Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
XXXXXXXX
xx dne 15. xxxxxxxx 2014
x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx, reaktivních xxxxxxxxxx x x xxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx bezpečnosti (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx xxxxxxxxxxxx úřad xxxxxxx xxxxx §28 xxxx. 2 xxxxxx x. 181/2014 Xx., x xxxxxxxxxxxx xxxxxxxxxxx x o xxxxx xxxxxxxxxxxxx zákonů (xxxxx x kybernetické bezpečnosti), (xxxx jen "xxxxx") x provedení §6 xxxx. x) xx x), §8 xxxx. 4, §13 xxxx. 4 x §16 xxxx. 6 zákona.
XXXX PRVNÍ
ÚVODNÍ XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxxx xxxxxxxxx xx xxxxxxx xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxx xxxxxxxxxx systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxx informační systém, xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxx jejich xxxxxxxx, xxxx x kategorie xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx x způsob xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx, náležitosti xxxxxxxx x provedení reaktivního xxxxxxxx x jeho xxxxxxxx x xxxx xxxxxxxx xxxxxxxxxxx xxxxx x jeho xxxxx.
§2
Xxxxxxxx pojmů
V xxxx xxxxxxxx xx rozumí
a) xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx část xxxxxxx xxxxxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxxxxx na xxxxxxxx x xxxxxxx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, která xxxxxxx xxxxxx xxxxxxxx, zavádění, xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx x zlepšování xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxx,
x) primárním xxxxxxx xxxxxxxxx nebo xxxxxx, xxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx informační infrastruktury xxxx xxxxxxxx xxxxxxxxxx xxxxxx,
x) podpůrným aktivem xxxxxxxxx xxxxxxx, zaměstnanci x dodavatelé xxxxxxxxxx xx na provozu, xxxxxxx, xxxxxx nebo xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx, komunikační prostředky x xxxxxxxxxx vybavení xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx, xx kterých xxxx xxxx systémy xxxxxxxx,
x) xxxxxxx možnost, xx xxxxxx hrozba xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx a způsobí xxxxxxxxx aktiva,
g) xxxxxxxxxx xxxxx xxxxxx, při xxxx je určována xxxxxxxxxx xxxxx x xxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxx rizik činnost xxxxxxxxxx xxxxxxxxx rizik, xxxxx a xxxxxxxx xxxxxxxx xx xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx x riziku x xxxxxxxxx x xxxxxxxxxxx xxxxx,
x) hrozbou xxxxxxxxxxxxx xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxx nebo xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxx xxxx xxx xxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxx xxxxx xxxxx aktiva xxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxx xxxxxxxx jednou nebo xxxx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) bezpečnostní xxxxxxxxx xxxxxx xxxxx x xxxxxxxx, které xxxxxx způsob zajištění xxxxxxx xxxxx orgánem x xxxxxx xxxxxxxx x §3 xxxx. x) až x) xxxxxx,
x) garantem xxxxxx xxxxxxx osoba xxxxxxxx xxxxxxx xxxx osobou xxxxxxxx v §3 xxxx. c) až x) xxxxxx x xxxxxxxxx xxxxxxx, použití x xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxx xxxxx veřejné moci, xxxxx xxxxxxx primární xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxx xxxxx pověřená xxxxxxxx xxxxxx zajišťující xxxxxx, xxxxxx, xxxxxxx, xxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxx.
ČÁST XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx řízení xxxxxxxxxxx informací
(1) Orgán x xxxxx uvedená x §3 písm. x) a x) xxxxxx x rámci xxxxxxx xxxxxx bezpečnosti xxxxxxxxx
x) stanoví x xxxxxxx xx xxxxxx x organizační xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx, xx xxxxxx xxxx, xxxxxxx xxxxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxx xx systém xxxxxx xxxxxxxxxxx informací xxxx,
x) xxxx rizika xxxxx §4 xxxx. 1,
x) xxxxxxx a xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxx xxxxxx bezpečnosti informací, xxxxx xxxxxxxx hlavní xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx ve xxxxxx x xxxxxx bezpečnosti xxxxxxxxx x xx xxxxxxx xxxxxxxxxxxxxx potřeb x výsledků xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §5 x zavede příslušná xxxxxxxxxxxx xxxxxxxx,
x) monitoruje xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx vhodnost x xxxxxxxx bezpečnostní xxxxxxxx xxxxx §5,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx podle §15, x xx nejméně xxxxxx ročně,
g) xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx včetně xxxxxx hodnocení xxxxx, xxxxxxxxx výsledků xxxxxxxxxxx xxxxxxx a auditů xxxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, x xx nejméně xxxxxx xxxxx,
x) xxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a příslušnou xxxxxxxxxxx xx základě xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx vyhodnocení xxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx a x souvislosti s xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx x
x) xxxx xxxxxx a xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxx xxxxxxx xx systémem xxxxxx bezpečnosti xxxxxxxxx x řízením xxxxx.
(2) Xxxxx a xxxxx xxxxxxx v §3 xxxx. e) xxxxxx x xxxxx systému xxxxxx bezpečnosti xxxxxxxxx
x) xxxx xxxxxx xxxxx §4 xxxx. 2,
x) xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxx xxxxxxx řízení xxxxxxxxxxx informací, která xxxxxxxx xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx xx vztahu x xxxxxx xxxxxxxxxxx informací x xx xxxxxxx xxxxxxxxxxxxxx xxxxxx a xxxxxxxx hodnocení xxxxx xxxxxxx bezpečnostní xxxxxxxx x dalších xxxxxxxxx xxxxx §5, x xxxxxx příslušná xxxxxxxxxxxx xxxxxxxx a
c) provádí xxxxxxxxxxx xxxxxx x xxxxxxxxx xxxxx a xxxxx, xxxxxxxxxxxx xxxxxxxx, xxxxx zvládání rizik x xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx, x xx xxxxxxx xxxxxx xx xxx roky xxxx v souvislosti x prováděnými xxxx xxxxxxxxxxx xxxxxxx.
§4
Xxxxxx rizik
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx x xxxxx xxxxxx rizik
a) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x pro xxxxxxxxxxxx x xxxxxxxxx rizik xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx rizik,
b) xxxxxxxxxxxx a hodnotí xxxxxxxxxx xxxxx, xxxxx xxxxx do xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx §8 x xxxxxxx přílohy č. 1 x této xxxxxxxx x výstupy zapracuje xx xxxxxx x xxxxxxxxx aktiv x xxxxx,
x) identifikuje xxxxxx, xxx kterých xxxxxxxx xxxxxx a zranitelnosti, xxxxxxx xxxxx xxxxxx xx xxxxxx, xxxxxxx xxxx rizika xxxxxxxxx x rozsahu xxxxx přílohy č. 2 x xxxx xxxxxxxx, xxxx x xxxxxxx přijatelná xxxxxx x xxxxxxxx zprávu x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx x xxxxxx plán zvládání xxxxx, který xxxxxxxx xxxx a xxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx rizik, určení xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, lidské x xxxxxxxxxx xxxxxx, xxxxxx xxxxxx zavedení x xxxxx vazeb xxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxxx odkladu xxxxxxxxx x xxxxxxxx xxxxxxxx xxxxxx Národním bezpečnostním xxxxxx (dále jen "Xxxx") x xxxxxxxxx xxxxx x x xxxxxxx, xx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxx zranitelnosti xxxxxxx x realizací xxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx, xxxxxx xxxx xxxxxxxx xxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xxxxxx v rámci xxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx aktiv x xxx xxxxxxxxxxxx x xxxxxxxxx rizik xxxxxx xxxxxxxxx kritérií xxx přijatelnost xxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx primárních xxxxx, xxxxx patří xx xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxx §8 minimálně x xxxxxxx přílohy č. 1 k xxxx vyhlášce x xxxxxxx xxxxxxxxx do xxxxxx o hodnocení xxxxx a rizik,
c) xxxxxxxxxxxx xxxxxx, při xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxxxxx, xxxxxxx xxxxx xxxxxx na xxxxxxxx xxxxxx, hodnotí xxxx xxxxxx xxxxxxxxx x xxxxxxx xxxxx přílohy č. 2 x xxxx xxxxxxxx x xxxxxxxx xxxxxx x xxxxxxxxx xxxxx x rizik,
d) xxxxxxxx xx základě xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx o aplikovatelnosti, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx x zavedených xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx x zavede plán xxxxxxxx xxxxx, který xxxxxxxx xxxx x xxxxxxx bezpečnostních opatření xxx xxxxxxxx xxxxx, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx a xxxxxxxxxx xxxxxx, xxxxxxx xxxxxx xxxxxxxx x xxxxx xxxxx xxxx identifikovanými xxxxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxxx xxxxxxx reaktivní x xxxxxxxx xxxxxxxx vydaná Xxxxxx x xxxxxxxxx xxxxx a x xxxxxxx, xx xxxxxxxxx xxxxx aktualizované x xxxx xxxxxxxxxxxxx spojené x realizací xxxxxxxxxxx xxxx ochranného opatření xxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx, xxxxxx plán xxxxxxxx xxxxx.
(3) Xxxxxx rizik xxxx xxx zajištěno x jinými xxxxxxx, xxx xxx je xxxxxxxxx x odstavcích 1 x 2, xxxxx orgán a xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxxxxxxx, xx xxxxxxx xxxxxxxx zajišťující stejnou xxxx vyšší úroveň xxxxxx xxxxx.
(4) Xxxxx x osoba uvedená x §3 písm. x) xx e) xxxxxx xxx xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxx xxxxxx
x) xxxxxxxx xxxxxxxxxxxx politiky, provedení xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx ze xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxx nebo xxxxxxx xxxxxxxxxxx anebo programového xxxxxxxx,
x) zneužití identity xxxxxxx osoby,
d) užívání xxxxxxxxxxxx xxxxxxxx x xxxxxxx x xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx xxxx x xxxxxxxxxxx xxxx,
x) xxxxxxxx xxx (xxxxxxxxx xxxx, spyware, xxxxxxx xxxx),
x) xxxxxxxxxx xxx xxxxxxxxxxx služeb xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx,
x) narušení xxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxxxx elektronických komunikací xxxx xxxxxxx elektrické xxxxxxx,
x) xxxxxxxx nebo xxxxxxxxxxx xxxxxxxxxx údajů,
k) xxxxxx xxxxxxxx xxxxxx x
x) xxxxxxxx xxxx xxxxxxxxx xxxxxx.
