řízení xxxxx spojených x xxxxxxxxx xxxxxxxxxx kódu xxxxxxx nástroj xxx xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx, xxxxx xxxxxxx xxxxxxx x stálou xxxxxxxx
x) xxxxxxxxxx xxxx vnitřní xxxx x vnější xxxx,
x) xxxxxxx a xxxxxxxxx xxxxxxxx úložišť x
x) xxxxxxxxxx stanic,
přičemž xxxxxxx pravidelnou a xxxxxxx xxxxxxxxxxx nástroje xxx xxxxxxx xxxx xxxxxxxxx xxxxx, jeho xxxxxxx x xxxxxxxx.
§21
Nástroj pro xxxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx používá xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx systému, xxxxx xxxxxxx
x) xxxx xxxxxxxxx x xxxxxxxxxx x bezpečnostních činnostech, xxxxxxx xxx činnosti, xxxxx x xxx, xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, xxxxx xxxxxxx xxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx x xxxxx xxxxxxxx x xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx x
x) xxxxxxx xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxx xxxxxx xxxx xxxxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 písm. c) xx e) zákona xxxx xxxxxx xxxxxxxx xxx zaznamenávání xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, komunikačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému zaznamenává
a) xxxxxxxxxx x xxxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx administrátory,
c) xxxxxxxx vedoucí xx xxxxx přístupových oprávnění,
d) xxxxxxxxxxx činností x xxxxxxxx nedostatku xxxxxxxxxxxx xxxxxxxxx a další xxxxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému,
f) automatická xxxxxxx nebo chybová xxxxxxx technických xxxxx,
x) xxxxxxxx x xxxxxxxx x činnostech, xxxxxx x manipulaci xx xxxxxxx x xxxxxxxxxx x změny xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx a
h) xxxxxxx xxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxx xxxxxx xxxxx xxxxx, které xxxxxx x xxxxxxxxxx.
(3) Orgán x osoba uvedená x §3 písm. x) a d) xxxxxx xxxxxxx činností xxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxxx nejméně xx dobu 3 xxxxxx.
(4) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxxxxx nejméně xxxxxx xx 24 xxxxx xxxxxxxxxxxxx jednotného systémového xxxx xxxxxxxxxxx aktiv xxxxxxxxx do xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
§22
Xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) až x) xxxxxx používá xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxxxx vychází xx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx hodnocení xxxxx a který xxxxxxx xxxxxxx, xxxxxxxx x xxxxxxxx zablokování xxxxxxxxxx mezi vnitřní xxxxxxxxxxx sítí x xxxxxx xxxx.
(2) Xxxxx x osoba uvedená x §3 písm. x) x d) xxxxxx xxxx xxxxxxx xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxxxx xxxxxxx ověření, xxxxxxxx x případně xxxxxxxxxxx xxxxxxxxxx
x) x xxxxx vnitřní xxxxxxxxxxx xxxx a
b) serverů xxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§23
Xxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxxxxxx xxxxxxx xxx xxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, který x xxxxxxx s xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx hodnocení xxxxx xxxxxxx
x) xxxxxxxxxxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxx v xxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxx krit x xxxxxxxxxx infrastruktury x
x) xxxxxxxxxxx xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx s xxxxx identifikace xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, včetně xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx zajistí
a) xxxxxxxxxxx aktualizaci xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x včasné xxxxxxxx, xxx byly omezovány xxxxxxx xxxxxxxxxxx vyhodnocení xxxxxxxx xxxx případy xxxxxxxxx xxxxxxxx, x
x) xxxxxxxxx informací, xxxxx xxxx xxxxxxxxxx nástrojem xxx sběr a xxxxxxxxxxx kybernetických bezpečnostních xxxxxxxx, pro optimální xxxxxxxxx xxxxxxxxxxxxxx opatření xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému kritické xxxxxxxxxx infrastruktury.
§24
Xxxxxxxxx xxxxxxxxxx
(1) Orgán x xxxxx uvedená x §3 písm. x) xx x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx přístupné x xxxxxx xxxx, x xx před xxxxxx xxxxxxxx do xxxxxxx a xx xxxxx xxxxxxx xxxxx xxxxxxxxxxxxxx mechanismů.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx x xxxxx xxxxxxxxx bezpečnosti xxxxxxx xxxxxxx xxxxxxx
x) xxxxxxxx x xxxxxxxxx xxxxxxxxxx x xxxxxx xxxx před xxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxx, kompromitací xxxx xxxxxxxxxxxxxxx xxxxxx a
b) xxxxxxxxx xxxx xxxxxx xxxxxxxxxxxx, xxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxxx změnou xxxxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxxxxxx duplikováním nebo xxxxxxxxxx.
§25
Kryptografické prostředky
(1) Orgán x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx
x) xxx xxxxxxxxx xxxxxxxxxxxxxx ochrany stanoví
1. xxxxxx xxxxxxx x xxxxxxx xx xxx x sílu kryptografického xxxxxxxxx x
2. xxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx xxx přenosu xx xxxxxxxxxxxxx xxxxxx xxxx xxx xxxxxxx xx xxxxxxx zařízení nebo xxxxxxxxxxx xxxxxxxxx xxxxxx xxx x
x) x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, které xxxxxxx xxxxxxx důvěrnosti x integrity xxxxxxxxxxx xxxx xxxxxxxxxx xxx x xxxxxxxxx identifikaci xxxxx za xxxxxxxxx xxxxxxxx.
(2) Xxxxx x xxxxx uvedená v §3 xxxx. x) x d) xxxxxx xxxx
x) stanoví pro xxxxxxxxx kryptografických prostředků xxxxxx xxxxxx klíčů, xxxxx xxxxxxx generování, xxxxxxxxxx, xxxxxxxx, xxxxxxxxx, xxxxx, xxxxxx, xxxxxxxx x xxxxx xxxxx, x
x) xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx klíče; v xxxxxxx xxxxxxxxx s xxxxxxxxxxx požadavky xx xxxxxxxxxxxxxx algoritmy uvedenými x příloze č. 3 x xxxx vyhlášce řídí xxxxxx xxxxxxx s xxxxx nesouladem.
