Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
VYHLÁŠKA
ze xxx 15. xxxxxxxx 2014
o bezpečnostních xxxxxxxxxx, xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx, xxxxxxxxxxx opatřeních x o xxxxxxxxx xxxxxxxxxxx xxxxxx v xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx xxxxxxxxxxxx xxxx xxxxxxx podle §28 xxxx. 2 xxxxxx x. 181/2014 Xx., x xxxxxxxxxxxx bezpečnosti x x xxxxx xxxxxxxxxxxxx xxxxxx (xxxxx x xxxxxxxxxxxx xxxxxxxxxxx), (xxxx jen "xxxxx") x xxxxxxxxx §6 xxxx. x) xx x), §8 xxxx. 4, §13 xxxx. 4 x §16 xxxx. 6 xxxxxx.
XXXX XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxxx xxxxxxxxx se xxxxxxx obsah x xxxxxxxxx bezpečnostní dokumentace xxx xxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx, xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxx jejich zavedení, xxxx a xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx x způsob xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxx x provedení reaktivního xxxxxxxx x xxxx xxxxxxxx x xxxx xxxxxxxx kontaktních údajů x xxxx xxxxx.
§2
Xxxxxxxx xxxxx
X xxxx xxxxxxxx xx rozumí
a) xxxxxxxx xxxxxx bezpečnosti xxxxxxxxx část xxxxxxx xxxxxx orgánu a xxxxx xxxxxxx v §3 xxxx. c) xx e) xxxxxx xxxxxxxx xx přístupu x rizikům xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného informačního xxxxxxx, xxxxx xxxxxxx xxxxxx xxxxxxxx, zavádění, xxxxxx, xxxxxxxxxxxx, přezkoumání, xxxxxxxxx x zlepšování xxxxxxxxxxx informací,
b) aktivem xxxxxxxx xxxxxxx a xxxxxxxx aktivum,
c) xxxxxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxx, kterou xxxxxxxxxx xxxx poskytuje xxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xx na xxxxxxx, xxxxxxx, xxxxxx xxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému x xxxxxxx, xx xxxxxxx xxxx xxxx xxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxx, xx určitá xxxxxx xxxxxxx xxxxxxxxxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxx aktiva,
g) hodnocením xxxxx xxxxxx, xxx xxxx xx xxxxxxxx xxxxxxxxxx rizik x xxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxx xxxxxxx xxxxxxxxxx hodnocení xxxxx, xxxxx x zavedení xxxxxxxx xx xxxxxxxx xxxxx, xxxxxxx informací x riziku a xxxxxxxxx x xxxxxxxxxxx xxxxx,
x) hrozbou potencionální xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxx xxxx xxx xxxxxxxxx xxxxxx,
x) zranitelností xxxxx xxxxx aktiva xxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxx xxxxxxxx jednou xxxx xxxx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxx riziko xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxx soubor zásad x xxxxxxxx, které xxxxxx způsob zajištění xxxxxxx aktiv orgánem x xxxxxx xxxxxxxx x §3 písm. x) až x) xxxxxx,
x) garantem xxxxxx xxxxxxx osoba xxxxxxxx xxxxxxx xxxx osobou xxxxxxxx x §3 xxxx. c) až x) xxxxxx x xxxxxxxxx rozvoje, xxxxxxx x bezpečnosti aktiva,
n) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxx xxxxx xxxxxxx xxxx, xxxxx využívá primární xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxx xxxxx xxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxx, xxxxxx, xxxxxxx, xxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX OPATŘENÍ
§3
Systém xxxxxx xxxxxxxxxxx informací
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx x xxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx
x) stanoví x xxxxxxx xx xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xx xxxxxx xxxx, kterých organizačních xxxxx a technických xxxxx se xxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx,
x) xxxx xxxxxx xxxxx §4 xxxx. 1,
x) xxxxxxx x xxxxxxx xxxxxxxxxxxx politiku x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxx, cíle, bezpečnostní xxxxxxx, práva a xxxxxxxxxx xx xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxx a xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx stanoví xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx podle §5 x xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx vhodnost a xxxxxxxx bezpečnostní xxxxxxxx xxxxx §5,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §15, x to xxxxxxx xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx účinnosti systému xxxxxx xxxxxxxxxxx informací, xxxxx obsahuje xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací včetně xxxxxx hodnocení xxxxx, xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx na systém xxxxxx xxxxxxxxxxx xxxxxxxxx, x xx xxxxxxx xxxxxx xxxxx,
x) xxxxxxxxxxx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx na xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx vyhodnocení xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx informací x x souvislosti s xxxxxxxxxxx nebo xxxxxxxxxxx xxxxxxx a
i) řídí xxxxxx x xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxx xxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 xxxx. e) xxxxxx x xxxxx systému xxxxxx bezpečnosti xxxxxxxxx
x) xxxx rizika xxxxx §4 odst. 2,
b) xxxxxxx x xxxxxxx xxxxxxxxxxxx politiku x xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxx zásady, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx xx xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxx x xx základě xxxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxx rizik xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §5, a xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxxx xxxxx x xxxxx, xxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxx x xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx, x xx xxxxxxx jednou xx xxx xxxx xxxx v xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx.
§4
Xxxxxx xxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) a x) xxxxxx x xxxxx xxxxxx rizik
a) xxxxxxx xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxx aktiv x xxx identifikaci x hodnocení xxxxx xxxxxx xxxxxxxxx kritérií xxx xxxxxxxxxxxx rizik,
b) xxxxxxxxxxxx x hodnotí xxxxxxxxxx xxxxx, xxxxx xxxxx do xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx §8 x xxxxxxx přílohy č. 1 x xxxx xxxxxxxx x xxxxxxx zapracuje xx xxxxxx x xxxxxxxxx aktiv x xxxxx,
x) xxxxxxxxxxxx rizika, xxx xxxxxxx zohlední xxxxxx a zranitelnosti, xxxxxxx možné xxxxxx xx xxxxxx, hodnotí xxxx xxxxxx minimálně x xxxxxxx xxxxx přílohy č. 2 x této xxxxxxxx, určí x xxxxxxx přijatelná rizika x xxxxxxxx xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxx xx základě xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx přehled vybraných x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) zpracuje x xxxxxx xxxx zvládání xxxxx, xxxxx obsahuje xxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx, xxxxxx xxxxx zajišťující xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx rizik, potřebné xxxxxxxx, xxxxxxxxx, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxx jejich xxxxxxxx x xxxxx xxxxx xxxx riziky x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxx xxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx (dále jen "Xxxx") x xxxxxxxxx xxxxx x v xxxxxxx, že xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxx opatření xxxxxxxx stanovená kritéria xxx xxxxxxxxxxxx xxxxx, xxxxxx plán xxxxxxxx xxxxx.