(5) Xxxxx x xxxxx uvedená x §3 xxxx. x) až x) xxxxxx xxx hodnocení xxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx vnějšího perimetru,
b) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x administrátorů,
c) xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
x) nevhodné xxxxxxxxx xxxxxxxxxxxx oprávnění,
e) nedostatečné xxxxxxx při identifikování x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx jevů, kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx monitorování xxxxxxxx xxxxxxxxx a administrátorů x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxx xxxx xxxxxxx způsoby chování x
x) nedostatečné stanovení xxxxxxxxxxxxxx pravidel, xxxxxxxx xxxx nejednoznačné xxxxxxxx xxxx a xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx.
(6) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxx hodnocení xxxxx dále xxxxxxx xxxx xxxxxx
x) xxxxxxxx xxxxxxxxxxxx politiky, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx ze xxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xx xxxxxx xxxxxxxxxxx,
x) zneužití xxxxxxxxx xxxxxxxxxx, xxxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx elektrické energie xxxx jiných xxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx x potřebnou xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx, xxxxxxx špionážních xxxxxxx x
x) zneužití xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxx.
(7) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx xxx xxxxxxxxx xxxxx xxxx xxxxxxx xxxx xxxxxxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx bezpečnostní xxxxxxxxxxxx,
x) nedostatečná xxxx xxxxxxxxx xxxxxxxx x
x) xxxxxxxxxxx včasného xxxxxxxx xxxxxxxxx xx strany xxxxxxxxxxx.
§5
Xxxxxxxxxxxx politika
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxxxx
x) xxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) organizační xxxxxxxxxx,
x) xxxxxx xxxxxx s xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxxx,
x) xxxxxx přístupu,
h) xxxxxxxx chování xxxxxxxxx,
x) xxxxxxxxxx x xxxxxx,
x) xxxxxxxx předávání x xxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx,
x) bezpečné xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx a xxxxxxxxx xxxxxxxxx,
x) xxxxxxx osobních xxxxx,
x) xxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx komunikační sítě,
r) xxxxxxx xxxx xxxxxxxxx xxxxx,
x) xxxxxxxx x xxxxxxxxx xxxxxxxx pro xxxxxxx kybernetických bezpečnostních xxxxxxxx,
x) využití x xxxxxx xxxxxxxx pro xxxx a vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
x) používání xxxxxxxxxxxxxx xxxxxxx.
(2) Xxxxx a xxxxx uvedená x §3 xxxx. x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxxxx
x) xxxxxx řízení bezpečnosti xxxxxxxxx,
x) xxxxxxxxxxx bezpečnost,
c) xxxxxx dodavatelů,
d) xxxxxxxxxxx xxxxx,
x) bezpečnost lidských xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxxx,
x) xxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxx,
x) zálohování a xxxxxx,
x) xxxxxxxxxxx x xxxxxxxx licencí programového xxxxxxxx a informací,
k) xxxxxxx xxxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxx škodlivým xxxxx x
x) xxxxxxxx x xxxxxxxxx xxxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx x osoba xxxxxxx x §3 xxxx. x) až x) xxxxxx pravidelně xxxxxxx xxxxxxxx xxxxxxxxxxxx politiky x xxxxxxxxxxx xx.
§6
Organizační xxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx zavede organizaci xxxxxx xxxxxxxxxxx xxxxxxxxx, x xxxxx xxxxx xxxx xxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxx xxxx x xxxxxx xxxxx x povinnosti xxxxxxxxxxx x xxxxxxxxxxx systémem xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx informačním systémem.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx určí xxxxxxxxxxxx xxxx
x) xxxxxxx xxxxxxxxxxxx bezpečnosti,
b) architekt xxxxxxxxxxxx bezpečnosti,
c) xxxxxxx xxxxxxxxxxxx bezpečnosti x
x) xxxxxx aktiva xxxxx §2 xxxx. x).
(3) Xxxxx x xxxxx xxxxxxx v §3 xxxx. e) určí xxxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxx 2.
(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx, xxxxxxxxx xx systém xxxxxx xxxxxxxxxxx informací, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx způsobilost xxxxx x řízením xxxxxxxxxxx xxxxxxxxx xx xxxx nejméně xxx xxx.
(5) Architekt xxxxxxxxxxxx xxxxxxxxxxx xx osoba xxxxxxxxxxx xxxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx je xxx xxxx činnost xxxxxxxxx x xxxxxxx odbornou xxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xx dobu nejméně xxx let.
(6) Auditor xxxxxxxxxxxx bezpečnosti je xxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx bezpečnosti, xxxxx xx xxx xxxx xxxxxxx vyškolena x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx s xxxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti xx dobu nejméně xxx let. Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xxxx nestranně x xxxxx jeho xxxx xx xxxxxxx xx xxxxxx xxxx xxxxxxxxx x xxxxxxxx 2 xxxx. x), x) xxxx d).
(7) Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx, které jsou xxxxxxxx celkovým řízením x rozvojem xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx, xxxxx xx xxxxxxxx xxxxxxxx xx xxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx.
(8) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona xxxxxxx xxxxxxx xxxxxxx xxxx, které xxxxxxxxx xxxxxxxxxxxx role x xxxxxxx s xxxxxx xxxxxxx xxxxxxxxxxxxxx povědomí xxxxx §9 xxxx. 1 xxxx. b).
§7
Xxxxxxxxx bezpečnostních xxxxxxxxx xxx xxxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxx pravidla xxx xxxxxxxxxx, xxxxx xxxxxxxxxx potřeby řízení xxxxxxxxxxx informací, a xxxxxxxx xx u xxxxxxxxxx nebo jiných xxxx, xxxxx xx xxxxxxxx na rozvoji, xxxxxxx xxxx zajištění xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury nebo xxxxxxxxxx informačního systému. Xxxxxx xxxxxxxx xxxxxxxxxx xx xxxxxxx, provozu xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx prokazatelně xxxxxxxxxxx xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxxxxx, xxxxx xxxxxxxx xx xxxxxxxxxx o xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) a x) xxxxxx u xxxxxxxxxx xxxxxxxxx x xxxxxxxx 1 dále
a) před xxxxxxxxx xxxxxxx provádí xxxxxxxxx xxxxx podle přílohy č. 2 k xxxx xxxxxxxx, xxxxx xxxx xxxxxxx x podstatnými xxxxxxxxx,
x) uzavírá xxxxxxx x úrovni xxxxxx, xxxxx xxxxxxx způsoby x úrovně xxxxxxxxx xxxxxxxxxxxxxx opatření x xxxx xxxxx vzájemné xxxxxxx odpovědnosti za xxxxxxxx x kontrolu xxxxxxxxxxxxxx opatření, x
x) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx a xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxx xxxxxx a zjištěné xxxxxxxxxx xxxxxxxxxx xxxx xx xxxxxx x xxxxxxxxxxx zajistí xxxxxx xxxxxxxxxx.
§8
Řízení xxxxx
(1) Orgán x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxx,
x) xxxx garanty xxxxx, xxxxx xxxx xxxxxxxxx za xxxxxxxx xxxxxx, x
x) hodnotí xxxxxxxxxx primárních xxxxx x xxxxxxxx důvěrnosti, xxxxxxxxx x dostupnosti x xxxxxx xx xx jednotlivých úrovní xxxxxxxxx x rozsahu xxxxx přílohy č. 1 x xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx důležitosti xxxxxxxxxx xxxxx je třeba xxxxxxxxx xxxxxxxx
x) rozsah x xxxxxxxxxx osobních xxxxx xxxx obchodního xxxxxxxxx,
x) rozsah xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx veřejných, xxxxxxxxxx xxxx xxxxxxxxxxxx zájmů,
e) xxxxx xxxxxxxx ztráty,
f) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx,
x) xxxxxx xxxxxxx s xxxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx a
h) xxxxxx na xxxxxxxxx xxxxxxx jména nebo xxxxxxx dobré pověsti.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxx,
x) určí xxxxxxx xxxxx, xxxxx xxxx odpovědní za xxxxxxxx xxxxxx, x
x) xxxx xxxxx xxxx xxxxxxxxxx a xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxx závislostí xxxx xxxxxxxxxx x podpůrnými xxxxxx.
(4) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx xxxx
x) xxxxxxx xxxxxxxx xxxxxxx, nutná pro xxxxxxxxxxx xxxxxxxxxxxx úrovní xxxxx tím, že
1. xxxx xxxxxxx rozlišování xxxxxxxxxxxx úrovní aktiv,
2. xxxxxxx xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx x xxxxxx podle xxxxxx xxxxx, včetně xxxxxxxx pro xxxxxxxx xxxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxxx aktiv x
3. stanoví xxxxxxxxx xxxxxxx používání xxxxx,
x) xxxxxx xxxxxxxx ochrany xxxxxxxxxxxx úrovni xxxxx x
x) xxxx xxxxxxx xxx spolehlivé smazání xxxx xxxxxx xxxxxxxxxxx xxxxxx dat x xxxxxxx na xxxxxx xxxxx.
§9
Bezpečnost xxxxxxxx xxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx
x) xxxxxxx xxxx xxxxxxx bezpečnostního xxxxxxxx, xxxxx obsahuje xxxxx, xxxxx x xxxxxx potřebných školení x xxxx osoby xxxxxxxxxxx realizaci xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx x xxxxx xxxxxxx,
x) x xxxxxxx x xxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx xxxxxxx poučení xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx politice xxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx politiky xx xxxxxx uživatelů, xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx bezpečnostní xxxx x
x) xxxxxxx xxxxxxx xxxxxxxxx aktiv x xxxxxxxx přístupových xxxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxx x xxxxxxx podle xxxxxxxx 1 přehledy, xxxxx xxxxxxxx předmět xxxxxxx x xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
(3) Orgán a xxxxx uvedená v §3 xxxx. x) x x) zákona xxxx
x) xxxxxxx xxxxxxxx xxx xxxxxx osob, xxxxx budou zastávat xxxxxxxxxxxx role, role xxxxxxxxxxxxxx xxxx uživatelů,
b) xxxxxxx xxxxxxxx xxxxx xxxxxxx bezpečnostního xxxxxxxx, xxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx bezpečnostního xxxxxxxx,
x) určí xxxxxxxx x postupy pro xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx strany uživatelů, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) xxxxxxx změnu xxxxxxxxxxxx oprávnění xxx xxxxx xxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx nebo xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
§10
Xxxxxx provozu x xxxxxxxxxx
(1) Orgán a xxxxx uvedená x §3 písm. x) xx x) xxxxxx x xxxxx xxxxxx xxxxxxx x komunikací xxxxxx technických xxxxxxxx xxxxxxxxx x §21 xx 23 xxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxxxxxxxxx xxxxxxxxxxx získané xxxxxxxxx a na xxxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxx s §13.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx x xxxxx xxxxxx xxxxxxx x komunikací xxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xx xxxxx xxxxxx xxxxxxx provozní xxxxxxxx x xxxxxxx.