§26
Xxxxxxx xxx xxxxxxxxxxx xxxxxx dostupnosti
(1) Xxxxx x osoba uvedená x §3 xxxx. x) xx x) xxxxxx x souladu x bezpečnostními xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx používá nástroj xxx zajišťování xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x osoba xxxxxxx x §3 písm. x) x x) xxxxxx xxxxxxx xxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, který xxxxxxx
x) xxxxxxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx pro xxxxxxx xxxx řízení xxxxxxxxxx xxxxxxxx,
x) xxxxxxxx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x komunikačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx xxxxx xxxxxx xxxxxxxxxx, a
c) xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx
1. využitím xxxxxxxxxx x návrhu xxxxxx x
2. xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx aktiv x xxxxxxx čase.
§27
Xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x x) zákona xxx xxxxxxxxxx průmyslových x řídicích xxxxxxx, xxxxx xxxx informačním xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikačním xxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxxx xxxx xxxxxx xxxxxxxx, xxxxxxx xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx xxxxxxxxx xxxxxxxx x síti a xxxxxxxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxx a xxxxxxxxxx xxxxxxxx x xxxx xxxxxxxxxxxx x řídicích xxxxxxx,
x) ochranu jednotlivých xxxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxx systémů xxxx využitím známých xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
XXXXX XXX
XXXXXXXXXXXX XXXXXXXXXXX
§28
Xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) zákona xxxx x xxxxxxxxxxx xxxxxxxxxxxx dokumentaci, která xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxx xxxxx §5 xxxx. 1,
x) zprávy z xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §3 xxxx. 1 xxxx. x),
x) xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx podle §3 xxxx. 1 xxxx. x),
x) xxxxxxxx xxx xxxxxxxxxxxx x hodnocení xxxxx x xxx xxxxxxxxxxxx a xxxxxxxxx xxxxx,
x) xxxxxx x xxxxxxxxx aktiv x xxxxx,
x) xxxxxxxxxx x xxxxxxxxxxxxxxxx,
x) plán xxxxxxxx xxxxx,
x) plán xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx bezpečnostních incidentů xxxxx §13 xxxx. x),
x) strategii xxxxxx xxxxxxxxxx xxxxxxxx xxxxx §14 xxxx. 1 xxxx. x) x
x) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxx §15 odst. 1 xxxx. a).
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) xxxxxx xxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, která xxxxxxxx
x) xxxxxxxxxxxx politiku xxxxx §5 odst. 2,
x) xxxxxxxx xxx identifikaci x xxxxxxxxx aktiv x xxx xxxxxxxxxxxx x hodnocení rizik xxxxx §4 odst. 2 písm. x),
x) xxxxxx o xxxxxxxxx xxxxx a xxxxx xxxxx §4 xxxx. 2 písm. x) x x),
x) xxxxxxxxxx x aplikovatelnosti xxxxx §4 odst. 2 xxxx. x),
x) plán xxxxxxxx xxxxx xxxxx §4 xxxx. 2 xxxx. e),
f) xxxx xxxxxxx bezpečnostního xxxxxxxx xxxxx §9 xxxx. 1 xxxx. x),
x) xxxxxxxx kybernetických bezpečnostních xxxxxxxxx xxxxx §13 xxxx. e),
h) strategii xxxxxx kontinuity činností xxxxx §14 odst. 1 xxxx. x) x
x) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx předpisů x xxxxxx předpisů x xxxxxxxxx závazků xxxxx §15 xxxx. 1 písm. a).
(3) Xxxxx a osoba xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx xxx, xxx xxxxxxx o xxxxxxxxxxx xxxxxxxxxx byly xxxxx, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx x xxx xx xxxx xxxxxx xxxxxxxx. Xxxxxxxx xxxxxxxx x xxxxxxxxxxxx, xxxxxxx, xxxxxxx, vyhledání, xxxx xxxxxxxxx a uspořádání xxxxxxx x xxxxxxxxxxx xxxxxxxxxx dokumentuje.
(4) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx dokumentace xx xxxxxxxxx x příloze č. 4 x xxxx xxxxxxxx.
§29
Xxxxxxxxx xxxxxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 písm. c) xx x) xxxxxx, xxxxx xxxxxxxxxx systém xxxxxxxx informační infrastruktury, xxxxxxxxxxx systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxx xxxxxxxxxx xxxxxx xx zcela zahrnut xx xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx byl xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx xxxxx1) xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx, x xxxxx xxxx xxxxxxxxx xxxxxxxxxx
x) xxxxx xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx x xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) popis xxxxxxx metody xxxxxxxxx xxxxx a xxxxxx x xxxxxxxxx xxxxx,
x) xxxxxxxxxx x aplikovatelnosti,
e) xxxxxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx splňující xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx se xxxxxxxxxxx xxxxxxxxx1),
x) záznam x xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxx x
x) xxxxxx x xxxxxx provedených xxxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx o xxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxxxx xxxxxx,
xxxxxxx xxxxxxxxx xx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx x xxxx xxxxxxxx.
ČÁST XXXXX
XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX
§30
Xxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Xxxxx příčiny xxxx kybernetické bezpečnostní xxxxxxxxx rozděleny do xxxxxxxxxxxxx typů
a) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx xxxxxxxx xxxxxxx x průniku xx xxxxxxx nebo k xxxxxxx xxxxxxxxxxx služeb,
b) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx škodlivým xxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx xxxxxxxxxx technických xxxxxxxx,
x) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxx xxxxxx x
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx.
(2) Xxxxx xxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx rozděleny xx xxxxxxxxxxxxx typů
a) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobující xxxxxxxx xxxxxxxxxx aktiv,
b) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx,
x) kybernetický xxxxxxxxxxxx xxxxxxxx způsobující narušení xxxxxxxxxxx xxxxx, xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx kombinaci dopadů xxxxxxxxx x písmenech x) xx c).