(2) Xxxxx x xxxxx uvedená x §3 písm. x) xxxxxx v rámci xxxxxx xxxxx
x) xxxxxxx xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx kritérií xxx xxxxxxxxxxxx rizik,
b) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxx, xxxxx xxxxx xx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, podle §8 xxxxxxxxx v xxxxxxx přílohy č. 1 x xxxx vyhlášce x xxxxxxx xxxxxxxxx xx xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxxxxx, posoudí xxxxx dopady na xxxxxxxx xxxxxx, xxxxxxx xxxx xxxxxx xxxxxxxxx x xxxxxxx xxxxx přílohy č. 2 x xxxx xxxxxxxx x xxxxxxxx xxxxxx x xxxxxxxxx xxxxx x rizik,
d) xxxxxxxx xx základě xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx přehled xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx x xxxxxx plán xxxxxxxx rizik, který xxxxxxxx xxxx a xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxx xxxxx zajišťující xxxxxxxxxxx bezpečnostních opatření xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, technické, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxxx xxxxxx xxxxxxxx x xxxxx xxxxx xxxx identifikovanými xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx opatřeními a
f) xxxxxxxx xxx zbytečného xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxx vydaná Xxxxxx v xxxxxxxxx xxxxx a x xxxxxxx, že hodnocení xxxxx aktualizované x xxxx zranitelnosti xxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx ochranného xxxxxxxx xxxxxxxx xxxxxxxxx kritéria xxx xxxxxxxxxxxx rizik, xxxxxx plán zvládání xxxxx.
(3) Xxxxxx rizik xxxx být xxxxxxxxx x xxxxxx xxxxxxx, xxx xxx xx xxxxxxxxx x xxxxxxxxxx 1 x 2, xxxxx xxxxx a xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx xxxxxxxxx, xx používá xxxxxxxx xxxxxxxxxxx stejnou xxxx vyšší xxxxxx xxxxxx xxxxx.
(4) Orgán x osoba uvedená x §3 xxxx. x) xx x) xxxxxx xxx xxxxxxxxx xxxxx xxxxxxx zejména xxxx xxxxxx
x) porušení xxxxxxxxxxxx politiky, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx ze xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxx nebo xxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxxx xxxxxxx osoby,
d) užívání xxxxxxxxxxxx xxxxxxxx x xxxxxxx x xxxxxxxxxx xxxxxxxxxx,
x) kybernetický xxxx x xxxxxxxxxxx sítě,
f) xxxxxxxx xxx (xxxxxxxxx xxxx, spyware, trojské xxxx),
x) xxxxxxxxxx při xxxxxxxxxxx služeb xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx poskytování xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx elektrické xxxxxxx,
x) xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxx xxxxxxxx xxxxxx x
x) odcizení xxxx xxxxxxxxx aktiva.
(5) Xxxxx x osoba xxxxxxx x §3 písm. x) xx x) xxxxxx při xxxxxxxxx xxxxx zvažuje xxxxxxx xxxx xxxxxxxxxxxxx
x) nedostatečná xxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxxxxx údržba xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx,
x) nevhodné xxxxxxxxx xxxxxxxxxxxx oprávnění,
e) xxxxxxxxxxxx xxxxxxx xxx xxxxxxxxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx jevů, kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx x xxxxxxxxxxx odhalit xxxxxx xxxxxxxx nebo xxxxxxx xxxxxxx chování x
x) xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxx xxxx x povinností xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx.
(6) Xxxxx x osoba uvedená x §3 xxxx. x) a d) xxxxxx při xxxxxxxxx xxxxx xxxx zvažuje xxxx xxxxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, provedení xxxxxxxxxxxxx činností, xxxxxxxx xxxxxxxxx xx strany xxxxxxxxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx,
x) xxxxxxxxx xx xxxxxx zaměstnanců,
c) xxxxxxxx xxxxxxxxx xxxxxxxxxx, sabotáž,
d) xxxxxxxxxx xxxxxxxxx poskytování xxxxxx xxxxxxxxxxxxxx komunikací, xxxxxxx xxxxxxxxxx energie xxxx xxxxxx důležitých xxxxxx,
x) xxxxxxxxxx zaměstnanců x xxxxxxxxx xxxxxxxx xxxxxx,
x) cílený xxxxxxxxxxxx xxxx pomocí xxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxx x
x) zneužití xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxx.
(7) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxx xxxxxxxxx rizik xxxx xxxxxxx tyto xxxxxxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx bezpečnostní xxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxx xxxxxxxxx kontroly x
x) xxxxxxxxxxx xxxxxxxx odhalení xxxxxxxxx ze strany xxxxxxxxxxx.
§5
Xxxxxxxxxxxx politika
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x oblastech
a) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxx,
x) xxxxxx vztahů x xxxxxxxxxx,
x) klasifikace xxxxx,
x) xxxxxxxxxx lidských zdrojů,
f) xxxxxx xxxxxxx x xxxxxxxxxx,
x) řízení přístupu,
h) xxxxxxxx xxxxxxx uživatelů,
i) xxxxxxxxxx a xxxxxx,
x) xxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxx,
x) řízení xxxxxxxxxxx zranitelností,
l) xxxxxxxx xxxxxxxxx mobilních xxxxxxxx,
x) xxxxxxxxxxx a nabývání xxxxxxx xxxxxxxxxxxx vybavení x xxxxxxxxx,
x) dlouhodobé xxxxxxxx x archivace xxxxxxxxx,
x) xxxxxxx osobních xxxxx,
x) fyzická bezpečnost,
q) xxxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxxx před škodlivým xxxxx,
x) xxxxxxxx a xxxxxxxxx nástroje pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx,
x) xxxxxxx a xxxxxx xxxxxxxx pro xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x
x) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(2) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) organizační bezpečnost,
c) xxxxxx xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx lidských xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxxx,
x) xxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx a xxxxxx,
x) xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx a informací,
k) xxxxxxx xxxxxxxx údajů,
l) xxxxxxxxx xxxxxxxxxxxxxx ochrany,
m) xxxxxxx xxxx xxxxxxxxx xxxxx a
n) xxxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxxxxx hodnotí xxxxxxxx xxxxxxxxxxxx politiky x aktualizuje ji.
§6
Organizační xxxxxxxxxx
(1) Orgán x osoba xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, x xxxxx xxxxx xxxx xxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x bezpečnostní xxxx x jejich xxxxx x xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxx xxxxxxxxxxxx xxxx
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx bezpečnosti x
x) xxxxxx xxxxxx xxxxx §2 xxxx. m).
(3) Xxxxx x xxxxx xxxxxxx v §3 xxxx. e) xxxx xxxxxxxxxxxx xxxx xxxxxxxxx xxxxx odstavce 2.
(4) Xxxxxxx xxxxxxxxxxxx bezpečnosti xx xxxxx, xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xx pro xxxx xxxxxxx xxxxxxxxx x xxxxxxx odbornou xxxxxxxxxxx xxxxx s řízením xxxxxxxxxxx xxxxxxxxx xx xxxx nejméně xxx xxx.
(5) Xxxxxxxxx kybernetické xxxxxxxxxxx xx xxxxx xxxxxxxxxxx návrh a xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xx pro xxxx činnost xxxxxxxxx x prokáže xxxxxxxx xxxxxxxxxxx praxí s xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xx xxxx xxxxxxx xxx xxx.
(6) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx provádějící xxxxx xxxxxxxxxxxx xxxxxxxxxxx, která xx xxx tuto xxxxxxx vyškolena x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx s prováděním xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxx xxxxxxx xxx xxx. Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xxxx nestranně x výkon xxxx xxxx xx xxxxxxx xx xxxxxx xxxx xxxxxxxxx x xxxxxxxx 2 písm. x), x) xxxx d).