(3) Xxxxxxxx xxxxxxxx a xxxxxxx xxxxxx a xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxxx
x) xxxxx a xxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, administrátorů x xxxxxxxxx,
x) xxxxxxx xxx xxxxxxxx x xxxxxxxx xxxxx xxxxxxx, pro xxxxxxx xxxx obnovení xxxxx systému po xxxxxxx a xxx xxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxx xxxxxxx xxxxxxxx k záznamům x těchto xxxxxxxxxx,
x) xxxxxxx xx kontaktní xxxxx, xxxxx jsou xxxxxx xxxx xxxxxxx xxx řešení neočekávaných xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx,
x) postupy xxxxxx x schvalování xxxxxxxxxx xxxx x
x) postupy xxx sledování, xxxxxxxxx x řízení xxxxxxxx xxxxxxxx x technických xxxxxx.
(4) Řízení xxxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx x provádění xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxx.
(5) Xxxxxx provozu orgánu x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxxxxx v
a) xxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx a produkčního xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx xxx, xx orgán x xxxxx xxxxxxx x §3 písm. x) a d) xxxxxx
1. posoudí očekávané xxxxxx reaktivního xxxxxxxx xx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xx zavedená xxxxxxxxxxxx opatření, xxxxxxxxx xxxxx xxxxxxxxx xxxxxx x bez xxxxxxxxxx xxxxxxx xx oznámí Xxxxx x
2. stanoví xxxxxx rychlého xxxxxxxxx xxxxxxxxxxx xxxxxxxx, který xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxx, x xxxx xxxxxx xxxx jeho xxxxxxxxx.
(6) Orgán a xxxxx uvedená x §3 xxxx. c) x d) xxxxxx x xxxxx řízení xxxxxxxxxx
x) xxxxxxxxx xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx xxxx a xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxxx §17,
x) určí pravidla x postupy pro xxxxxxx informací, xxxxx xxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx,
x) xxxxxxx výměnu x předávání xxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxx xxxxxxxx xxxxxxxxxxx x
x) s xxxxxxx xx xxxxxxxxxxx aktiv xxxxxxx výměnu a xxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxx xxxxx, xxxxxxx xxxxxxxx xx xxxxxxxxxx x bezpečnosti xxxxxxxxx.
§11
Xxxxxx xxxxxxxx x xxxxxxxx chování xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xx xxxxxxx provozních a xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxx x informačnímu xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačnímu systému xxxxxxxx informační infrastruktury x významnému xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxx xxxxxxxxx jednoznačný xxxxxxxxxxxxx.
(2) Orgán x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxxxx xxxxxxxx, xxxxx xxxxxx x zajištění xxxxxxx xxxxx, které xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx §18 x 19, x xxxxx xxxxx ve zneužití xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(3) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) x x) xxxxxx xxxx x xxxxx xxxxxx xxxxxxxx
x) xxxxxxx xxxxxxxxxxxxx xxxxxxxxx samostatný xxxxxxxxxxxxx,
x) xxxxx přidělování xxxxxxxxxxxxxxxxxx oprávnění,
c) xxxxxxxxx x xxxxxxx přístupová xxxxxxxxx x xxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx uživatelů v xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxx,
x) xxxxxxx nástroj xxx ověřování xxxxxxxx xxxxxxxxx xxxxx §18 x xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §19 x
x) xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxx i xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxx a xxxxx uvedená x §3 písm. c) x x) zákona xxxxxxxxxxx.
§12
Akvizice, xxxxx x xxxxxx
(1) Orgán a xxxxx uvedená x §3 písm. x) xx e) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx spojené x xxxxxx xxxxxxxx, xxxxxxx x xxxxxxx a xxxxxx xx do xxxxxxxx xxxxxxxx, xxxxxx x xxxxxx xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxx
x) xxxxxxxxxxxx, hodnotí x xxxx rizika související x xxxxxxxx, xxxxxxx x údržbou informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx; xxx postupy xxxxxxxxx x xxxxxx xxxxx se metodiky xxxxx §4 odst. 1 xxxx. a) xxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx ochranu xxxxxxxxxxx xxxxxxxxxxx xxx x
x) xxxxxxx bezpečnostní xxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx před jejich xxxxxxxxx xx xxxxxxx.
§13
Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x incidentů
Orgán x osoba xxxxxxx x §3 písm. x) xx x) xxxxxx při zvládání xxxxxxxxxxxxxx událostí a xxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx, xxxxx xxxxxxx xxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačního xxxxxxx xx strany xxxxxxxxx, xxxxxxxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx xxxx x x xxxxxxxxxx xxxx xxxxxxx,
x) xxxxxxxx xxxxxxxxx pro xxxxxxxxxxx oznámených kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx §21 xx 23, provádí xxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, přijímá xxxxxxxx xxx xxxxxxxxx x xxxxxxxx dopadu xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §32 x xxxxxxx xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx pro analýzu xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu,
d) xxxxxxxx x xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxx účinnost xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xx xxxxxxx vyhodnocení stanoví xxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
§14
Řízení xxxxxxxxxx xxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx v §3 xxxx. c) až x) zákona v xxxxx řízení kontinuity xxxxxxxx xxxxxxx
x) xxxxx x povinnosti xxxxxxx xxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) xxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx úrovně xxxxxxxxxxxxx xxxxxx, která xx přijatelná pro xxxxxxx, xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
2. xxxx xxxxxxxx xxxxx, xxxxx xxxxx bude xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx systému, x
3. xxxx xxxxxxxx xxx xxxx xxxxxxx, ke xxxxxxx budou xxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx, x
x) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx, xxxxx obsahuje xxxxxxxx xxxx podle xxxxxxx x).
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) a x) xxxxxx xxxx
x) vyhodnotí x xxxxxxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx a xxxxxxx xxxxx xxxxxx související x xxxxxxxxx kontinuity xxxxxxxx,
x) xxxxxxx, aktualizuje x pravidelně xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury,
c) realizuje xxxxxxxx xxx zvýšení xxxxxxxxx informačního systému xxxxxxxx informační xxxxxxxxxxxxxx x komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx xxx zajišťování xxxxxx xxxxxxxxxxx xxxxx §26 a
d) stanoví x xxxxxxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx xxxxx §13 a 14 xxxxxx, xx xxxxxxx xxxxxxxx
1. xxxxxxxx hodnocení xxxxx xxxxxxxxx xxxxxxxx,
2. xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
3. xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxx xx provoz x xxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační infrastruktury xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury.
§15
Kontrola x audit xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačních xxxxxxx
(1) Orgán x xxxxx uvedená v §3 písm. c) xx e) xxxxxx x xxxxx kontroly x xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx informačních xxxxxxx (xxxx xxx "audit xxxxxxxxxxxx xxxxxxxxxxx")
x) posuzuje xxxxxx bezpečnostních opatření x právními xxxxxxxx, xxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxxx se x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxx xxxxxxxx xxx xxxx xxxxxxxxxxx x
x) xxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx bezpečnostní xxxxxxxx x xxxxxxxx xxxxxx xxxxxxx xxxxxxxx x xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx rizik.
(2) Orgán x osoba uvedená x §3 xxxx. x) x x) xxxxxx xxxxxxxxx provedení xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxxx podle §6 xxxx. 6, xxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x d) zákona xxxx xxx xxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxx x xxxxxx odborné xxxxxxxxxxx a xxxxxxx xx zjištěné zranitelnosti.
XXXXX II
TECHNICKÁ XXXXXXXX
§16
Xxxxxxx xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) zákona x xxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxxxx xx xxxxxxxxxx xxxxxxx, xxx xxxx zpracovávány informace x xxxxxxxx technická xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního systému,
b) xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx poškození x zásahům xx xxxxxxxxxx xxxxxxx, kde xxxx xxxxxxxx xxxxxxxxx x xxxxxxxx technická xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x
x) xxxxxxxxx xxxxxxxxx, xxxxxxx nebo xxxxxxxx xxxxx nebo xxxxxxxxx xxxxxxxxxxx služeb informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx významného informačního xxxxxxx.
(2) Orgán x xxxxx uvedená x §3 xxxx. c) x x) xxxxxx xxxx uplatňuje xxxxxxxxxx xxxxxxx bezpečnosti
a) xxx xxxxxxxxx xxxxxxx xx xxxxxx xxxxxxx x
x) xxx zajištění ochrany x xxxxx xxxxxxx xxxxxxxxxx zvýšené xxxxxxxxxxx xxxxxxxxxx xxxxxxx, xx xxxxxxx xxxx umístěna xxxxxxxxx aktiva xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
(3) Prostředky xxxxxxx xxxxxxxxxxx xxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxx prostředky,
b) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx omezující xxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxx událostí,
e) xxxxxxx xxx kontrolu xxxxxx,
x) xxxxxxxx xxxxxxx,
x) xxxxxxxx xxx xxxxxxxxx ochrany xxxx xxxxxxxx dodávky xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx podmínek.