§31
Kategorie xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxx xxxxxxx xxxxxxxx kybernetických bezpečnostních xxxxxxxxx se podle xxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - xxxxx xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx xxxxxx xx xxxxx x xxxxxxxx narušena xxxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx. Jeho xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x xxx, xx musí být xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx dalšímu xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx vzniklých x xxxxxxxxxxxxx xxxx.
x) Xxxxxxxxx II - xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx kterém xx xxxxxxxx bezpečnost xxxxxxxxxxxxx xxxxxx nebo xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx zásahy xxxxxxx x xxx, xx xxxx xxx xxxxxxxx prostředky xxxxxxxxx xxxxxxx šíření xxxxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxxxxx xxxxxxxxx xxxx.
x) Kategorie X - xxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx kterém xxxxxxx x méně xxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho xxxxxx xxxxxxxx xxxxxx obsluhy x tím, xx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx škod.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx
x) důležitost xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx systémy xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x
x) xxxxxxxxxxxxx xxxxx x xxxxx xxxxxx.
§32
Xxxxx a náležitosti xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxx kybernetický xxxxxxxxxxxx xxxxxxxx
x) x xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxx
1. elektronického xxxxxxxxx xxxxxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx,
2. xxxxxx xx xxxxxx xxxxxxxxxxxx xxxxx Xxxxx xxxxxx xxx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, zveřejněné xx xxxxxxxxxxxxx stránkách Xxxxx,
3. xxxxxx zprávy xx xxxxxx schránky Úřadu, xxxx
4. xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx rozhraní, jehož xxxxx je zveřejněn xx internetových xxxxxxxxx Xxxxx, xxxxx
x) x xxxxxxxx podobě na xxxxxx Národního xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxx v xxxxxxxx xxxxxx xx xxxxxx xxxxx x xxxxxxxxx, xxx nelze xxxxxx žádný xx xxxxxxx xxxxxxxxx x xxxxxxxx 1 písm. x).
(3) Xxxxxxxxxxx hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx x příloze č. 5 k xxxx xxxxxxxx.
XXXX XXXXXX
XXXXXXXXX XXXXXXXX X KONTAKTNÍ XXXXX
§33
Xxxxxxxxx xxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxx opatření x xxxx výsledek xx xxxxxxxxx, xxxxx xxxx xx xxxxxx x příloze č. 6 k xxxx vyhlášce.
§34
Kontaktní údaje
Orgán x xxxxx xxxxxxx v §3 zákona oznamuje xxxxxxxxx xxxxx na xxxxxxxxx, xxxxx vzor xx uveden v příloze č. 7 x této xxxxxxxx. Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxx x §32 xxxx. 1 xxxx. x).
XXXX PÁTÁ
ÚČINNOST
§35
Tato vyhláška xxxxxx účinnosti xxxx 1. ledna 2015.
Ředitel:
Ing. Xxxxxxxx x. x.
Xxxxxxx x. 1 x vyhlášce x. 316/2014 Sb.
Hodnocení a xxxxxx důležitosti xxxxx
Xxx xxxxxxxxx důležitosti xxxxx xxxx xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxx. Xxxxx xxxx xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona může xxxxxxxx odlišný xxxxx xxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxx xxxx je xxxxxx x xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx vazby xxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxxx důležitosti xxxxx a xxxxxxxxxx x úrovněmi xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx xxxx xxxxxxx x této příloze.
V xxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxx důležitosti xxxxx xx xxxxxxxxx xxxxxxx xxx úrovně xxxxx x xxxxxxx, xxxx xxxxxx vysoká x xxxxxxxx.
Xxxxxxxx xxx xxxxxxxxx důvěrnosti
|
Úroveň |
Popis |
Ochrana |
|
Nízká |
Aktiva xxxx xxxxxxx přístupná xxxx xxxx xxxxxx ke xxxxxxxxxx (např. xx xxxxxxx xxxxxx č. 106/1999 Sb., x xxxxxxxxx xxxxxxxx x xxxxxxxxxx, xx xxxxx xxxxxxxxxx xxxxxxxx). Xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx. |
Xxxx vyžadována xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxxxx xxxxxxx přístupná a xxxxx xxxx-xxx xxxxxx x xxxxx uvedené x §3 písm. x) xx x) xxxxxx, xxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxx předpisem nebo xxxxxxxx xxxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxx jsou využívány xxxxxxxxxx xxx xxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxx nejsou veřejně xxxxxxxxx a xxxxxx xxxxxxx xx xxxxxxxxxx xxxxxxxx předpisy, xxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx (např. xxxxxxxx xxxxxxxxx xxxxx xxxxxx č. 89/2012 Sb., občanský xxxxxxx, xxxxxx xxxxx xxxxx xxxxxx č. 101/2000 Sb., x xxxxxxx xxxxxxxx xxxxx, xx xxxxx xxxxxxxxxx xxxxxxxx). |
Xxx ochranu důvěrnosti xxxx xxxxxxxxx xxxxxxxxxx, xxxxx zajistí xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx informací xxxxxx xxxxxxxxxxx xxxx jsou xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx x vyžadují xxxxxxxxxxxxx xxxx xxxxxxx xxx rámec předchozí xxxxxxxxx (xxxx. xxxxxxxxxxx xxxxxxxx tajemství, citlivé xxxxxx údaje). |