(7) Xxxxx pro řízení xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxx skupina xxxxxxx xxxxxxx, xxxxx xxxx xxxxxxxx celkovým xxxxxxx x xxxxxxxx informačního xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx, xxxxx xx xxxxxxxx xxxxxxxx xx xxxxxx x koordinaci xxxxxxxx spojených s xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx.
(8) Orgán a xxxxx uvedená v §3 xxxx. x) xx x) zákona xxxxxxx xxxxxxx školení xxxx, které xxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 xxxx. x).
§7
Xxxxxxxxx bezpečnostních xxxxxxxxx xxx xxxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx zavede xxxxxxxx xxx dodavatele, která xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, a xxxxxxxx je x xxxxxxxxxx nebo xxxxxx xxxx, xxxxx xx xxxxxxxx xx xxxxxxx, xxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx. Xxxxxx zapojení dodavatelů xx rozvoji, xxxxxxx xxxx zajištění xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx orgán x xxxxx uvedená x §3 písm. x) xx e) xxxxxx xxxxxxxx, xxxxx xxxxxxxx xx xxxxxxxxxx o xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x osoba xxxxxxx x §3 písm. x) x x) xxxxxx x dodavatelů xxxxxxxxx x odstavci 1 dále
a) xxxx xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxx přílohy č. 2 x xxxx xxxxxxxx, xxxxx xxxx xxxxxxx s xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxx x xxxxxx xxxxxx, xxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxx vztah xxxxxxxx xxxxxxx xxxxxxxxxxxx xx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx opatření, x
x) xxxxxxx xxxxxxxxxx hodnocení xxxxx a xxxxxxxxxxx xxxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxxx odstraňuje nebo xx dohodě s xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxx.
§8
Xxxxxx xxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxx xxxxxx aktiv
a) xxxxxxxxxxxx x xxxxxxx primární xxxxxx,
x) xxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xx xxxxxxxx xxxxxx, x
x) hodnotí xxxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx důvěrnosti, xxxxxxxxx x xxxxxxxxxxx x zařadí je xx xxxxxxxxxxxx xxxxxx xxxxxxxxx x rozsahu xxxxx přílohy č. 1 x xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx xxxxxxxxxxx primárních xxxxx xx xxxxx xxxxxxxxx posoudit
a) rozsah x xxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxx xxxxxxxx povinností nebo xxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx x kontrolních xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, xxxxxxxxxx xxxx ekonomických xxxxx,
x) xxxxx finanční xxxxxx,
x) xxxxxx narušení běžných xxxxxxxx orgánu x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx,
x) xxxxxx xxxxxxx s xxxxxxxxx xxxxxxxxxx, integrity x xxxxxxxxxxx x
x) xxxxxx xx zachování xxxxxxx xxxxx nebo xxxxxxx xxxxx xxxxxxx.
(3) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx dále
a) xxxxxxxxxxxx a xxxxxxx xxxxxxxx aktiva,
b) určí xxxxxxx aktiv, xxxxx xxxx odpovědní za xxxxxxxx xxxxxx, a
c) xxxx vazby xxxx xxxxxxxxxx x podpůrnými xxxxxx a hodnotí xxxxxxxx xxxxxxxxxx mezi xxxxxxxxxx a xxxxxxxxxx xxxxxx.
(4) Orgán x xxxxx xxxxxxx v §3 písm. c) xx x) xxxxxx xxxx
x) xxxxxxx xxxxxxxx xxxxxxx, nutná xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx tím, xx
1. xxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxx xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx x xxxxxx xxxxx xxxxxx xxxxx, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx sdílení a xxxxxxx xxxxxxxxx aktiv x
3. xxxxxxx přípustné xxxxxxx používání xxxxx,
x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx x
x) xxxx xxxxxxx xxx spolehlivé smazání xxxx xxxxxx xxxxxxxxxxx xxxxxx dat x xxxxxxx xx xxxxxx xxxxx.
§9
Xxxxxxxxxx xxxxxxxx zdrojů
(1) Xxxxx a osoba xxxxxxx v §3 xxxx. x) xx x) xxxxxx x xxxxx xxxxxx bezpečnosti xxxxxxxx xxxxxx
x) stanoví xxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx, který xxxxxxxx xxxxx, obsah x xxxxxx xxxxxxxxxx xxxxxxx x xxxx xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx x xxxxx uvedeny,
b) x souladu x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx zajistí xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx xxxx x xxxxxx xxxxxxxxxxxx a o xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx x pravidelných xxxxxxx,
x) xxxxxxx kontrolu xxxxxxxxxx xxxxxxxxxxxx politiky xx strany xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx bezpečnostní role x
x) xxxxxxx vrácení xxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxx x uživateli, xxxxxxxxxxxxxx nebo xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx vede x školení xxxxx xxxxxxxx 1 xxxxxxxx, xxxxx obsahují předmět xxxxxxx x xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x x) zákona xxxx
x) xxxxxxx pravidla xxx určení xxxx, xxxxx budou xxxxxxxx xxxxxxxxxxxx xxxx, xxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx plánu xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxxxxx školení x xxxxxxx xxxxxxxx spojených x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxx xxxxxxxx x xxxxxxx xxx xxxxxx případů xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx strany uživatelů, xxxxxxxxxxxxxx a osob xxxxxxxxxxxxx xxxxxxxxxxxx role x
x) zajistí změnu xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx xxxx osob xxxxxxxxxxxxx bezpečnostní xxxx.
§10
Xxxxxx provozu x xxxxxxxxxx
(1) Orgán a xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona x rámci řízení xxxxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx v §21 xx 23 detekuje xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxx x na xxxxxxxx xxxxxxxxxx reaguje x souladu x §13.
(2) Orgán x xxxxx uvedená v §3 písm. c) xx x) zákona x xxxxx řízení xxxxxxx x xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xx xxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx.
(3) Provozní xxxxxxxx x xxxxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxxx
x) xxxxx a xxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx x xxxxxxxxx,
x) xxxxxxx pro xxxxxxxx x xxxxxxxx xxxxx xxxxxxx, xxx xxxxxxx xxxx obnovení xxxxx systému xx xxxxxxx x xxx xxxxxxxx xxxxxxxxx stavů xxxx xxxxxxxxxxx jevů,
c) xxxxxxx xxx sledování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x pro xxxxxxx xxxxxxxx x záznamům x xxxxxx xxxxxxxxxx,
x) xxxxxxx xx kontaktní xxxxx, xxxxx jsou xxxxxx xxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx,
x) postupy xxxxxx x xxxxxxxxxxx provozních xxxx a
f) xxxxxxx xxx sledování, plánování x xxxxxx kapacity xxxxxxxx x xxxxxxxxxxx xxxxxx.
(4) Xxxxxx xxxxxxx xxxxxx a xxxxx xxxxxxx v §3 xxxx. c) xx x) xxxxxx spočívá x xxxxxxxxx pravidelného xxxxxxxxxx a prověřování xxxxxxxxxxxxx xxxxxxxxxxx xxxxx.