§17
Nástroj pro ochranu xxxxxxxxx xxxxxxxxxxxxx sítí
(1) Xxxxx a osoba xxxxxxx x §3 xxxx. x) xx x) zákona xxx xxxxxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx sítě, xxxxx xxxx xxx xxxxxxx xxxxxx xxxx xxxxx, a xxxxxxx xxxxxxxxxxx xxxx, xxxxx xx pod xxxxxxx xxxxxx nebo xxxxx, xxxxxx
x) xxxxxx xxxxxxxxxx xxxxxxxx xxxx xxxxxx x xxxxxxx xxxx,
x) xxxxxxxxxx xxxxxxx použitím xxxxxxxxxxxxxxxxxx zón jako xxxxxxxxxxx typu xxxx xxxxxxxxxxx xx zvýšení xxxxxxxxxxx aplikací xxxxxxxxxx x xxxxxx xxxx x x zamezení xxxxx komunikace xxxxxxx xxxx x xxxxxx xxxx,
x) kryptografické prostředky (§25) xxx xxxxxxxx xxxxxxx, xxxxxxxxx xxxxxx xxxx xxx xxxxxxx xxxxxx bezdrátových xxxxxxxxxxx x
x) opatření xxx xxxxxxxxxx xxxx blokování xxxxxxxxxxx xxx, které xxxxxxxxxxxx xxxxxxxxxx xx xxxxxxx xxxxxxxxx komunikační xxxx.
(2) Orgán x xxxxx xxxxxxx v §3 xxxx. c) x d) xxxxxx xxxx xxxxxxx xxxxxxxx xxx xxxxxxx integrity xxxxxxx xxxxxxxxxxx xxxx, xxxxx zajistí xxxx xxxxxxxxxx.
§18
Xxxxxxx xxx ověřování xxxxxxxx uživatelů
(1) Orgán x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému.
(2) Nástroj xxx ověřování identity xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxx zahájením xxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxx.
(3) Xxxxxxx xxx xxxxxxxxx identity xxxxxxxxx, xxxxx používá autentizaci xxxxx xxxxxx, xxxxxxxxx
x) xxxxxxxxx xxxxx hesla xxx xxxxx,
x) xxxxxxxxx xxxxxxxxx hesla xxx, xx xxxxx xxxx xxxxxxxxx xxxxxxx 3 x xxxxxxxxxxxxx xxxx xxxxxxxxx
1. xxxxxxx xxxxx xxxxx písmeno,
2. xxxxxxx xxxxx malé xxxxxxx,
3. xxxxxxx xxxxx číslici, xxxx
4. xxxxxxx xxxxx xxxxxxxxx xxxx xxxxxxx xx požadavků xxxxxxxxx x bodech 1 xx 3,
c) xxxxxxxxx xxxx xxx xxxxxxxx xxxxxx xxxxx nepřesahující xxx xxx; xxxxx xxxxxxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(4) Orgán a xxxxx uvedená v §3 xxxx. x) x d) xxxxxx xxxx
x) xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxx, xxxxx
1. xxxxxx xxxxxxxxxx xxxxxxxxx dříve xxxxxxxxxxx xxxxx a neumožní xxxx xxxx xxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx období, xxxxx xxxx být xxxxxxx 24 xxxxx, x
2. xxxxxxx opětovné xxxxxxx xxxxxxxx po určené xxxx nečinnosti x
x) xxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxx administrátorů. X xxxxxxx, xx xxxxx xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxx znaků xxx dodržení xxxxxxxxx xxxxx xxxxxxxx 3 xxxx. b) x x).
(5) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxx xxx xxxxxxxx x jinými xxxxxxx, xxx xxxx xxxx xxxxxxxxx v xxxxxxxxxx 3 až 5, xxxxx xxxxx x xxxxx uvedená x §3 písm. c) xx e) xxxxxx xxxxxxxxx, že xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxxxx xxxxxx xxxxxxxxx xxxxx.
§19
Xxxxxxx pro řízení xxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x osoba uvedená x §3 xxxx. x) xx e) xxxxxx xxxxxxx xxxxxxx xxx řízení přístupových xxxxxxxxx, kterým xxxxxxx xxxxxx xxxxxxxxx
x) xxx xxxxxxx x xxxxxxxxxxx xxxxxxxxx a xxxxx x
x) xxx xxxxx xxx, xxx zápis xxx x xxx xxxxx xxxxxxxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx dále xxxxxxx xxxxxxx pro řízení xxxxxxxxxxxx xxxxxxxxx, který xxxxxxxxxxx použití přístupových xxxxxxxxx v souladu x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx.
§20
Xxxxxxx xxx ochranu xxxx xxxxxxxxx kódem
Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxx řízení xxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxx xxx xxxxxxx informačního systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx, xxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxx
x) xxxxxxxxxx xxxx xxxxxxx xxxx x xxxxxx xxxx,
x) xxxxxxx a xxxxxxxxx datových xxxxxxx x
x) xxxxxxxxxx xxxxxx,
xxxxxxx xxxxxxx xxxxxxxxxxx a xxxxxxx xxxxxxxxxxx nástroje xxx ochranu xxxx xxxxxxxxx xxxxx, xxxx xxxxxxx x xxxxxxxx.
§21
Nástroj xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systémů, xxxxxx xxxxxxxxx x administrátorů
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx používá xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx systému, xxxxx xxxxxxx
x) xxxx xxxxxxxxx o provozních x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxx činnosti, xxxxx x čas, xxxxxxxxxxxx technického aktiva, xxxxx xxxxxxx xxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx x xxxxx činnosti a xxxxxxxxx nebo xxxxxxxxxxx xxxxxxxx x
x) xxxxxxx xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxx xxxxxx xxxx xxxxxx.
(2) Xxxxx x xxxxx uvedená v §3 xxxx. x) xx e) xxxxxx xxxx pomocí nástroje xxx zaznamenávání činnosti xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x významného xxxxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxxxxxx x odhlášení xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxx provedené xxxxxxxxxxxxxx,
x) xxxxxxxx vedoucí ke xxxxx xxxxxxxxxxxx oprávnění,
d) xxxxxxxxxxx xxxxxxxx x xxxxxxxx nedostatku přístupových xxxxxxxxx a xxxxx xxxxxxxxx činnosti xxxxxxxxx,
x) xxxxxxxx x ukončení xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxx xxxx xxxxxxx xxxxxxx technických xxxxx,
x) xxxxxxxx x xxxxxxxx x xxxxxxxxxx, xxxxxx x manipulaci xx xxxxxxx x xxxxxxxxxx x změny xxxxxxxxx xxxxxxxx xxx zaznamenávání xxxxxxxx x
x) xxxxxxx xxxxxxxxxx identifikace a xxxxxxxxxxx xxxxxx xxxxx xxxxx, které xxxxxx x xxxxxxxxxx.
(3) Orgán x osoba uvedená x §3 xxxx. x) a d) xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx podle xxxxxxxx 2 xxxxxxxx xxxxxxx xx dobu 3 xxxxxx.
(4) Orgán a xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxxxxxxx nejméně jednou xx 24 xxxxx xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxxx aktiv xxxxxxxxx xx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
§22
Xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
(1) Xxxxx x osoba xxxxxxx v §3 xxxx. x) až x) xxxxxx používá xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx vychází xx xxxxxxxxxxx xxxxxxxxxxxxxx potřeb x výsledků hodnocení xxxxx x který xxxxxxx xxxxxxx, xxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxx mezi xxxxxxx xxxxxxxxxxx sítí a xxxxxx xxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx dále xxxxxxx xxxxxxx xxx detekci xxxxxxxxxxxxxx bezpečnostních událostí, xxxxx xxxxxxx ověření, xxxxxxxx x případně xxxxxxxxxxx xxxxxxxxxx
x) x xxxxx xxxxxxx xxxxxxxxxxx xxxx x
x) serverů xxxxxxxxx xx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§23
Xxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx používá nástroj xxx sběr a xxxxxxxx xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx, xxxxx x xxxxxxx x xxxxxxxxxxxxxx potřebami x xxxxxxxx hodnocení rizik xxxxxxx
x) xxxxxxxxxxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury,
b) xxxxxxxxxxx xxxxxxxxx xxx určené xxxxxxxxxxxx xxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx xxxx x xxxxxxxxxx xxxxxxxxxxxxxx x
x) xxxxxxxxxxx vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxx varování xxxxxxxx xxxxxxxxxxxxxx xxxx.
(2) Xxxxx x osoba xxxxxxx x §3 písm. x) x x) xxxxxx xxxx xxxxxxx
x) xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x včasné xxxxxxxx, xxx byly omezovány xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxx xxxxxxx xxxxxxxxx xxxxxxxx, a
b) xxxxxxxxx informací, xxxxx xxxx xxxxxxxxxx xxxxxxxxx xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx.
§24
Xxxxxxxxx bezpečnost
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx aplikací, xxxxx jsou xxxxxxxxx x xxxxxx xxxx, x xx před xxxxxx xxxxxxxx xx xxxxxxx x xx xxxxx xxxxxxx xxxxx xxxxxxxxxxxxxx mechanismů.
(2) Orgán x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx dále v xxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx
x) xxxxxxxx x xxxxxxxxx xxxxxxxxxx z xxxxxx xxxx xxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxxxxxxx xxxx xxxxxxxxxxxxxxx změnou a
b) xxxxxxxxx xxxx xxxxxx xxxxxxxxxxxx, nesprávným xxxxxxxxxx, xxxxxxxxxxxxxxx změnou xxxxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxx.
§25
Kryptografické xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx
x) xxx používání xxxxxxxxxxxxxx xxxxxxx xxxxxxx
1. xxxxxx xxxxxxx x xxxxxxx na typ x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx a
2. pravidla xxxxxxxxxxxxxx ochrany informací xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx xxxx xxx uložení xx xxxxxxx zařízení xxxx xxxxxxxxxxx technické xxxxxx xxx x
x) x xxxxxxx s xxxxxxxxxxxxxx xxxxxxxxx a výsledky xxxxxxxxx xxxxx používá xxxxxxxxxxxxxx xxxxxxxxxx, které xxxxxxx xxxxxxx xxxxxxxxxx x integrity xxxxxxxxxxx xxxx ukládaných dat x průkaznou identifikaci xxxxx xx provedené xxxxxxxx.
(2) Xxxxx x xxxxx uvedená v §3 písm. c) x x) xxxxxx xxxx
x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxxxx prostředků xxxxxx xxxxxx xxxxx, xxxxx xxxxxxx xxxxxxxxxx, xxxxxxxxxx, ukládání, xxxxxxxxx, xxxxx, xxxxxx, xxxxxxxx x xxxxx xxxxx, x
x) xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxx; x xxxxxxx nesouladu s xxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxx x příloze č. 3 k xxxx xxxxxxxx řídí xxxxxx xxxxxxx s xxxxx xxxxxxxxxx.