Pro xxxxxxx xxxxxxxxxx xx xxxxxxxxxx xxxxxxxx xxxx, které x xxxxxxx xxxxxxxxxxx, x metody xxxxxxx xxxxxxxxxxx zneužití aktiv xx xxxxxx xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx jsou xxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxxxxxxx pro hodnocení xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx ochranu x xxxxxxxx integrity. Xxxxxxxx integrity xxxxxx xxxxxxxxxx oprávněné xxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. c) xx x) xxxxxx. |
Xxxx vyžadována xxxxx ochrana. |
|
Střední |
Aktivum xxxx xxxxxxxxx ochranu x xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx xxxxxx xxxx xxxx k xxxxxxxxx xxxxxxxxxxx xxxxx orgánu x xxxxx xxxxxxx v §3 písm. x) xx x) xxxxxx x xxxx xx xxxxxxxx xxxx závažnými xxxxxx na primární xxxxxx. |
Xxx ochranu integrity xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx (např. xxxxxxx xxxxxxxxxxxx xxxx pro xxxxx). |
|
Xxxxxx |
Xxxxxxx vyžaduje ochranu x xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx xxxxxx xxxx k xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) až e) xxxxxx s podstatnými xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx integrity xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx x xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx informací xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx sítěmi xx xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx vyžaduje xxxxxxx x hlediska xxxxxxxxx. Xxxxxxxx integrity xxxx x xxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona x xxxxxxx x xxxxx vážnými xxxxxx xx xxxxxxxx aktiva. |
Pro ochranu xxxxxxxxx jsou xxxxxxxxx xxxxxxxxx xxxxxxxxxx jednoznačné xxxxxxxxxxxx osoby xxxxxxxxxxx xxxxx (xxxx. pomocí xxxxxxxxxxx digitálního xxxxxxx). |
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx není xxxxxxxx x x xxxxxxx xxxxxxx xx xxxxx xxxxxxxxxx xxxxx xxxxxx období xxx xxxxxxx (cca xx 1 xxxxx). |
Xxx ochranu xxxxxxxxxxx je xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx xxxx pracovního xxx, xxxxxxxxxxxxx xxxxxxx xxxx x možnému xxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx. |
Xxx ochranu dostupnosti xxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx by xxxxxx překročit dobu xxxxxxxx xxxxx. Xxxxxxxx xxxxxxx xx xxxxx xxxxx xxxxxxxxxx, xxxxxxx xxxx x xxxxxxx xxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx. Xxxxxx xxxx xxxxxxxxxx xxxx xxxxx důležitá. |
Pro xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx poskytování xxxxxx xxxx xxx xxxxxxxxx zásahy xxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxxx x x xxxxxxxxxx nedostupnost (x xxxx xxxxxxxx xxxxx) xxxx x xxxxxxx ohrožení zájmů orgánu x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx. Xxxxxx xxxx xxxxxxxxxx jako xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx systémy x xxxxxx xxxxxxxxxxx xxxxxx xx xxxxxxxxxx x automatizovaná. |
Příloha x. 2 x xxxxxxxx x. 316/2014 Sb.
Hodnocení xxxxx
Xxxxxxxxx xxxxx je vyjádřeno xxxx xxxxxx, xxxxxx xxxxxxxxx dopad, xxxxxx x xxxxxxxxxxxx.
Xxx hodnocení xxxxx xxx použít xxxxxxx xxxx xxxxxx
xxxxxx = xxxxx x xxxxxx x zranitelnost.
Jednoznačné xxxxxx xxxxxx xxx xxxxxx xxxxxx xx xxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx a xxxxxxxxx xxxxxx
|
Xxxxxxxx pro xxxxxxxxx dopadů |
|
|
Úroveň |
Popis |
|
Nízký |
Dopad xx x omezeném časovém xxxxxx a malého xxxxxxx a xxxxx xxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxx x) 10 xxxxxxxxx xxxx x xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx než 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xx 5&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx veřejnost x xxxxxxxxx xxxxxxxx xxxxxxxxxx služeb xxxx xxxxxx xxxxxxxxx zásahu xx xxxxxxxxxxxx života xxxxxxxxxxxxx xxxxxxx 250 xxxx. |
|
Xxxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx x x xxxxxxxx xxxxxxx xxxxxx. Xxxxxx xxxxxxxxxx škod se xxxxxxxx v xxxxxxx x) xx 10 mrtvých xxxx xx 11 xx 100 xxxx x následnou xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xx 5&xxxx;000&xxxx;000 Kč xx 50&xxxx;000&xxxx;000 Xx anebo c) xxxxxxxxxxx xxxxx xx xxxxxxxxx x rozsáhlým xxxxxxxx xxxxxxxxxx služeb xxxx xxxxxx xxxxxxxxx xxxxxx xx každodenního xxxxxx xxxxxxxxxxxxx xx 251 do 2&xxxx;500 xxxx. |
|
Xxxxxx |
Xxxxx je xxxxxxxxx xxxxxxx, xxx xxxxxx xxxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xx xxxxxxxx x rozmezí a) xx 11 do 100 xxxxxxx nebo od 101 xx 1 000 xxxx x xxxxxxxxx xxxxxxxxxxxxx xx xxxx delší xxx 24 xxxxx xxxx x) xxxxxxxx xxxx materiální xxxxxx od 50 000 000 Xx xx 500&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx omezením xxxxxxxxxx služeb xxxx xxxxxx závažného zásahu xx každodenního xxxxxx xxxxxxxxxxxxx xx 2 501 xx 25 000 xxxx. |
|
Xxxxxxxx |
Xxxxx xx xxxxxx xxxxxxxx, xxxxxx x katastrofický. Rozsah xxxxxxxxxx škod se xxxxxxxx v xxxxxxx x) 10 a xxxx xxxxxxx a 1 001 x xxxx xxxx s xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx materiální ztráty xxxxxxxxxxx 500&xxxx;000&xxxx;000 Kč xxxxx x) xxxxxxxxxxx dopad xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx nebo xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx života postihujícího xxxx než 25&xxxx;000 xxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx xxxx xx málo xxxxxxxxxxxxx. Xxxxxxxxxxxxx realizace xxxxxx xxxx xxxxxxxx xxx xxxxxx xx 5 xxx. |