(5) Xxxxxx xxxxxxx xxxxxx x osoby xxxxxxx x §3 písm. x) x x) xxxxxx spočívá x
x) xxxxxxxxx oddělení xxxxxxxxxx, xxxxxxxxxxx a xxxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx xxx, xx orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx
1. posoudí očekávané xxxxxx reaktivního xxxxxxxx xx informační xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx komunikační systém xxxxxxxx informační xxxxxxxxxxxxxx x na zavedená xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxx negativní účinky x bez xxxxxxxxxx xxxxxxx xx xxxxxx Xxxxx a
2. xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, který xxxxxxxxxxxx xxxxx negativní xxxxxx, x určí xxxxxx plán xxxx xxxxxxxxx.
(6) Xxxxx a xxxxx uvedená v §3 xxxx. c) x d) xxxxxx x rámci xxxxxx xxxxxxxxxx
x) xxxxxxxxx xxxxxxxxxx x integritu komunikačních xxxx x xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxxx §17,
x) xxxx xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxx, které xxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxx x předávání xxxxxxxxx xx xxxxxxx pravidel xxxxxxxxxxx právními xxxxxxxx xx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx informací a xxxx xxxxxxxx xxxxxxxxxxx x
x) s ohledem xx xxxxxxxxxxx xxxxx xxxxxxx výměnu x xxxxxxxxx informací na xxxxxxx xxxxxxxxx xxxxx, xxxxxxx xxxxxxxx je xxxxxxxxxx x bezpečnosti xxxxxxxxx.
§11
Xxxxxx xxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. c) až x) xxxxxx xx xxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxx x xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx x významnému informačnímu xxxxxxx x xxxxxxx xxxxxxx uživateli jednoznačný xxxxxxxxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxxxxx opatření, xxxxx xxxxxx k zajištění xxxxxxx údajů, které xxxx xxxxxxxxx xxx xxxxxxxxxx uživatelů a xxxxxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx informačního xxxxxxx xxxxx §18 x 19, x která xxxxx xx zneužití xxxxxx xxxxx neoprávněnou xxxxxx.
(3) Orgán a xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx v xxxxx xxxxxx xxxxxxxx
x) xxxxxxx xxxxxxxxxxxxx xxxxxxxxx samostatný xxxxxxxxxxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxxxx oprávnění,
c) xxxxxxxxx x odebírá přístupová xxxxxxxxx v xxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx,
x) provádí xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx včetně rozdělení xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxx,
x) využívá xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx podle §18 x xxxxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §19 x
x) xxxxxx bezpečnostní xxxxxxxx xxxxxxxx pro xxxxxxxx xxxxxxxxx xxxxxxxxx zařízení, xxxxxxxx x bezpečnostní xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx zařízení, xxxxxxx orgán x xxxxx xxxxxxx x §3 písm. c) x x) xxxxxx xxxxxxxxxxx.
§12
Akvizice, xxxxx x xxxxxx
(1) Orgán a xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxxxxx bezpečnostní xxxxxxxxx xx změny informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační infrastruktury xxxx významného xxxxxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxx, xxxxxxx x xxxxxxx a xxxxxx xx xx xxxxxxxx xxxxxxxx, xxxxxx x xxxxxx xxxxxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. c) x x) xxxxxx xxxx
x) xxxxxxxxxxxx, xxxxxxx x xxxx xxxxxx xxxxxxxxxxx x xxxxxxxx, xxxxxxx x xxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikačního xxxxxxx kritické informační xxxxxxxxxxxxxx; pro postupy xxxxxxxxx x řízení xxxxx xx xxxxxxxx xxxxx §4 xxxx. 1 písm. x) xxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx ochranu xxxxxxxxxxx xxxxxxxxxxx xxx x
x) provádí xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx před xxxxxx xxxxxxxxx xx xxxxxxx.
§13
Zvládání xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx při xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx, která xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx u xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xx strany xxxxxxxxx, administrátorů x xxxx zastávajících bezpečnostní xxxx a o xxxxxxxxxx vede záznamy,
b) xxxxxxxx prostředí pro xxxxxxxxxxx xxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí x xxxxxxxxxxxxxx bezpečnostních událostí xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx §21 xx 23, provádí xxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx incidenty,
c) xxxxxxx xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx incidentů, xxxxxxx xxxxxxxx pro xxxxxxxxx x xxxxxxxx dopadu xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle §32 x zajistí xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx analýzu xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx x určí xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx, xxxxxxxxx účinnost xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a xx xxxxxxx vyhodnocení xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx a
e) xxxxxxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
§14
Xxxxxx kontinuity xxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. c) xx x) zákona v xxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxxx
x) xxxxx x xxxxxxxxxx xxxxxxx xxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) xxxx řízení xxxxxxxxxx xxxxxxxx formou xxxxxx
1. xxxxxxxxx úrovně xxxxxxxxxxxxx xxxxxx, která xx xxxxxxxxxx xxx xxxxxxx, xxxxxx a xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
2. xxxx xxxxxxxx xxxxx, xxxxx xxxxx bude xx xxxxxxxxxxxxx bezpečnostním xxxxxxxxx obnovena xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, a
3. xxxx xxxxxxxx dat xxxx termínu, xx xxxxxxx xxxxx xxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx, x
x) xxxxxxxxx řízení xxxxxxxxxx xxxxxxxx, která obsahuje xxxxxxxx xxxx xxxxx xxxxxxx b).
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx dále
a) vyhodnotí x dokumentuje xxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx x xxxxxxx xxxxx rizika xxxxxxxxxxx x ohrožením xxxxxxxxxx xxxxxxxx,
x) xxxxxxx, aktualizuje x xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxx činností xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxx xxx zvýšení xxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx kybernetickému xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxx xxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx podle §26 x
x) xxxxxxx x xxxxxxxxxxx postupy xxx xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx podle §13 x 14 xxxxxx, xx kterých xxxxxxxx
1. xxxxxxxx hodnocení xxxxx provedení xxxxxxxx,
2. xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a
3. xxxxxxxxxxx xxxxxxxxxx negativních xxxxxx xx xxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx komunikačního systému xxxxxxxx xxxxxxxxxx infrastruktury.
§15
Kontrola a xxxxx xxxxxxxx informační xxxxxxxxxxxxxx x významných xxxxxxxxxxxx xxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona x xxxxx xxxxxxxx x xxxxxx kritické xxxxxxxxxx infrastruktury x xxxxxxxxxx informačních xxxxxxx (xxxx xxx "audit xxxxxxxxxxxx xxxxxxxxxxx")
x) xxxxxxxx xxxxxx bezpečnostních xxxxxxxx x právními xxxxxxxx, xxxxxxxxx předpisy, jinými xxxxxxxx x xxxxxxxxx xxxxxxx vztahujícími se x informačnímu xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačnímu systému x xxxx opatření xxx xxxx xxxxxxxxxxx x
x) xxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx bezpečnostní politiky x xxxxxxxx těchto xxxxxxx zohlední v xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx xxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxxxxxxx provedení xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxxx xxxxx §6 xxxx. 6, která xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Orgán a xxxxx xxxxxxx x §3 písm. x) x x) zákona xxxx pro xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx kontrolu xxxxxxxxxxxxx technických prostředků xxxxxx xxxxxxxxxxxxxxxx xxxxxxxx x jejich xxxxxxx xxxxxxxxxxx x xxxxxxx xx xxxxxxxx zranitelnosti.