§26
Xxxxxxx pro xxxxxxxxxxx xxxxxx xxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x souladu x xxxxxxxxxxxxxx xxxxxxxxx x výsledky hodnocení xxxxx používá xxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx informací.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxxxxx xxxxxxx xxx zajišťování úrovně xxxxxxxxxxx xxxxxxxxx, který xxxxxxx
x) xxxxxxxxxx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx xxx xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxx,
x) odolnost informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx vůči xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx xxxxx xxxxxx xxxxxxxxxx, x
x) xxxxxxxxxx xxxxxxxxxx technických aktiv xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx
1. využitím xxxxxxxxxx x xxxxxx xxxxxx a
2. xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxx čase.
§27
Xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx
Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx, xxxxx xxxx xxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxxx jsou xxxxxx součástí, používá xxxxxxxx, které xxxxxxx
x) xxxxxxx fyzického xxxxxxxx x xxxx x xxxxxxxxx průmyslových a xxxxxxxx systémů,
b) xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxx k síti xxxxxxxxxxxx x řídicích xxxxxxx,
x) ochranu jednotlivých xxxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx xxxx využitím xxxxxxx xxxxxxxxxxxxx a
d) xxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxx systémů xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
XXXXX III
BEZPEČNOSTNÍ XXXXXXXXXXX
§28
Xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. c) x d) zákona xxxx x aktualizuje xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxx xxxxx §5 xxxx. 1,
x) xxxxxx z xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §3 odst. 1 písm. x),
x) xxxxxx x xxxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx xxxxx §3 xxxx. 1 xxxx. x),
x) xxxxxxxx xxx xxxxxxxxxxxx x hodnocení xxxxx a xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx,
x) xxxxxx x xxxxxxxxx aktiv x xxxxx,
x) prohlášení x xxxxxxxxxxxxxxxx,
x) xxxx xxxxxxxx xxxxx,
x) xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx bezpečnostních incidentů xxxxx §13 xxxx. x),
x) xxxxxxxxx řízení xxxxxxxxxx xxxxxxxx podle §14 xxxx. 1 xxxx. c) a
k) xxxxxxx právních předpisů, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx a xxxxxxxxx xxxxxxx podle §15 xxxx. 1 xxxx. x).
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, která xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxx xxxxx §5 xxxx. 2,
b) xxxxxxxx pro xxxxxxxxxxxx x hodnocení xxxxx x xxx xxxxxxxxxxxx x hodnocení xxxxx xxxxx §4 odst. 2 xxxx. x),
x) xxxxxx x xxxxxxxxx xxxxx x xxxxx xxxxx §4 xxxx. 2 písm. x) x x),
x) prohlášení x xxxxxxxxxxxxxxxx xxxxx §4 xxxx. 2 xxxx. x),
x) xxxx xxxxxxxx rizik podle §4 odst. 2 xxxx. e),
f) plán xxxxxxx xxxxxxxxxxxxxx povědomí xxxxx §9 odst. 1 písm. x),
x) xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xxxxx §13 xxxx. e),
h) strategii xxxxxx xxxxxxxxxx xxxxxxxx xxxxx §14 xxxx. 1 xxxx. c) x
x) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx předpisů x xxxxxx předpisů x xxxxxxxxx xxxxxxx xxxxx §15 xxxx. 1 xxxx. x).
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx vede xxxxxxxxxxxx xxxxxxxxxxx xxx, xxx xxxxxxx o xxxxxxxxxxx xxxxxxxxxx xxxx xxxxx, xxxxxxx, snadno xxxxxxxxxxxxxxxxx x aby xx xxxx snadno xxxxxxxx. Opatření potřebná x xxxxxxxxxxxx, xxxxxxx, xxxxxxx, xxxxxxxxx, xxxx xxxxxxxxx a xxxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx dokumentace xx xxxxxxxxx v příloze č. 4 x xxxx xxxxxxxx.
§29
Xxxxxxxxx certifikace
Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona, xxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx systém kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx xx xxxxx zahrnut xx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxx xxxxxxxxxxxx xxxxx příslušné xxxxxxxxx xxxxx1) akreditovaným xxxxxxxxxxxxx xxxxxxx, x která xxxx xxxxxxxxx xxxxxxxxxx
x) xxxxx xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx a xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxx metody xxxxxxxxx xxxxx x xxxxxx x hodnocení rizik,
d) xxxxxxxxxx o xxxxxxxxxxxxxxxx,
x) xxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx se xxxxxxxxxxx xxxxxxxxx1),
x) záznam x přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx informací xxxxxx xxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxx x
x) xxxxxx x xxxxxx provedených certifikačním xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx x nápravě xxxxxxxxxx xxxxxx x xxxxxxxxxx normou,
splňuje xxxxxxxxx xx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx x xxxx xxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX
§30
Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Podle xxxxxxx xxxx kybernetické xxxxxxxxxxxx xxxxxxxxx rozděleny xx xxxxxxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxx útokem xxxx xxxxx událostí xxxxxxx x průniku xx xxxxxxx xxxx k xxxxxxx dostupnosti xxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx kódem,
c) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx překonáním xxxxxxxxxxx xxxxxxxx,
x) kybernetický xxxxxxxxxxxx xxxxxxxx způsobený xxxxxxxxx xxxxxxxxxxxxx opatření,
e) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxx xxxxxx x
x) xxxxxxx kybernetické bezpečnostní xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx.
(2) Xxxxx xxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx do xxxxxxxxxxxxx xxxx
x) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx aktiv,
b) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx dopadů xxxxxxxxx x xxxxxxxxx x) xx x).
§31
Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxx potřeby xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xx xxxxx xxxxxxxx a xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx do xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - velmi xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, při xxxxxx xx přímo x xxxxxxxx narušena xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x xxx, xx musí být xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx x potenciálních xxxx.
x) Xxxxxxxxx XX - xxxxxxx kybernetický bezpečnostní xxxxxxxx, xxx xxxxxx xx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx služeb xxxx xxxxx. Xxxx xxxxxx xxxxxxxx neprodlené xxxxxx xxxxxxx x tím, xx musí být xxxxxxxx prostředky zabráněno xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxxxxx xxxxxxxxx xxxx.
x) Kategorie X - méně xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, při xxxxxx xxxxxxx x xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx služeb xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxx xxxxxxx x xxx, xx xxxx xxx vhodnými xxxxxxxxxx xxxxxxx další xxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxxxxx xxxxxxxxx škod.
(2) Orgán x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle xxxxxxxx 1 zohlední
a) xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) dopady xx xxxxxxxxxxx služby xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxx významného informačního xxxxxxx,
x) dopady xx xxxxxx xxxxxxxxxxx jinými xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx a
d) xxxxxxxxxxxxx xxxxx x xxxxx xxxxxx.
§32
Forma x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx e) xxxxxx xxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx
x) x xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxx
1. xxxxxxxxxxxxxx xxxxxxxxx zveřejněného xx xxxxxxxxxxxxx xxxxxxxxx Úřadu,
2. xxxxxx xx xxxxxx xxxxxxxxxxxx pošty Úřadu xxxxxx pro xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx,
3. xxxxxx zprávy xx xxxxxx xxxxxxxx Xxxxx, xxxx
4. xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx, jehož xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx, xxxxx
x) v xxxxxxxx xxxxxx na xxxxxx Xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, zveřejněné xx internetových stránkách Xxxxx.
(2) Xxxxxxx v xxxxxxxx xxxxxx xx xxxxxx xxxxx v xxxxxxxxx, kdy xxxxx xxxxxx žádný xx xxxxxxx uvedených x xxxxxxxx 1 xxxx. x).
(3) Xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx x příloze č. 5 x xxxx xxxxxxxx.
XXXX XXXXXX
XXXXXXXXX OPATŘENÍ X XXXXXXXXX XXXXX
§33
Xxxxxxxxx xxxxxxxx
Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona xxxxxx xxxxxxxxx xxxxxxxxxxx opatření x xxxx xxxxxxxx xx formuláři, xxxxx xxxx xx uveden x příloze č. 6 k xxxx xxxxxxxx.
§34
Xxxxxxxxx xxxxx
Xxxxx x xxxxx xxxxxxx v §3 xxxxxx oznamuje xxxxxxxxx údaje xx xxxxxxxxx, xxxxx xxxx xx xxxxxx x příloze č. 7 x xxxx xxxxxxxx. Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxx v §32 odst. 1 xxxx. x).
ČÁST PÁTÁ
ÚČINNOST
§35
Tato vyhláška xxxxxx xxxxxxxxx xxxx 1. xxxxx 2015.
Ředitel:
Ing. Xxxxxxxx x. r.
Xxxxxxx č. 1 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx x xxxxxx xxxxxxxxxxx aktiv
Pro xxxxxxxxx důležitosti aktiv xxxx xxxxxxx stupnice x xxxxxxx xxxxxxxx. Xxxxx xxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxx xxxxxxxx xxxxxxx xxxxx xxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxx, než xxxx xx xxxxxx x xxxx příloze, xxxxxx-xx xxxxxxxxxxx vazby xxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx a stupnicemi x xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx xxxx xxxxxxx x této xxxxxxx.
X xxxxxxx xxxxxxx tří xxxxxx xxxxxxxxx důležitosti xxxxx xx xxxxxxxxx xxxxxxx xxx xxxxxx xxxxx x xxxxxxx, xxxx úrovně vysoká x kritická.