|
Xxxxxxx |
Xxxxxx xx xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxxxxxxxxxxx realizace xxxxxx xx x xxxxxxx xx 1 xxxx xx 5 let. |
|
Vysoká |
Hrozba xx xxxxxxxxxxxxx až xxxxx xxxxxxxxxxxxx. Předpokládaná xxxxxxxxx xxxxxx je x xxxxxxx xx 1 xxxxxx xx 1 xxxx. |
|
Xxxxxxxx |
Xxxxxx je xxxxx pravděpodobná až xxxxxxxx jistá. Předpokládaná xxxxxxxxx xxxxxx xx xxxxxxxx xxx jednou xx měsíc. |
|
Stupnice xxx xxxxxxxxx xxxxxxxxxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx xxxx xx zneužití xxxxxxxxxxxxx málo pravděpodobné. Xxxxxxxx xxxxxxxx bezpečnostní xxxxxxxx, které xxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxx nebo xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxxxxxx xx xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Existují kvalitní xxxxxxxxxxxx xxxxxxxx, jejichž xxxxxxxx xx pravidelně xxxxxxxxxxxx. Schopnost bezpečnostních xxxxxxxx xxxx detekovat xxxxx xxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxx opatření xx xxxxxxx. Nejsou známé xxxxx úspěšné pokusy x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx je xxxxxxxxxxxxx xx xxxxx pravděpodobná. Xxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxx jejich xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx x xxxx xxxxxxxxxx kontrolována. Xxxx xxxxx dílčí xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxxxxxx xx xxxxx pravděpodobná xx xx xxxxxxxx xxxxx xxxxxxxx. Bezpečnostní xxxxxxxx xxxxxx xxxxxxxxxxx xxxxx xx jejich účinnost xxxxxx xxxxxxx. Xxxxxxxxx xxxxxxxx účinnosti bezpečnostních xxxxxxxx. Xxxx známé xxxxxxx pokusy překonání xxxxxxxxxxxxxx opatření. |
|
Stupnice xxx xxxxxxxxx xxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx je xxxxxxxxxx za xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx xxxxxxx xxxx náročnými opatřeními xxxx v xxxxxxx xxxxx náročnosti opatření xx xxxxxx xxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxx xxxxxxxxxxx x xxxx být xxxxxxxx xxxxxxxxxxxx kroky x jeho xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxxxxxxxx x xxxx být xxxxxxxxxx xxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
X xxxxxxx, xx xxxxx nebo xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxxxx metodu pro xxxxxxxxxxxx x xxxxxxxxx xxxxx, která nerozlišuje xxxxxxxxx xxxxxx a xxxxxxxxxxxxx, je xxxxx xxxxxxxx pro xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxx. Sloučení xxxxxxx xx nemělo vést xx ztrátě xxxxxxxxxx xxxxxxxxx míry xxxxxx x zranitelnosti. Za xxxxx xxxxxx xxx xxxxxx například komentář, xxxxx xxxxxxxx vyjádří xxx úroveň xxxxxx, xxx x úroveň xxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx x xxxxx xxxx xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx, xxxxx xxxxxxx xxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxx, xxxxxx, xxxxxxxxxxxxx a xxxxx.
Xxxxxxx x. 3 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx algoritmy
(1) Xxxxxxxxxx xxxxxxxxx
x) Xxxxxxx x xxxxxxxx xxxxx xxx xxxxxxx xxxxxxxxxx x xxxxxxxxx
1. Xxxxxxxx Xxxxxxxxxx Standard (XXX) x využitím xxxxx xxxxx 128, 192 x 256 xxxx Xxxxxx Data Xxxxxxxxxx Xxxxxxxx (3XXX) x xxxxxxxx xxxxx xxxxx 168 xxxx, omezené xxxxxxx xxx se xxxxxxxxx xxxxx xxxxxx xxx 10 XX, xxxxxxxx přecházet xx XXX.
2. Xxxxxx Data Xxxxxxxxxx Xxxxxxxx (3DES) x xxxxxxxx délky xxxxx 112 xxxx, xxxxxxx použití xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX, postupně xxxxxxxxx xx XXX. Doporučeno xxxxxxx jedinečného klíče xxx každou zprávu.
3. Xxxxxxxx x využitím xxxxxxxxx xxxxx klíčů 128 xxxx, xxxxxxx xxxxxxx jen xx xxxxxxxxx klíče menším xxx 10 XX.
4. Xxxxxx s využitím xxxxx xxxxx 128 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX.
5. Xxxxxxx x xxxxxxxx délky xxxxx 128 xx 256 bitů.
6. Xxxxxxx x xxxxxxxx xxxxx xxxxx 128, 192, 256 xxxx.
7. Xxxxxxxx x využitím xxxxx xxxxx 128, 192 x 256 xxxx.
8. XXXX 2.0, SNOW 3X s využitím xxxxx xxxxx 128, 256 bitů.
b) Xxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx
1. XXX,
2. XXX,
3. XXX,
4. Xxxxxxx xxxxxxxx xxxx "Xxxxxxx-xxxx-XXX".
Xxxxxxxx:
Xxxxxxxx xxxx "Xxxxxxx-xxxx-XXX",xxxx používat k xxxxxxxxx xxxxx xxxxxxx xxxxxxxxx xxxx x x xxxxxxx XXX xxxxx uvedené xxxx xxx xxxxxxx xxxxxxxxx.
x) Xxxx šifrování
1. CTR,
2. XXX,
3. CBC,
4. XXX,
Xxxxxxxx:
Xxxx XXX a XXX xxxx xxx xxxxxxx x xxxxxxxx, xxx xxxxxxxx nepředpověditelným inicializačním xxxxxxxx, při použití xxxx OFB xx xxx daný klíč xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxxx vektoru, xxx xxxxxxx módu XXX xx xxx daný xxxx xxxxx xxxxxxxx xxxxxxx xxxxxx, x xxxxxxx xxxxxxx XXX xxxx x šifrování xxx ochrany integrity xx xxxxx xxxxxx xxxxxxxx proti xxxxx xx xxxxxxx XXX xxxx.
x) Módy xxx xxxxxxx xxxxxxxxx
1. HMAC,
2. XXX-XXX-X9.19, omezené xxxxxxx xxx xx zatížením xxxxxx než 109 XXX,
3. XXX-XXX-XXXX,
4. XXXX.
(2) Xxxxxxxxxxx xxxxxxxxx
x) Xxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx
1. Xxxxxxx Signature Xxxxxxxxx (XXX) s využitím xxxxx klíčů 2048 xxxx x více, xxxxx xxxxxxxxx cyklické xxxxxxxx 224 xxxx x xxxx.