HLAVA XX
XXXXXXXXX OPATŘENÍ
§16
Fyzická xxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx x rámci fyzické xxxxxxxxxxx
x) přijme xxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxxxx xx xxxxxxxxxx xxxxxxx, xxx xxxx xxxxxxxxxxxx informace x xxxxxxxx technická xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému,
b) xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx poškození x xxxxxxx xx xxxxxxxxxx xxxxxxx, xxx xxxx xxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx informačního xxxxxxx, x
x) předchází poškození, xxxxxxx xxxx xxxxxxxx xxxxx nebo xxxxxxxxx xxxxxxxxxxx služeb informačního xxxxxxx kritické informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx xxxxxxxxx prostředky xxxxxxx xxxxxxxxxxx
x) pro xxxxxxxxx xxxxxxx xx xxxxxx xxxxxxx x
x) xxx zajištění xxxxxxx x rámci objektů xxxxxxxxxx zvýšené xxxxxxxxxxx xxxxxxxxxx xxxxxxx, ve xxxxxxx xxxx xxxxxxxx xxxxxxxxx xxxxxx informačního xxxxxxx kritické informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.
(3) Prostředky fyzické xxxxxxxxxxx xxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxx xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxx požárů,
d) xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxx xxxxxxxx xxxxxx,
x) xxxxxxxx systémy,
g) xxxxxxxx xxx xxxxxxxxx ochrany xxxx selháním dodávky xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx podmínek.
§17
Nástroj xxx ochranu xxxxxxxxx xxxxxxxxxxxxx xxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxx xxxxxxx xxxxxxxxx rozhraní xxxxxx xxxxxxxxxxx xxxx, xxxxx není xxx xxxxxxx xxxxxx xxxx xxxxx, a xxxxxxx xxxxxxxxxxx xxxx, která xx xxx xxxxxxx xxxxxx xxxx xxxxx, xxxxxx
x) xxxxxx xxxxxxxxxx xxxxxxxx mezi vnější x xxxxxxx sítí,
b) xxxxxxxxxx zejména xxxxxxxx xxxxxxxxxxxxxxxxxx xxx xxxx xxxxxxxxxxx typu xxxx xxxxxxxxxxx xx zvýšení xxxxxxxxxxx xxxxxxxx xxxxxxxxxx x xxxxxx xxxx x x xxxxxxxx xxxxx xxxxxxxxxx xxxxxxx xxxx s xxxxxx xxxx,
x) xxxxxxxxxxxxxx prostředky (§25) pro xxxxxxxx xxxxxxx, vzdálenou xxxxxx xxxx xxx xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxxxx pro xxxxxxxxxx nebo xxxxxxxxx xxxxxxxxxxx dat, xxxxx xxxxxxxxxxxx požadavkům na xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx.
(2) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) x x) zákona xxxx xxxxxxx nástroje xxx xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxx, xxxxx xxxxxxx její xxxxxxxxxx.
§18
Xxxxxxx pro xxxxxxxxx xxxxxxxx uživatelů
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxxxx xxxxxxxx xxx ověření xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx xxxxxxx identity xxxxxxxxx x xxxxxxxxxxxxxx xxxx xxxxxxxxx jejich xxxxxxx v xxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačním systému xxxxxxxx xxxxxxxxxx infrastruktury x významném xxxxxxxxxxx xxxxxxx.
(3) Xxxxxxx xxx xxxxxxxxx xxxxxxxx uživatelů, xxxxx xxxxxxx xxxxxxxxxxx xxxxx heslem, xxxxxxxxx
x) xxxxxxxxx délku xxxxx xxx znaků,
b) xxxxxxxxx xxxxxxxxx xxxxx xxx, xx xxxxx xxxx xxxxxxxxx xxxxxxx 3 x xxxxxxxxxxxxx xxxx xxxxxxxxx
1. nejméně jedno xxxxx xxxxxxx,
2. xxxxxxx xxxxx malé písmeno,
3. xxxxxxx xxxxx xxxxxxx, xxxx
4. nejméně xxxxx xxxxxxxxx xxxx xxxxxxx xx požadavků xxxxxxxxx x bodech 1 xx 3,
x) xxxxxxxxx xxxx xxx xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxxx xxx dnů; xxxxx xxxxxxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(4) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x d) zákona xxxx
x) xxxxxxx xxxxxxx xxx ověření xxxxxxxx, xxxxx
1. xxxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxx a neumožní xxxx změn xxxxx xxxxxxx uživatele xxxxx xxxxxxxxxxx xxxxxx, xxxxx xxxx být xxxxxxx 24 xxxxx, a
2. xxxxxxx opětovné xxxxxxx xxxxxxxx xx určené xxxx nečinnosti x
x) xxxxxxx nástroj xxx xxxxxxxxx xxxxxxxx administrátorů. X případě, že xxxxx nástroj využívá xxxxxxxxxxx xxxxxx, zajistí xxxxxxxxx xxxxxxxxx délky xxxxx patnáct znaků xxx xxxxxxxx požadavků xxxxx odstavce 3 xxxx. b) x x).
(5) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxx xxx xxxxxxxx x jinými xxxxxxx, xxx xxxx xxxx xxxxxxxxx x xxxxxxxxxx 3 xx 5, xxxxx xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxxxxxx, že xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxxxx úroveň xxxxxxxxx xxxxx.
§19
Xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx xxxxxxx nástroj xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, kterým xxxxxxx xxxxxx oprávnění
a) xxx xxxxxxx k xxxxxxxxxxx xxxxxxxxx x datům x
x) xxx čtení xxx, xxx xxxxx xxx a xxx xxxxx oprávnění.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) a x) xxxxxx dále xxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxx oprávnění, xxxxx xxxxxxxxxxx použití xxxxxxxxxxxx xxxxxxxxx v souladu x bezpečnostními potřebami x výsledky xxxxxxxxx xxxxx.
§20
Xxxxxxx xxx ochranu xxxx xxxxxxxxx xxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx pro xxxxxx xxxxx spojených x xxxxxxxxx xxxxxxxxxx kódu xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx škodlivým kódem, xxxxx xxxxxxx xxxxxxx x stálou xxxxxxxx
x) xxxxxxxxxx mezi vnitřní xxxx x xxxxxx xxxx,
x) xxxxxxx x xxxxxxxxx datových úložišť x
x) xxxxxxxxxx stanic,
přičemž xxxxxxx pravidelnou x xxxxxxx xxxxxxxxxxx xxxxxxxx xxx ochranu xxxx xxxxxxxxx kódem, xxxx xxxxxxx a xxxxxxxx.