Stupnice pro xxxxxxxxx důvěrnosti
|
Úroveň |
Popis |
Ochrana |
|
Nízká |
Aktiva xxxx xxxxxxx xxxxxxxxx xxxx xxxx určena xx xxxxxxxxxx (xxxx. na xxxxxxx xxxxxx č. 106/1999 Sb., x xxxxxxxxx xxxxxxxx x informacím, ve xxxxx xxxxxxxxxx xxxxxxxx). Xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx zájmy xxxxxx x osoby xxxxxxx v §3 xxxx. x) xx x) xxxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx a xxxxx xxxx-xxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx, xxxxxxx xxxxx xxxx vyžadována xxxxxx xxxxxxx xxxxxxxxx nebo xxxxxxxx xxxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxx jsou xxxxxxxxx xxxxxxxxxx xxx xxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxx xxxxxx veřejně xxxxxxxxx x xxxxxx xxxxxxx xx vyžadována xxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx (xxxx. xxxxxxxx xxxxxxxxx xxxxx xxxxxx č. 89/2012 Sb., xxxxxxxx zákoník, xxxxxx xxxxx podle xxxxxx č. 101/2000 Sb., x xxxxxxx xxxxxxxx údajů, xx xxxxx xxxxxxxxxx xxxxxxxx). |
Xxx xxxxxxx xxxxxxxxxx xxxx využívány prostředky, xxxxx xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxx xxxx xxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x vyžadují xxxxxxxxxxxxx xxxx ochrany xxx xxxxx xxxxxxxxx xxxxxxxxx (xxxx. xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxx xxxxx). |
Xxx xxxxxxx xxxxxxxxxx je požadována xxxxxxxx xxxx, xxxxx x aktivům xxxxxxxxxxx, x metody ochrany xxxxxxxxxxx xxxxxxxx xxxxx xx xxxxxx xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxxxxxxx pro xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxx oprávněné xxxxx xxxxxx x xxxxx xxxxxxx v §3 xxxx. c) xx x) zákona. |
Není vyžadována xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx xxxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx xxxxxx xxxx xxxx x poškození xxxxxxxxxxx zájmů xxxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona x může se xxxxxxxx xxxx závažnými xxxxxx xx primární xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx (xxxx. omezení xxxxxxxxxxxx xxxx pro xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity aktiva xxxx x xxxxxxxxx xxxxxxxxxxx zájmů xxxxxx x xxxxx xxxxxxx x §3 písm. x) až e) xxxxxx x xxxxxxxxxxx xxxxxx na primární xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx využívány xxxxxxxxx xxxxxxxxxx, které dovolují xxxxxxxx historii xxxxxxxxxxx xxxx a xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx vnějšími komunikačními xxxxxx xx xxxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx x xxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx x xxxxx uvedené v §3 xxxx. c) xx x) zákona x xxxxxxx x xxxxx xxxxxxx xxxxxx xx xxxxxxxx aktiva. |
Pro ochranu xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx jednoznačné xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (např. xxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx). |
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxx x x xxxxxxx xxxxxxx xx xxxxx xxxxxxxxxx xxxxx xxxxxx období xxx xxxxxxx (cca xx 1 xxxxx). |
Xxx xxxxxxx xxxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx nemělo xxxxxxxxx xxxx xxxxxxxxxx xxx, xxxxxxxxxxxxx xxxxxxx xxxx x xxxxxxx xxxxxxxx xxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) xx e) xxxxxx. |
Xxx ochranu xxxxxxxxxxx xxxx xxxxxxxxx běžné xxxxxx xxxxxxxxxx x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva by xxxxxx překročit dobu xxxxxxxx xxxxx. Xxxxxxxx xxxxxxx xx xxxxx xxxxx xxxxxxxxxx, xxxxxxx xxxx k xxxxxxx xxxxxxxx xxxxx orgánu x xxxxx uvedené x §3 xxxx. x) až x) xxxxxx. Xxxxxx xxxx považována xxxx xxxxx xxxxxxxx. |
Xxx xxxxxxx dostupnosti jsou xxxxxxxxx xxxxxxx systémy x xxxxxx xxxxxxxxxxx xxxxxx může xxx xxxxxxxxx xxxxxx xxxxxxx xxxx xxxxxxx technických xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xxxx xxxxxxxxx x x xxxxxxxxxx xxxxxxxxxxxx (x xxxx xxxxxxxx xxxxx) vede x xxxxxxx xxxxxxxx zájmů orgánu x osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx. Xxxxxx xxxx xxxxxxxxxx jako kritická. |
Pro xxxxxxx dostupnosti xxxx xxxxxxxxx záložní xxxxxxx x obnova xxxxxxxxxxx xxxxxx xx krátkodobá x xxxxxxxxxxxxxx. |
Příloha x. 2 x vyhlášce x. 316/2014 Xx.
Xxxxxxxxx xxxxx
Xxxxxxxxx xxxxx xx vyjádřeno xxxx xxxxxx, xxxxxx xxxxxxxxx xxxxx, xxxxxx x zranitelnost.
Pro hodnocení xxxxx xxx xxxxxx xxxxxxx xxxx funkci
riziko = xxxxx x xxxxxx x xxxxxxxxxxxx.
Xxxxxxxxxxx xxxxxx xxxxxx pro xxxxxx xxxxxx je xxxxxxxxx xxxxxxxx xxxxxxxx xxx identifikaci a xxxxxxxxx rizika
|
Stupnice xxx xxxxxxxxx dopadů |
|
|
Úroveň |
Popis |
|
Nízký |
Dopad xx x omezeném xxxxxxx xxxxxx a malého xxxxxxx x xxxxx xxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxx x) 10 xxxxxxxxx osob x xxxxxxxxx hospitalizací xx xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx nebo xxxxxxxxxx xxxxxx xx 5&xxxx;000&xxxx;000 Xx xxxxx x) představuje xxxxx na veřejnost x xxxxxxxxx xxxxxxxx xxxxxxxxxx služeb nebo xxxxxx xxxxxxxxx zásahu xx každodenního xxxxxx xxxxxxxxxxxxx xxxxxxx 250 xxxx. |
|
Xxxxxxx |
Xxxxx xx omezeného xxxxxxx x v xxxxxxxx xxxxxxx období. Rozsah xxxxxxxxxx škod xx xxxxxxxx x rozmezí a) xx 10 xxxxxxx xxxx xx 11 xx 100 xxxx x xxxxxxxxx xxxxxxxxxxxxx xx xxxx delší xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx od 5&xxxx;000&xxxx;000 Kč do 50&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx xxxxxxxx nezbytných xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx postihujícího xx 251 do 2&xxxx;500 xxxx. |
|
Xxxxxx |
Xxxxx je xxxxxxxxx xxxxxxx, ale xxxxxx xxxx katastrofický. Rozsah xxxxxxxxxx xxxx xx xxxxxxxx x xxxxxxx x) xx 11 xx 100 xxxxxxx xxxx od 101 do 1 000 xxxx x xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx než 24 xxxxx nebo b) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xx 50&xxxx;000&xxxx;000 Xx xx 500 000 000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx nebo xxxxxx xxxxxxxxx zásahu xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xx 2&xxxx;501 xx 25&xxxx;000 osob. |
|
Kritický |
Dopad xx xxxxxx xxxxxxxx, xxxxxx a xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xx xxxxxxxx x xxxxxxx x) 10 x xxxx xxxxxxx a 1 001 a více xxxx s následnou xxxxxxxxxxxxx po dobu xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx materiální xxxxxx xxxxxxxxxxx 500&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx dopad xx veřejnost s xxxxxxxxx omezením xxxxxxxxxx xxxxxx nebo xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx postihujícího xxxx xxx 25&xxxx;000 xxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx xxxx xx xxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx realizace hrozby xxxx xxxxxxxx než xxxxxx xx 5 xxx. |
|
Xxxxxxx |
Xxxxxx je xxxx xxxxxxxxxxxxx až pravděpodobná. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx x xxxxxxx xx 1 roku xx 5 xxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxxxxx xx xxxxx pravděpodobná. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx x rozpětí xx 1 měsíce xx 1 xxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx xxxxxxxxxxxxx až xxxxxxxx xxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx xxxxxxxx xxx xxxxxx xx xxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx xxxx xx zneužití xxxxxxxxxxxxx málo xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxx xxxx detekovat xxxxx xxxxxxx xxxx xxxxxxxx xxxxxx o xxxxxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxxxxxx xx xxxx pravděpodobná xx xxxxxxxxxxxxx. Xxxxxxxx kvalitní xxxxxxxxxxxx opatření, jejichž xxxxxxxx je xxxxxxxxxx xxxxxxxxxxxx. Xxxxxxxxx bezpečnostních xxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx je xxxxxxx. Xxxxxx známé xxxxx úspěšné pokusy x překonání bezpečnostních xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx je pravděpodobná xx velmi pravděpodobná. Xxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxx xxxxxx xxxxxxxx xxxxxxxxx všechny xxxxxxxx xxxxxxx a není xxxxxxxxxx xxxxxxxxxxxx. Xxxx xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxxxxxx je xxxxx pravděpodobná až xx víceméně jisté xxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxx realizována anebo xx xxxxxx xxxxxxxx xxxxxx xxxxxxx. Xxxxxxxxx xxxxxxxx účinnosti bezpečnostních xxxxxxxx. Xxxx xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx za přijatelné. |
|
Střední |
Riziko xxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxx x případě xxxxx xxxxxxxxxx opatření xx xxxxxx přijatelné. |
|
Vysoké |
Riziko xx xxxxxxxxxx xxxxxxxxxxx x xxxx xxx xxxxxxxx systematické kroky x jeho xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxxxxxxxx x xxxx xxx xxxxxxxxxx xxxxxxxx xxxxx k xxxx odstranění. |
V případě, xx orgán xxxx xxxxx xxxxxxx x §3 písm. c) xx x) zákona xxxxxxx metodu pro xxxxxxxxxxxx x hodnocení xxxxx, xxxxx xxxxxxxxxxx xxxxxxxxx hrozby x xxxxxxxxxxxxx, xx možné xxxxxxxx xxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxx. Sloučení xxxxxxx xx xxxxxx xxxx xx ztrátě xxxxxxxxxx xxxxxxxxx xxxx xxxxxx x xxxxxxxxxxxxx. Xx xxxxx xxxxxx lze xxxxxx xxxxxxxxx komentář, xxxxx xxxxxxxx xxxxxxx xxx xxxxxx xxxxxx, xxx x xxxxxx xxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx x xxxxx xxxx xxxxx uvedená x §3 písm. x) xx x) xxxxxx, xxxxx používá jiný xxxxx úrovní xxx xxxxxxxxx xxxxxx, xxxxxx, xxxxxxxxxxxxx a xxxxx.
Xxxxxxx č. 3 x vyhlášce č. 316/2014 Xx.
Xxxxxxxxx požadavky xx xxxxxxxxxxxxxx algoritmy
(1) Xxxxxxxxxx algoritmy
a) Blokové x proudové xxxxx xxx xxxxxxx xxxxxxxxxx x xxxxxxxxx
1. Xxxxxxxx Xxxxxxxxxx Xxxxxxxx (XXX) x využitím xxxxx xxxxx 128, 192 x 256 xxxx Xxxxxx Xxxx Xxxxxxxxxx Xxxxxxxx (3XXX) s xxxxxxxx xxxxx klíčů 168 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX, xxxxxxxx xxxxxxxxx xx XXX.