2. Xxxxxxxx Xxxxx Digital Xxxxxxxxx Xxxxxxxxx (XX-XXX) s xxxxxxxx délky klíčů 224 bitů x xxxx.
3. Xxxxxx-Xxxxxx-Xxxxxxx Xxxxxxxxxxxx Xxxxxxxxx Xxxxxx (XXX-XXX) x xxxxxxxx xxxxx xxxxx 2048 bitů x xxxx.
x) Xxx xxxxxxx dohod xx xxxxx x xxxxxxxxx xxxxx
1. Xxxxxx-Xxxxxxx (DH) x xxxxxxxx xxxxx xxxxx 2048 xxxx x více, xxxxx xxxxxxxxx xxxxxxx xxxxxxxx 224 xxxx a xxxx.
2. Xxxxxxxx Xxxxx Xxxxxx-Xxxxxxx (XXXX) s xxxxxxxx xxxxx xxxxx 224 xxxx x xxxx.
3. Xxxxxxxx Xxxxx Xxxxxxxxxx Encryption System - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXXXX-XXX) x xxxxxxxx xxxxx xxxxx 256 xxxx a xxxx.
4. Xxxxxxxx Xxxxxx Xxxxxxxx Xxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXXX-XXX) s xxxxxxxx xxxxx klíčů 256 xxxx xxxx.
5. Asymetrie Xxxxxxx and Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) x xxxxxxxx délky xxxxx 256 xxxx x xxxx.
6. Xxxxxx Xxxxxx Xxxxxxx - Xxxxxxx Xxxxxxxxx Encryption Xxxxxxx (RSA-OAEP) x xxxxxxxx xxxxx xxxxx 2048 a více.
7. Xxxxxx Xxxxxx Xxxxxxx - Key Encapculation Xxxxxxxxx (XXX-XXX) x xxxxxxxx délky xxxxx 2048 a více.
(3) Xxxxxxxxx xxxx xxxxxx
x) XXX-2
1. XXX-224,
2. SHA-256,
3. XXX-384,
4. SHA-512,
5. SHA-512/224,
6. XXX-512/256.
x) XXX-3
1. SHA3-224,
2. XXX3-256,
3. XXX3-384,
4. XXX3-512,
5. XXXXX-128,
6. SHAKE-256.
c) Ostatní xxxxxxxx xxxxxx
1. Whirpool,
2. XXXXXX-160,
3. XXX 1 x omezeným xxxxxxxx.
Xxxxxxxx x. 1:
SHA-1 xx xxxxx xxxxxxxx xxx xxxxxxxxxx xxxxxx digitálních xxxxxxx, xxxxxxxx razítek, xxxxxxxxx jiné xxxxxxxx xxxxxxxxxx xxxxxxxxx XXX-1.
Xxxxxxxx x. 2:
SHA-1 lze xxxxxxxx xxxxx xxx xxxxxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx x xxxxxxxx razítek, generování x xxxxxxxxx XXXX-XXX1, xxxxxx xxx odvozování xxxxx a xxxxxxxxxxxxx xxxxxxxxxx.
Xxxxxxx x. 4 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
Xxxx příloha xxxxxxxx xxxxxxxxxx xxxxx bezpečnostní xxxxxxxxxxx. Navrhované struktury xxxxxxxxxxxx dokumentů zahrnují xxxxxx, xxxxx jednotlivé xxxxxxxxx xxxxx této xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx x xx xx orgánu xxxx osobě xxxxxxx x §3 písm. x) až x) xxxxxx, xxxx xxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx použije. Xxxxxxxxx xx x změna xxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxx xxxx xxxxx xx jednoho xxxxxxxxx.
X. Xxxxxxxxx bezpečnostní xxxxxxxx
(1) Xxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. a)]
a) Xxxx, xxxxxxxx x xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx x xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxx a xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx.
x) Pravidla a xxxxxxx xxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx nápravná xxxxxxxx x xxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
(2) Politika organizační xxxxxxxxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxxxxxxxxx xxxx a xxxxxx xxxx x xxxxxxxxxx,
1. xxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
2. xxxxx a xxxxxxxxxx xxxxxxxxxx kybernetické xxxxxxxxxxx,
3. xxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx bezpečnosti,
4. xxxxx a povinnosti xxxxxxx aktiv,
5. práva x xxxxxxxxxx xxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx činností xxxxxxxxxxxx xxxxxxxxxxxxxx rolí.
(3) Xxxxxxxx xxxxxx xxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx x principy xxx xxxxx xxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxx xxxxxxxxxx.
x) Xxxxxxxxxxx xxxxxxx o úrovni xxxxxx x xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x x xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx xxxxxxxxxx.
(4) Xxxxxxxx xxxxxxxxxxx xxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Identifikace, hodnocení x xxxxxxxx xxxxxxxxxx xxxxx
1. určení x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx určení xxxxxx xxxxxxx,
2. xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx aktiv x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx a xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxx xxxxx xxxx primárními x xxxxxxxxxx xxxxxx.
x) Pravidla xxxxxxx jednotlivých xxxxxx xxxxx
1. způsoby rozlišování xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx xxxxx xxxxx xxxxxx xxxxx,
3. xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx dat.
(5) Xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxx xxxx xxxxxxxxx
1. xxxxxxx a xxxxx xxxxxxx xxxxxxxxx,
2. xxxxxxx x formy xxxxxxx xxxxxxx aktiv,
3. způsoby x xxxxx xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx x xxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx bezpečnostní xxxx.
x) Bezpečnostní xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxx řešení xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx.
x) Pravidla xxx xxxxxxxx xxxxxxxxxx vztahu xxxx xxxxx xxxxxxxx xxxxxx.