§21
Nástroj xxx zaznamenávání xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významných xxxxxxxxxxxx systémů, xxxxxx xxxxxxxxx a administrátorů
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) až x) xxxxxx používá xxxxxxx pro xxxxxxxxxxxxx xxxxxxxx informačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx informačního xxxxxxx, xxxxx xxxxxxx
x) xxxx xxxxxxxxx o provozních x bezpečnostních xxxxxxxxxx, xxxxxxx typ xxxxxxxx, xxxxx x xxx, xxxxxxxxxxxx technického xxxxxx, xxxxx xxxxxxx zaznamenalo, xxxxxxxxxxxx xxxxxxx x xxxxx činnosti a xxxxxxxxx nebo neúspěšnost xxxxxxxx x
x) xxxxxxx xxxxxxxxx xxxxxxxxx před xxxxxxxxxxxx čtením xxxx xxxxxx.
(2) Xxxxx x xxxxx uvedená v §3 xxxx. x) xx e) xxxxxx xxxx xxxxxx xxxxxxxx xxx zaznamenávání xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxxxxxx x odhlášení xxxxxxxxx a xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxx ke xxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx činností x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx a xxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxx nebo xxxxxxx xxxxxxx xxxxxxxxxxx xxxxx,
x) xxxxxxxx x záznamům x činnostech, xxxxxx x manipulaci xx xxxxxxx x činnostech x xxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx x
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxx včetně xxxxx xxxxx, které slouží x xxxxxxxxxx.
(3) Xxxxx x osoba xxxxxxx x §3 písm. x) a d) xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx podle odstavce 2 xxxxxxxx nejméně xx dobu 3 xxxxxx.
(4) Xxxxx a xxxxx xxxxxxx v §3 xxxx. c) xx x) zákona xxxxxxxxx xxxxxxx xxxxxx xx 24 xxxxx xxxxxxxxxxxxx jednotného systémového xxxx xxxxxxxxxxx xxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx.
§22
Xxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxxxx vychází xx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx x který xxxxxxx xxxxxxx, xxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxx a xxxxxx sítí.
(2) Orgán x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx dále xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí, xxxxx zajistí xxxxxxx, xxxxxxxx x xxxxxxxx xxxxxxxxxxx komunikace
a) x xxxxx vnitřní komunikační xxxx x
x) xxxxxxx xxxxxxxxx do xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§23
Xxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx používá nástroj xxx sběr x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, který x souladu s xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxxx xxxxx xxxxxxx
x) xxxxxxxxxxx xxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx z xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx xxxx é xxxxxxxxxx xxxxxxxxxxxxxx a
c) xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, včetně xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx rolí.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) a x) xxxxxx dále zajistí
a) xxxxxxxxxxx aktualizaci xxxxxxxxx xxxxxxxx pro xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x včasné xxxxxxxx, xxx xxxx xxxxxxxxx xxxxxxx xxxxxxxxxxx vyhodnocení xxxxxxxx xxxx xxxxxxx xxxxxxxxx xxxxxxxx, x
x) xxxxxxxxx xxxxxxxxx, které xxxx xxxxxxxxxx nástrojem xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury a xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§24
Aplikační xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxxxxx bezpečnostní xxxxx zranitelnosti aplikací, xxxxx xxxx přístupné x vnější xxxx, x to xxxx xxxxxx xxxxxxxx do xxxxxxx x xx xxxxx zásadní xxxxx xxxxxxxxxxxxxx mechanismů.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx x xxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx trvalou xxxxxxx
x) xxxxxxxx x xxxxxxxxx xxxxxxxxxx z vnější xxxx před neoprávněnou xxxxxxxx, popřením xxxxxxxxxxx xxxxxxxx, xxxxxxxxxxxx nebo xxxxxxxxxxxxxxx změnou x
x) xxxxxxxxx xxxx xxxxxx xxxxxxxxxxxx, xxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxxx změnou xxxxxxxxxxx xxxxxxxx xxxxxx, kompromitací, xxxxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxx.
§25
Xxxxxxxxxxxxxx prostředky
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx
x) xxx xxxxxxxxx xxxxxxxxxxxxxx ochrany xxxxxxx
1. xxxxxx ochrany s xxxxxxx xx typ x xxxx kryptografického xxxxxxxxx x
2. xxxxxxxx xxxxxxxxxxxxxx xxxxxxx informací xxx xxxxxxx xx xxxxxxxxxxxxx sítích nebo xxx uložení xx xxxxxxx zařízení nebo xxxxxxxxxxx xxxxxxxxx xxxxxx xxx a
b) x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx používá xxxxxxxxxxxxxx prostředky, xxxxx xxxxxxx ochranu xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx ukládaných dat x xxxxxxxxx identifikaci xxxxx xx xxxxxxxxx xxxxxxxx.
(2) Orgán a xxxxx xxxxxxx v §3 xxxx. x) x d) zákona xxxx
x) stanoví xxx xxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx správy klíčů, xxxxx xxxxxxx xxxxxxxxxx, xxxxxxxxxx, ukládání, xxxxxxxxx, xxxxx, xxxxxx, xxxxxxxx x xxxxx klíčů, x
x) používá xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx klíče; x xxxxxxx xxxxxxxxx x xxxxxxxxxxx požadavky na xxxxxxxxxxxxxx algoritmy xxxxxxxxx x příloze č. 3 x xxxx vyhlášce xxxx xxxxxx xxxxxxx s xxxxx xxxxxxxxxx.
§26
Nástroj xxx zajišťování xxxxxx dostupnosti
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxxxx x xxxxxxxxxxxxxx potřebami x xxxxxxxx hodnocení xxxxx xxxxxxx xxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x osoba uvedená x §3 xxxx. x) x x) xxxxxx xxxxxxx nástroj xxx xxxxxxxxxxx úrovně xxxxxxxxxxx informací, xxxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx a komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx pro splnění xxxx xxxxxx xxxxxxxxxx xxxxxxxx,
x) odolnost xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx xxxx kybernetickým xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx xxxxx snížit xxxxxxxxxx, a
c) xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx
1. xxxxxxxx xxxxxxxxxx x xxxxxx xxxxxx x
2. xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxx xxxx.
§27
Bezpečnost průmyslových x xxxxxxxx xxxxxxx
Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) x x) zákona xxx xxxxxxxxxx průmyslových x řídicích systémů, xxxxx jsou xxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo komunikačním xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx anebo jsou xxxxxx součástí, xxxxxxx xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx xxxxxxxxx přístupu x síti x xxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx,
x) omezení xxxxxxxxx a vzdáleného xxxxxxxx x xxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx průmyslových x xxxxxxxx systémů xxxx xxxxxxxx známých xxxxxxxxxxxxx a
d) obnovení xxxxx průmyslových a xxxxxxxx xxxxxxx xx xxxxxxxxxxxxx bezpečnostním xxxxxxxxx.
XXXXX XXX
XXXXXXXXXXXX XXXXXXXXXXX
§28
Xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x d) zákona xxxx a xxxxxxxxxxx xxxxxxxxxxxx dokumentaci, která xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxx xxxxx §5 xxxx. 1,
x) zprávy x xxxxxx kybernetické xxxxxxxxxxx xxxxx §3 xxxx. 1 xxxx. x),
x) xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx §3 xxxx. 1 xxxx. x),
x) xxxxxxxx xxx xxxxxxxxxxxx a xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx,
x) xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxxxx o xxxxxxxxxxxxxxxx,
x) plán xxxxxxxx xxxxx,
x) xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx podle §9 xxxx. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xxxxx §13 xxxx. x),
x) xxxxxxxxx xxxxxx xxxxxxxxxx činností xxxxx §14 odst. 1 xxxx. x) x
x) xxxxxxx právních předpisů, xxxxxxxxx předpisů x xxxxxx předpisů a xxxxxxxxx závazků xxxxx §15 xxxx. 1 xxxx. x).