2. Xxxxxx Xxxx Xxxxxxxxxx Xxxxxxxx (3DES) x využitím xxxxx xxxxx 112 xxxx, xxxxxxx použití xxx xx zatížením xxxxx xxxxxx než 10 XX, postupně xxxxxxxxx xx XXX. Xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx xxx každou xxxxxx.
3. Xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx klíčů 128 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX.
4. Xxxxxx x xxxxxxxx xxxxx klíčů 128 xxxx, omezené použití xxx se xxxxxxxxx xxxxx xxxxxx xxx 10 GB.
5. Xxxxxxx x xxxxxxxx xxxxx xxxxx 128 xx 256 bitů.
6. Serpent x využitím délky xxxxx 128, 192, 256 xxxx.
7. Xxxxxxxx x xxxxxxxx xxxxx xxxxx 128, 192 x 256 xxxx.
8. XXXX 2.0, XXXX 3X s xxxxxxxx xxxxx klíčů 128, 256 bitů.
b) Xxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx
1. XXX,
2. XXX,
3. XXX,
4. Xxxxxxx xxxxxxxx xxxx "Xxxxxxx-xxxx-XXX".
Xxxxxxxx:
Xxxxxxxx typu "Xxxxxxx-xxxx-XXX",xxxx xxxxxxxx x xxxxxxxxx pouze xxxxxxx xxxxxxxxx xxxx x x xxxxxxx XXX xxxxx xxxxxxx xxxx xxx xxxxxxx integrity.
c) Xxxx xxxxxxxxx
1. XXX,
2. XXX,
3. XXX,
4. XXX,
Xxxxxxxx:
Xxxx XXX x CFB xxxx být xxxxxxx x xxxxxxxx, pro xxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx použití xxxx OFB xx xxx xxxx xxxx xxxxx xxxxxxxx hodnota xxxxxxxxxxxxxxx vektoru, xxx xxxxxxx xxxx XXX xx xxx daný xxxx xxxxx xxxxxxxx xxxxxxx xxxxxx, x xxxxxxx použití XXX xxxx k xxxxxxxxx xxx xxxxxxx integrity xx xxxxx xxxxxx xxxxxxxx xxxxx xxxxx xx xxxxxxx XXX xxxx.
x) Módy pro xxxxxxx integrity
1. XXXX,
2. XXX-XXX-X9.19, omezené xxxxxxx xxx xx xxxxxxxxx xxxxxx xxx 109 XXX,
3. XXX-XXX-XXXX,
4. XXXX.
(2) Xxxxxxxxxxx xxxxxxxxx
x) Xxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx
1. Xxxxxxx Xxxxxxxxx Xxxxxxxxx (XXX) s xxxxxxxx xxxxx xxxxx 2048 xxxx x xxxx, xxxxx xxxxxxxxx cyklické xxxxxxxx 224 xxxx x xxxx.
2. Xxxxxxxx Xxxxx Xxxxxxx Signature Xxxxxxxxx (XX-XXX) x xxxxxxxx délky xxxxx 224 xxxx x xxxx.
3. Xxxxxx-Xxxxxx-Xxxxxxx Xxxxxxxxxxxx Xxxxxxxxx Xxxxxx (RSA-PSS) x xxxxxxxx délky xxxxx 2048 xxxx x xxxx.
x) Xxx xxxxxxx xxxxx na xxxxx x xxxxxxxxx xxxxx
1. Xxxxxx-Xxxxxxx (XX) x xxxxxxxx délky xxxxx 2048 xxxx x xxxx, délky xxxxxxxxx xxxxxxx podgrupy 224 xxxx x xxxx.
2. Xxxxxxxx Xxxxx Xxxxxx-Xxxxxxx (ECDH) x xxxxxxxx xxxxx xxxxx 224 xxxx a xxxx.
3. Xxxxxxxx Curve Xxxxxxxxxx Encryption Xxxxxx - Key Xxxxxxxxxxxxx Xxxxxxxxx (XXXXX-XXX) x xxxxxxxx xxxxx xxxxx 256 xxxx x xxxx.
4. Provably Xxxxxx Xxxxxxxx Curve - Xxx Xxxxxxxxxxxxx Mechanism (XXXX-XXX) s xxxxxxxx xxxxx xxxxx 256 xxxx xxxx.
5. Xxxxxxxxx Xxxxxxx xxx Key Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) x xxxxxxxx délky xxxxx 256 xxxx x více.
6. Rivest Xxxxxx Xxxxxxx - Xxxxxxx Xxxxxxxxx Xxxxxxxxxx Xxxxxxx (XXX-XXXX) s xxxxxxxx délky xxxxx 2048 x xxxx.
7. Xxxxxx Xxxxxx Xxxxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) s xxxxxxxx xxxxx xxxxx 2048 a xxxx.
(3) Xxxxxxxxx xxxx funkcí
a) XXX-2
1. SHA-224,
2. XXX-256,
3. XXX-384,
4. SHA-512,
5. XXX-512/224,
6. XXX-512/256.
x) SHA-3
1. SHA3-224,
2. XXX3-256,
3. XXX3-384,
4. XXX3-512,
5. XXXXX-128,
6. SHAKE-256.
c) Xxxxxxx xxxxxxxx xxxxxx
1. Xxxxxxxx,
2. XXXXXX-160,
3. XXX 1 x xxxxxxxx xxxxxxxx.
Xxxxxxxx x. 1:
XXX-1 xx xxxxx xxxxxxxx xxx xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx, xxxxxxxx xxxxxxx, xxxxxxxxx jiné xxxxxxxx xxxxxxxxxx xxxxxxxxx XXX-1.
Xxxxxxxx x. 2:
XXX-1 xxx xxxxxxxx xxxxx xxx xxxxxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxx, generování x xxxxxxxxx HMAC-SHA1, xxxxxx xxx xxxxxxxxxx xxxxx a pseudonáhodné xxxxxxxxxx.
Příloha x. 4 x vyhlášce č. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
Xxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxx bezpečnostní xxxxxxxxxxx. Navrhované xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx, která xxxxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx struktury dokumentů xxxxxx xxxxxxx x xx xx orgánu xxxx xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx, xxxx přístup x xxxxxx bezpečnostní xxxxxxxxxxx xxxxxxx. Přípustná xx x xxxxx xxxxx xxxxxxxxxxxx dokumentů xxxx xxxxxxxxxxx xxxx xxxxx xx xxxxxxx xxxxxxxxx.
X. Xxxxxxxxx bezpečnostní xxxxxxxx
(1) Xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací*
[§5 xxxx. 1 písm. x), §5 xxxx. 2 písm. x)]
x) Xxxx, xxxxxxxx x xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Rozsah a xxxxxxx systému xxxxxx xxxxxxxxxxx informací.
c) Xxxxxxxx x postupy pro xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxx x xxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxx xxxxxxxx x xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxxx organizační xxxxxxxxxxx**
[§5 xxxx. 1 xxxx. b), §5 xxxx. 2 písm. x)]
x) Xxxxxx bezpečnostních xxxx x xxxxxx xxxx a xxxxxxxxxx,
1. xxxxx x povinnosti xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
2. xxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx bezpečnosti,
3. xxxxx a xxxxxxxxxx xxxxxxxx kybernetické xxxxxxxxxxx,
4. xxxxx a xxxxxxxxxx xxxxxxx xxxxx,
5. xxxxx x povinnosti výboru xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxx na xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx bezpečnostních rolí.
(3) Xxxxxxxx řízení xxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. c)]
a) Xxxxxxxx a principy xxx xxxxx dodavatelů.
b) Xxxxxxxx xxx hodnocení xxxxx xxxxxxxxxx.
x) Xxxxxxxxxxx xxxxxxx x úrovni xxxxxx a způsobů x xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx x x xxxxxx xxxxxxxx xxxxxxx odpovědnosti.
d) Xxxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx xxxxxxxxxx.
(4) Xxxxxxxx xxxxxxxxxxx xxxxx**
[§5 xxxx. 1 xxxx. d), §5 xxxx. 2 písm. x)]
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. určení x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx včetně xxxxxx xxxxxx xxxxxxx,
2. xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx x hlediska důvěrnosti, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxxxxxxx, hodnocení x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x evidence xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxx vazeb xxxx xxxxxxxxxx x xxxxxxxxxx aktivy.
c) Xxxxxxxx xxxxxxx jednotlivých xxxxxx xxxxx
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx xxx manipulaci x xxxxxxxx xxxxx xxxxx xxxxxx xxxxx,
3. xxxxxxxxx způsoby používání xxxxx.
x) Způsoby xxxxxxxxxxxx xxxxxxx xxxx ničení xxxxxxxxxxx xxxxxx dat.
(5) Xxxxxxxx bezpečnosti xxxxxxxx xxxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Pravidla xxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxx jeho xxxxxxxxx
1. xxxxxxx a xxxxx xxxxxxx uživatelů,
2. způsoby x formy xxxxxxx xxxxxxx xxxxx,
3. způsoby x xxxxx xxxxxxx xxxxxxxxxxxxxx,
4. způsoby x xxxxx poučení xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxx případů xxxxxxxx xxxxxxxxxxxx politiky xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx změnu xxxxxxxx xxxxxx.
1. xxxxxxx svěřených xxxxx a xxxxxxxx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxx,
2. změna xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxx xxxxxx.
(6) Xxxxxxxx řízení xxxxxxx x komunikací**
[§5 xxxx. 1 písm. f), §5 xxxx. 2 xxxx. f)]
a) Pravomoci x xxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx a xxxxxxxxx xxxxxxxxxx provozu.
d) Xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx.
x) Pravidla x xxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a bezpečnostních xxxxx.
(7) Xxxxxxxx xxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Princip minimálních xxxxxxxxx/xxxxxxx xxxx (xxxx xx xxxx).
x) Požadavky xx xxxxxx xxxxxxxx.
x) Xxxxxxx cyklus xxxxxx xxxxxxxx.
x) Řízení xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx přístupu xxx mimořádné xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx včetně rozdělení xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx.