1. vrácení svěřených xxxxx x xxxxxxxx xxxx xxx xxxxxxxx xxxxxxxxxx vztahu,
2. xxxxx xxxxxxxxxxxx xxxxxxxxx při xxxxx pracovní xxxxxx.
(6) Xxxxxxxx xxxxxx xxxxxxx x komunikací**
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. f)]
a) Xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x bezpečným xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx x xxxxxxxxx xxxxxxxxxx provozu.
d) Xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx.
x) Pravidla x omezení pro xxxxxxxxx auditů kybernetické xxxxxxxxxxx x bezpečnostních xxxxx.
(7) Politika řízení xxxxxxxx**
[§5 xxxx. 1 xxxx. g), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxx minimálních xxxxxxxxx/xxxxxxx xxxx (xxxx xx xxxx).
x) Xxxxxxxxx xx xxxxxx přístupu.
c) Xxxxxxx xxxxxx xxxxxx xxxxxxxx.
x) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.
x) Řízení přístupu xxx mimořádné xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx přístupových xxxxxxxxx včetně xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx.
(8) Politika xxxxxxxxxx chování xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxx pro bezpečné xxxxxxxxx x aktivy.
b) Xxxxxxxx použití xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx pošty x xxxxxxxx xx xxxxxxxx.
x) Xxxxxxxx vzdálený xxxxxxx.
x) Xxxxxxxx xxxxxxx xx xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx xx xxxxxx x xxxxxxxx xxxxxxxxx.
(9) Xxxxxxxx xxxxxxxxxx a xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxx xx xxxxxxxxxx x xxxxxx.
x) Pravidla x postupy xxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx.
x) Xxxxxxxx a xxxxxxx obnovy.
e) Xxxxxxxx x xxxxxxx testování xxxxxxxxxx a xxxxxx.
(10) Xxxxxxxx bezpečného předávání x výměny informací**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx a xxxxxxx pro xxxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(11) Xxxxxxxx řízení xxxxxxxxxxx xxxxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx xxx xxxxxxx instalace xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) Xxxxxxxx a xxxxxxx xxxxxxxxx xxxxx programového xxxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
(12) Politika xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx*
[§5 odst. 1 xxxx. 1)]
x) Xxxxxxxx x xxxxxxx pro xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, kterými xxxxx a osoba xxxxxxx x §3 xxxx. x) a x) xxxxxx nedisponuje.
(13) Xxxxxxxx xxxxxxxxxxx x xxxxxxxx licencí xxxxxxxxxxxx xxxxxxxx x informací*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx evidence.
b) Xxxxxxxx x xxxxxxx xxx kontrolu dodržování xxxxxxxxxx podmínek.
(14) Xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx informací*
[§5 xxxx. x xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxx a xxxxxxx.
x) Xxxxxxx xxxxxxxxxxxxx xxxxxxxxx a záznamů.
c) Xxxxxxxx přístupu x xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxx.
(15) Xxxxxxxx xxxxxxx xxxxxxxx xxxxx*
[§5 xxxx. x písm. o), §5 xxxx. 2 xxxx. k)]
a) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx a xxxxxxxxxxx organizačních xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
x) Popis přijatých x xxxxxxxxxxx technických xxxxxxxx pro xxxxxxx xxxxxxxx údajů.
(16) Xxxxxxxx xxxxxxx bezpečnosti**
[§5 xxxx. x xxxx. x)]
x) Xxxxxxxx pro xxxxxxx xxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx xxx xxxxxxx xxxxxxxx.
x) Detekce xxxxxxxx xxxxxxx xxxxxxxxxxx.
(17) Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx sítě**
[§5 xxxx. 1 písm. x)]
x) Pravidla a xxxxxxx pro zajištění xxxxxxxxxxx sítě.
b) Určení xxxx x xxxxxxxxxx xx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx a xxxxxxx xxx řízení xxxxxxxx v xxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxxxx x xxxx.
x) Pravidla x xxxxxxx xxx monitorování xxxx x xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.
(18) Xxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx*
[§5 xxxx. l xxxx. r), §5 xxxx. 2 písm. x)]
x) Pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxxx mezi xxxxxxx x xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx ochranu serverů x sdílených datových xxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx ochranu xxxxxxxxxx xxxxxx.
(19) Xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx xxx detekci xxxxxxxxxxxxxx bezpečnostních událostí**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Provozní xxxxxxx xxx xxxxxxxxxxxxx a xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
(20) Xxxxxxxx využití x xxxxxx xxxxxxxx pro xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx x vyhodnocení kybernetických xxxxxxxxxxxxxx událostí.
b) Xxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Pravidla a xxxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
(21) Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx**
[§5 xxxx. 1 xxxx. u), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx ochrany x xxxxxxx xx xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx
1. xxx xxxxxxx po xxxxxxxxxxxxx xxxxxx,
2. při xxxxxxx xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx nosič dat,
c) Xxxxxx správy xxxxx.
XX. Xxxxxxxxx další dokumentace
(1) Xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx**
[§28 xxxx. 1 xxxx. x)]
x) Xxxx auditu kybernetické xxxxxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx xxxx xxxxxxxx x xxxx, které xx auditu kybernetické xxxxxxxxxxx zúčastnily.
e) Xxxxx x místo, kde xxxx prováděny xxxxxxxx xxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxx z xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(2) Xxxxxx z xxxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx**
[§28 odst. 1 písm. x)]
x) Xxxxxxxxxxx opatření x xxxxxxxxxxx přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) Xxxxxxxxxxxx xxxx x xxxxxxxxx, které xxxxx xxx xxxx na xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Zpětná xxxxx x výkonnosti xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x xxxxxxxx xxxxxxxx,
2. xxxxxxxx xxxxxxxxxxxx x xxxxxx,
3. xxxxxxxx xxxxxx,
4. xxxxxxxx cílů xxxxxxxxxxx,
x) Xxxxxxxx hodnocení xxxxx x xxxx xxxxx xxxxxxxx xxxxx.