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) zákona xxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, která xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxx xxxxx §5 odst. 2,
b) xxxxxxxx pro xxxxxxxxxxxx x hodnocení xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx rizik xxxxx §4 xxxx. 2 písm. x),
x) xxxxxx o hodnocení xxxxx x xxxxx xxxxx §4 odst. 2 písm. b) x c),
d) xxxxxxxxxx x xxxxxxxxxxxxxxxx xxxxx §4 xxxx. 2 xxxx. x),
x) plán xxxxxxxx rizik xxxxx §4 xxxx. 2 xxxx. e),
f) xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle §13 xxxx. x),
x) xxxxxxxxx xxxxxx xxxxxxxxxx činností xxxxx §14 odst. 1 xxxx. x) x
x) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx předpisů x xxxxxxxxx xxxxxxx xxxxx §15 xxxx. 1 xxxx. x).
(3) Xxxxx x osoba xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx tak, xxx záznamy x xxxxxxxxxxx xxxxxxxxxx byly xxxxx, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx a xxx xx xxxx snadno xxxxxxxx. Xxxxxxxx xxxxxxxx x xxxxxxxxxxxx, uložení, xxxxxxx, vyhledání, době xxxxxxxxx x xxxxxxxxxx xxxxxxx o provedených xxxxxxxxxx dokumentuje.
(4) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx stanovena x příloze č. 4 x xxxx xxxxxxxx.
§29
Prokázání xxxxxxxxxxx
Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx, xxxxx xxxxxxxxxx systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx informační systém xx xxxxx xxxxxxx xx rozsahu xxxxxxx xxxxxx xxxxxxxxxxx informací, xxxxx xxx xxxxxxxxxxxx xxxxx příslušné xxxxxxxxx xxxxx1) xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx, x xxxxx xxxx dokumenty xxxxxxxxxx
x) xxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx politiky x xxxx xxxxxxx xxxxxx xxxxxxxxxxx informací,
c) xxxxx xxxxxxx xxxxxx hodnocení xxxxx a xxxxxx x hodnocení xxxxx,
x) xxxxxxxxxx o xxxxxxxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx xx xxxxxxxxxxx informací1),
f) xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxx x
x) xxxxxx x xxxxxx xxxxxxxxxxx certifikačním xxxxxxx včetně příslušných xxxxxxx o xxxxxxx xxxxxxxxxx xxxxxx s xxxxxxxxxx xxxxxx,
xxxxxxx xxxxxxxxx xx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx podle xxxxxx x xxxx vyhlášky.
ČÁST XXXXX
XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX
§30
Xxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Xxxxx xxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx rozděleny xx xxxxxxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx xxxxxxxx xxxxxxx x xxxxxxx xx xxxxxxx nebo k xxxxxxx dostupnosti xxxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx xxxxxxxxx kódem,
c) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx porušením xxxxxxxxxxxxx opatření,
e) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx x projevem xxxxxx xxxxxxxxxx xxxxxx x
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx způsobené kybernetickým xxxxxx.
(2) Xxxxx xxxxxx xxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx do xxxxxxxxxxxxx typů
a) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx aktiv, nebo
d) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxx x) xx x).
§31
Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx podle xxxxxxxx a negativních xxxxxxx kybernetické bezpečnostní xxxxxxxxx xxxx do xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - xxxxx xxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx přímo x xxxxxxxx narušena bezpečnost xxxxxxxxxxxxx služeb xxxx xxxxx. Xxxx řešení xxxxxxxx xxxxxxxxxx zásahy xxxxxxx x xxx, xx xxxx být xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx dalšímu šíření xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxxxx minimalizace xxxxxxxxx x xxxxxxxxxxxxx škod.
b) Xxxxxxxxx XX - xxxxxxx kybernetický bezpečnostní xxxxxxxx, xxx xxxxxx xx narušena xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho xxxxxx xxxxxxxx xxxxxxxxxx zásahy xxxxxxx x xxx, xx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx kybernetického xxxxxxxxx včetně xxxxxxxxxxxx xxxxxxxxx škod.
c) Xxxxxxxxx X - méně xxxxxxx kybernetický bezpečnostní xxxxxxxx, xxx xxxxxx xxxxxxx x méně xxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx zásahy obsluhy x xxx, xx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxxxxx xxxxxxxxx xxxx.
(2) Orgán x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx 1 zohlední
a) xxxxxxxxxx xxxxxxxxx aktiv xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační infrastruktury xxxx xxxxxxxxxx informačního xxxxxxx,
x) dopady xx xxxxxxxxxxx služby xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxx významného xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxx poskytované xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačními xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x
x) xxxxxxxxxxxxx xxxxx a xxxxx dopady.
§32
Xxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 písm. c) xx x) xxxxxx xxxxx kybernetický xxxxxxxxxxxx xxxxxxxx
x) x xxxxxxxxxxxx xxxxxx prostřednictvím
1. xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
2. xxxxxx xx xxxxxx xxxxxxxxxxxx pošty Úřadu xxxxxx pro xxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, zveřejněné na xxxxxxxxxxxxx xxxxxxxxx Úřadu,
3. xxxxxx zprávy xx xxxxxx xxxxxxxx Xxxxx, xxxx
4. xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx rozhraní, jehož xxxxx xx xxxxxxxxx xx internetových stránkách Xxxxx, anebo
b) v xxxxxxxx xxxxxx xx xxxxxx Národního xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, zveřejněné xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Hlášení v xxxxxxxx podobě xx xxxxxx pouze x xxxxxxxxx, xxx xxxxx xxxxxx xxxxx xx xxxxxxx xxxxxxxxx v xxxxxxxx 1 xxxx. x).
(3) Náležitosti hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx x příloze č. 5 x xxxx xxxxxxxx.
XXXX XXXXXX
XXXXXXXXX OPATŘENÍ X XXXXXXXXX XXXXX
§33
Xxxxxxxxx xxxxxxxx
Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) xx x) zákona xxxxxx xxxxxxxxx reaktivního xxxxxxxx x jeho xxxxxxxx xx xxxxxxxxx, xxxxx xxxx xx xxxxxx x příloze č. 6 k xxxx vyhlášce.
§34
Kontaktní údaje
Orgán a xxxxx xxxxxxx v §3 zákona xxxxxxxx xxxxxxxxx xxxxx xx xxxxxxxxx, xxxxx xxxx xx xxxxxx v příloze č. 7 x xxxx xxxxxxxx. Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) zákona xxxxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxx v §32 xxxx. 1 xxxx. x).
ČÁST XXXX
XXXXXXXX
§35
Xxxx vyhláška xxxxxx xxxxxxxxx xxxx 1. xxxxx 2015.
Ředitel:
Ing. Xxxxxxxx x. x.