(8) Politika xxxxxxxxxx chování xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx pro xxxxxxxx xxxxxxxxx x xxxxxx.
x) Xxxxxxxx použití přístupového xxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx x xxxxxxxx na internet.
d) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx xxxxxxx xx xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx xx xxxxxx x xxxxxxxx zařízením.
(9) Xxxxxxxx xxxxxxxxxx a xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxx xx xxxxxxxxxx x obnovu.
b) Pravidla x xxxxxxx xxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx uložení xxxxx.
x) Xxxxxxxx a xxxxxxx obnovy.
e) Pravidla x postupy xxxxxxxxx xxxxxxxxxx a obnovy.
(10) Xxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Způsoby xxxxxxx elektronické xxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(11) Xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx**
[§5 xxxx. 1 xxxx. k)]
a) Pravidla xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx x xxxxxxx vyhledávání xxxxxxxxx programových balíčků,
c) Xxxxxxxx a xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
x) Pravidla x xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
(12) Xxxxxxxx xxxxxxxxxx xxxxxxxxx mobilních xxxxxxxx*
[§5 xxxx. 1 xxxx. 1)]
x) Xxxxxxxx x postupy pro xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx xxxxxxxxxxx.
(13) Xxxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x informací*
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
(14) Xxxxxxxx xxxxxxxxxxxx xxxxxxxx a xxxxxxxxx xxxxxxxxx*
[§5 xxxx. x xxxx. x)]
x) Xxxxxxxx a xxxxxxx xxxxxxxxx dokumentů x xxxxxxx.
x) Xxxxxxx archivovaných xxxxxxxxx x xxxxxxx.
x) Xxxxxxxx xxxxxxxx x xxxxxxxxxxxx dokumentům a xxxxxxxx.
(15) Xxxxxxxx ochrany xxxxxxxx údajů*
[§5 xxxx. x písm. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx osobních xxxxx.
x) Xxxxx xxxxxxxxx a xxxxxxxxxxx organizačních xxxxxxxx xxx ochranu osobních xxxxx.
x) Xxxxx přijatých x provedených xxxxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxx xxxxx.
(16) Xxxxxxxx xxxxxxx xxxxxxxxxxx**
[§5 xxxx. x písm. x)]
x) Xxxxxxxx xxx ochranu xxxxxxx.
x) Pravidla xxx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx xxx ochranu xxxxxxxx.
x) Xxxxxxx narušení xxxxxxx bezpečnosti.
(17) Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx a xxxxxxx pro xxxxxxxxx xxxxxxxxxxx sítě.
b) Xxxxxx xxxx a xxxxxxxxxx xx bezpečný provoz xxxx.
x) Xxxxxxxx a xxxxxxx pro řízení xxxxxxxx x rámci xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxx přístupu k xxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxxxxx xxxx a xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.
(18) Xxxxxxxx xxxxxxx xxxx škodlivým xxxxx*
[§5 xxxx. x xxxx. r), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxx x xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx serverů x xxxxxxxxx datových xxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxx.
(19) Xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx a postupy xxxxxxxx xxxxxxxx xxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx xxxxxxxxxxxxx x xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxxxxxx nastavení xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(20) Xxxxxxxx xxxxxxx x xxxxxx xxxxxxxx xxx xxxx a vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla a xxxxxxx xxx xxxxxxxx x vyhodnocení kybernetických xxxxxxxxxxxxxx událostí.
b) Pravidla x postupy xxxxxxxxxx xxxxxxxxxxx xxxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx pro xxxx x vyhodnocení kybernetických xxxxxxxxxxxxxx xxxxxxxx.
(21) Xxxxxxxx xxxxxxxxxx používání xxxxxxxxxxxxxx xxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Úroveň xxxxxxx x ohledem xx xxx x sílu xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx
1. xxx přenosu po xxxxxxxxxxxxx xxxxxx,
2. při xxxxxxx na xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx nosič xxx,
x) Xxxxxx správy xxxxx.
XX. Xxxxxxxxx další xxxxxxxxxxx
(1) Xxxxxx x auditu xxxxxxxxxxxx xxxxxxxxxxx**
[§28 odst. 1 xxxx. x)]
x) Xxxx auditu kybernetické xxxxxxxxxxx.
x) Předmět xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Kritéria xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx xxxx auditorů x xxxx, xxxxx xx auditu xxxxxxxxxxxx xxxxxxxxxxx zúčastnily.
e) Xxxxx x xxxxx, kde xxxx xxxxxxxxx xxxxxxxx xxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxx z xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(2) Xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 xxxx. c)]
a) Xxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx systému xxxxxx bezpečnosti informací,
b) Xxxxxxxxxxxx změn x xxxxxxxxx, xxxxx xxxxx xxx xxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Zpětná xxxxx x výkonnosti xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x xxxxxxxx opatření,
2. xxxxxxxx monitorování x xxxxxx,
3. výsledky xxxxxx,
4. xxxxxxxx cílů bezpečnosti,
d) Xxxxxxxx xxxxxxxxx rizik x xxxx xxxxx xxxxxxxx xxxxx.
x) Identifikace xxxxxxxx xxx neustálé xxxxxxxxxx.
x) Xxxxxxxxxx potřebných xxxxxxxxxx, xxxxxxxxx xxxxxxxx x osob xxxxxxxxxxxxx xxxxx jednotlivých xxxxxxxx.
(3) Xxxxxxxx xxx xxxxxxxxxxxx x hodnocení aktiv x pro xxxxxxxxxxxx x xxxxxxxxx xxxxx*
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. b)]
a) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxx,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.
x) Xxxxxx stupnice pro xxxxxxxxx rizik
1. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxx,
2. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxx,
3. určení xxxxxxxx pro hodnocení xxxxxx xxxxxxxxxxxxx,
4. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxx,
x) Xxxxxx x xxxxxxxx pro xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx.
(4) Xxxxxx x hodnocení xxxxx a rizik**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. c)]
a) Xxxxxxx primárních aktiv
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx aktiv,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx důvěrnosti, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxx podpůrných xxxxx (xxxxxxx xxx orgány x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx)
1. identifikace x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx garantů xxxxxxxxxx xxxxx,
3. xxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx aktivy,
c) Xxxxxxxxxxxxxx x xxxxxxxxx xxxxx
1. xxxxxxxxx xxxxxxx xxxxxx xx xxxxxx,
2. xxxxxxxxx existujících xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx zranitelností, xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx xxxx xxxxxx x kritérii xxx xxxxxxxxxxxx xxxxx,
5. xxxxxx x schválení přijatelných xxxxx.
x) Zvládání xxxxx
1. xxxxx xxxxxxx zvládání xxxxx,
2. xxxxx xxxxxxxx x jejich realizace.
(5) Xxxxxxxxxx x xxxxxxxxxxxxxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx včetně xxxxxxxxxx xxxxxx výběru a xxxxxx xxxxx xx xxxxxxxxxxxxxx rizika.
b) Přehled xxxxxxxxxx xxxxxxxxxxxxxx opatření.
(6) Xxxx zvládání rizik**
[§28 xxxx. 1 písm. x), §28 odst. 2 xxxx. e)]
a) Xxxxx a xxxx xxxxxxxxx bezpečnostních opatření xxx xxxxxxxx rizik.
b) Xxxxxxxx xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx hodnocení xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx opatření pro xxxxxxxx xxxxx.
(7) Xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx*
[§28 xxxx. 1 písm. x), §28 odst. 2 písm. x)]
x) Xxxxx a xxxxxxx xxxxxxx xxxxxxxxx.
x) Obsah x xxxxxxx poučení xxxxxxx xxxxx (xxxxxxx xxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. e) xxxxxx).
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxxxxxxxxx (xxxxxxx pro xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx).
x) Obsah x xxxxxxx poučení xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxx x xxxxxxx xxxxxxx xxxxxx zaměstnanců.
f) Formy x xxxxxxx xxxxxxxxx xxxxx.
(8) Xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 xxxx. i), §28 xxxx. 2 xxxx. g)]
a) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx pro evidenci x xxxxxxxx jednotlivých xxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx testování systému xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x pro xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(9) Strategie xxxxxx kontinuity xxxxxxxx**
[§28 xxxx. 1 xxxx. x), §28 odst. 2 písm. h)]
a) Xxxxx x xxxxxxxxxx xxxxxxxxxxxx osob.
b) Xxxx xxxxxx kontinuity xxxxxxxx
1. xxxxxxxxx xxxxxx poskytovaných xxxxxx,
2. doba xxxxxxxx xxxxx,
3. bod obnovení xxxxx.
x) Xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xx kontinuitu x xxxxxxxxxx xxxxxxxxxxxxx xxxxx.
x) Xxxxxx a obsah xxxxxxxxxx xxxxx xxxxxxxxxx.
x) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx.
(10) Přehled xxxxxx závazných právních xxxxxxxx, vnitřních xxxxxxxx x jiných předpisů x xxxxxxxxx závazků*
[§28 xxxx. 1 xxxx. x), §28 odst. 2 písm. x)]
x) Xxxxxxx xxxxxx závazných xxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx předpisů a xxxxxx předpisů.
c) Xxxxxxx xxxxxxxxx xxxxxxx.
Xxxxxxxx:
* Xxxxxxxxx xxxxxxxxx xxxxxxxxx xx xx xxxxxx střední xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.
** Xxxxxxxxx xxxxxxxxx xxxxxxxxx xx xx xxxxxx xxxxxx xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx a xxxxxx xxxxx.
Příloha x. 5 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx
Vyplnitelný formulář ve formátu PDF
Příloha č. 6 x xxxxxxxx x. 316/2014 Sb.
Formulář xxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx a xxxx xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Příloha č. 7 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxx xxx xxxxxxx kontaktních xxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxxxx
Xxxxxx předpis x. 316/2014 Sb. xxxxx xxxxxxxxx dnem 1.1.2015.
Xx xxx xxxxxxxx právní xxxxxxx xxxxx měněn xx doplňován.
Právní xxxxxxx x. 316/2014 Xx. xxx zrušen xxxxxxx xxxxxxxxx č. 82/2018 Sb. s xxxxxxxxx xx 28.5.2018.
Znění xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx xx xxxx xxxxxx xxxxxxxxx xxxxx xxxxx uvedeného xxxxxxxx předpisu.
1) ISO/IEC 27001:2013, xxxxxxxx XXX ISO/IEC 27001:2014