x) Xxxxxxxxxxxx xxxxxxxx xxx neustálé xxxxxxxxxx.
x) Xxxxxxxxxx potřebných xxxxxxxxxx, stanovení opatření x osob xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
(3) Xxxxxxxx xxx identifikaci x hodnocení aktiv x pro identifikaci x xxxxxxxxx xxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. b)]
a) Xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxxxxxx aktiv
1. xxxxxx stupnice xxx xxxxxxxxx úrovní xxxxxxxxxx xxxxx,
2. určení xxxxxxxx xxx hodnocení xxxxxx xxxxxxxxx xxxxx,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx dostupnosti xxxxx.
x) Xxxxxx stupnice pro xxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx dopadu,
2. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxx,
3. určení xxxxxxxx xxx hodnocení xxxxxx xxxxxxxxxxxxx,
4. určení xxxxxxxx xxx hodnocení xxxxxx xxxxx,
x) Metody x přístupy xxx xxxxxxxx rizik.
b) Způsoby xxxxxxxxxxx xxxxxxxxxxxx xxxxx.
(4) Xxxxxx x xxxxxxxxx xxxxx a rizik**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. c)]
a) Xxxxxxx primárních aktiv
1. xxxxxxxxxxxx a xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxxxxx xxxxxxxxxx aktiv x xxxxxxxx důvěrnosti, xxxxxxxxx a dostupnosti.
b) Xxxxxxx xxxxxxxxxx xxxxx (xxxxxxx pro xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) zákona)
1. xxxxxxxxxxxx x xxxxx podpůrných xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxx xxxxx xxxx primárními x xxxxxxxxxx aktivy,
c) Xxxxxxxxxxxxxx a xxxxxxxxx xxxxx
1. xxxxxxxxx xxxxxxx xxxxxx na xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx zranitelností, xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx xxxx úrovně x xxxxxxxx pro xxxxxxxxxxxx xxxxx,
5. xxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx rizik
1. xxxxx xxxxxxx zvládání xxxxx,
2. návrh xxxxxxxx x xxxxxx xxxxxxxxx.
(5) Xxxxxxxxxx o xxxxxxxxxxxxxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx xxxxxx xxxxxxxxxx xxxxxx výběru a xxxxxx xxxxx na xxxxxxxxxxxxxx xxxxxx.
x) Přehled xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(6) Xxxx xxxxxxxx rizik**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx x cíle xxxxxxxxx bezpečnostních xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxxx xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx zvládání rizik.
c) Xxxxx xxxxxxxxxxx jednotlivá xxxxxxxxxxxx opatření xxx xxxxxxxx rizik.
d) Termíny xxxxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx xxx xxxxxxxx xxxxx.
x) Způsoby xxxxxxxxx xxxxxxxxxx zavedení xxxxxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx.
(7) Xxxx xxxxxxx xxxxxxxxxxxxxx povědomí*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx a xxxxxxx xxxxxxx uživatelů.
b) Xxxxx x xxxxxxx xxxxxxx xxxxxxx aktiv (xxxxxxx xxx orgány x xxxxx xxxxxxx v §3 písm. e) xxxxxx).
x) Xxxxx x xxxxxxx xxxxxxx administrátorů (xxxxxxx xxx orgány x xxxxx uvedené x §3 xxxx. x) zákona).
d) Xxxxx x xxxxxxx poučení xxxxxxx osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxx x způsoby xxxxxxxxx xxxxx.
(8) Xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Definování xxxxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx.
x) Pravidla a xxxxxxx pro xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx x pro xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(9) Xxxxxxxxx xxxxxx kontinuity činností**
[§28 xxxx. 1 písm. x), §28 odst. 2 xxxx. x)]
x) Xxxxx x povinnosti xxxxxxxxxxxx xxxx.
x) Cíle xxxxxx xxxxxxxxxx xxxxxxxx
1. xxxxxxxxx úroveň xxxxxxxxxxxxx xxxxxx,
2. xxxx xxxxxxxx xxxxx,
3. xxx xxxxxxxx xxxxx.
x) Strategie xxxxxx xxxxxxxxxx xxxxxxxx xxx xxxxxxxx cílů kontinuity.
d) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx kontinuitu x xxxxxxxxxx souvisejících xxxxx.
x) Xxxxxx a xxxxx xxxxxxxxxx xxxxx kontinuity.
f) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Národním xxxxxxxxxxxxx xxxxxx.
(10) Xxxxxxx xxxxxx závazných xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 písm. i)]
a) Xxxxxxx obecně závazných xxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx předpisů x xxxxxx předpisů.
c) Xxxxxxx xxxxxxxxx xxxxxxx.
Xxxxxxxx:
* Xxxxxxxxx xxxxxxxxx xxxxxxxxx xx xx xxxxxx střední xxxxx xxxxxxxx uvedené x příloze č. 1: Hodnocení x xxxxxx aktiv.
** Xxxxxxxxx xxxxxxxxx dokumentu xx xx xxxxxx xxxxxx xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.
Xxxxxxx č. 5 x vyhlášce č. 316/2014 Sb.
Formulář hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx č. 6 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx xxxxxxxx x provedení reaktivního xxxxxxxx x jeho xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx x. 7 x vyhlášce č. 316/2014 Sb.
Formulář pro xxxxxxx kontaktních xxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxxxx
Xxxxxx xxxxxxx x. 316/2014 Xx. xxxxx xxxxxxxxx xxxx 1.1.2015.
Ke xxx xxxxxxxx xxxxxx xxxxxxx xxxxx xxxxx xx xxxxxxxxx.
Xxxxxx xxxxxxx x. 316/2014 Xx. xxx xxxxxx xxxxxxx xxxxxxxxx č. 82/2018 Sb. x xxxxxxxxx od 28.5.2018.
Xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx právních xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxxx, pokud xx xxxx netýká xxxxxxxxx xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
1) XXX/XXX 27001:2013, xxxxxxxx XXX ISO/IEC 27001:2014