Xxxxxxx x. 1 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxxx x xxxxxx xxxxxxxxxxx xxxxx
Xxx xxxxxxxxx xxxxxxxxxxx aktiv xxxx použity xxxxxxxx x xxxxxxx xxxxxxxx. Xxxxx xxxx osoba xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxx xxxxxxxx xxxxxxx počet xxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, než xxxx je xxxxxx x této xxxxxxx, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx x úrovněmi pro xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx xxxx xxxxxxx x xxxx xxxxxxx.
X xxxxxxx použití xxx xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xx xxxxxxxxx xxxxxxx buď xxxxxx xxxxx x xxxxxxx, xxxx xxxxxx vysoká x xxxxxxxx.
Xxxxxxxx pro xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxx xxxx xxxxxxx přístupná xxxx xxxx xxxxxx ke xxxxxxxxxx (xxxx. xx xxxxxxx xxxxxx č. 106/1999 Sb., x xxxxxxxxx přístupu x informacím, ve xxxxx pozdějších předpisů). Xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona. |
Není xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx nejsou xxxxxxx přístupná x xxxxx know-how orgánu x xxxxx uvedené x §3 xxxx. x) xx x) xxxxxx, xxxxxxx xxxxx xxxx vyžadována žádným xxxxxxx xxxxxxxxx xxxx xxxxxxxx ujednáním. |
Pro xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx pro xxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxxx xxxxxxx je xxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx xxxx smluvními xxxxxxxxxx (např. obchodní xxxxxxxxx podle zákona č. 89/2012 Sb., občanský xxxxxxx, xxxxxx údaje podle xxxxxx č. 101/2000 Sb., x xxxxxxx xxxxxxxx údajů, xx znění xxxxxxxxxx xxxxxxxx). |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, xxxxx zajistí xxxxxx x zaznamenávání xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxx xxxx xxxxxxxx pomocí kryptografických xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx a vyžadují xxxxxxxxxxxxx míru xxxxxxx xxx xxxxx xxxxxxxxx xxxxxxxxx (např. strategické xxxxxxxx xxxxxxxxx, citlivé xxxxxx xxxxx). |
Xxx xxxxxxx xxxxxxxxxx xx xxxxxxxxxx xxxxxxxx xxxx, xxxxx x xxxxxxx xxxxxxxxxxx, x metody xxxxxxx xxxxxxxxxxx zneužití aktiv xx xxxxxx administrátorů. Xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx ochranu x hlediska xxxxxxxxx. Xxxxxxxx xxxxxxxxx aktiva xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx xxxxxxxxx ochranu z xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx xxxxxx xxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx x může xx xxxxxxxx méně závažnými xxxxxx xx xxxxxxxx xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx (xxxx. xxxxxxx xxxxxxxxxxxx práv xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx vyžaduje xxxxxxx x xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx aktiva xxxx x poškození xxxxxxxxxxx xxxxx orgánu x xxxxx uvedené x §3 xxxx. x) až e) xxxxxx x podstatnými xxxxxx xx primární xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány speciální xxxxxxxxxx, které xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx a xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxx xx zajištěna pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx vyžaduje xxxxxxx z xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx x xxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx v §3 písm. x) xx e) xxxxxx x xxxxxxx a xxxxx xxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx jsou využívány xxxxxxxxx xxxxxxxxxx jednoznačné xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (xxxx. xxxxxx xxxxxxxxxxx digitálního podpisu). |
Stupnice xxx hodnocení xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xxxx xxxxxxxx a v xxxxxxx xxxxxxx xx xxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxx xxxxxxx (cca do 1 xxxxx). |
Xxx xxxxxxx xxxxxxxxxxx xx postačující xxxxxxxxxx zálohování. |
|
Střední |
Narušení dostupnosti xxxxxx by xxxxxx xxxxxxxxx xxxx xxxxxxxxxx xxx, xxxxxxxxxxxxx xxxxxxx xxxx x xxxxxxx xxxxxxxx xxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) xx e) xxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx dobu xxxxxxxx hodin. Xxxxxxxx xxxxxxx je xxxxx xxxxx xxxxxxxxxx, xxxxxxx xxxx x xxxxxxx xxxxxxxx xxxxx orgánu x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx. Xxxxxx xxxx považována xxxx xxxxx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx záložní xxxxxxx x xxxxxx poskytování xxxxxx xxxx xxx xxxxxxxxx xxxxxx xxxxxxx xxxx xxxxxxx technických xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxxx x x krátkodobá nedostupnost (x xxxx xxxxxxxx xxxxx) vede x xxxxxxx ohrožení xxxxx xxxxxx x osoby uvedené x §3 xxxx. x) xx x) xxxxxx. Xxxxxx xxxx xxxxxxxxxx xxxx kritická. |
Pro xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx záložní xxxxxxx x xxxxxx poskytování xxxxxx je xxxxxxxxxx x automatizovaná. |
Xxxxxxx x. 2 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxxx xxxxx
Xxxxxxxxx xxxxx xx vyjádřeno xxxx xxxxxx, xxxxxx xxxxxxxxx dopad, hrozba x xxxxxxxxxxxx.
Xxx xxxxxxxxx xxxxx xxx použít xxxxxxx xxxx xxxxxx
xxxxxx = dopad x xxxxxx x xxxxxxxxxxxx.
Xxxxxxxxxxx xxxxxx xxxxxx xxx xxxxxx xxxxxx xx xxxxxxxxx součástí xxxxxxxx xxx identifikaci x xxxxxxxxx rizika
|
Stupnice xxx xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxx je x omezeném xxxxxxx xxxxxx a xxxxxx xxxxxxx a xxxxx xxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxx x) 10 xxxxxxxxx xxxx s xxxxxxxxx xxxxxxxxxxxxx po xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xx 5&xxxx;000&xxxx;000 Xx anebo c) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx zásahu xx každodenního xxxxxx xxxxxxxxxxxxx xxxxxxx 250 xxxx. |
|
Xxxxxxx |
Xxxxx je xxxxxxxxx xxxxxxx x x xxxxxxxx časovém xxxxxx. Xxxxxx xxxxxxxxxx xxxx xx xxxxxxxx x rozmezí a) xx 10 mrtvých xxxx xx 11 xx 100 xxxx x xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx nebo xxxxxxxxxx ztráty od 5&xxxx;000&xxxx;000 Xx xx 50&xxxx;000&xxxx;000 Kč anebo c) xxxxxxxxxxx xxxxx na xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx služeb xxxx xxxxxx závažného xxxxxx xx každodenního xxxxxx xxxxxxxxxxxxx xx 251 do 2 500 xxxx. |
|
Xxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx, ale xxxxxx xxxx xxxxxxxxxxxxx. Xxxxxx případných xxxx se xxxxxxxx x rozmezí a) xx 11 xx 100 xxxxxxx xxxx xx 101 xx 1 000 xxxx x xxxxxxxxx xxxxxxxxxxxxx po xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx nebo xxxxxxxxxx xxxxxx od 50&xxxx;000&xxxx;000 Xx do 500 000 000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx nebo xxxxxx xxxxxxxxx zásahu xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx od 2 501 xx 25&xxxx;000 xxxx. |
|
Xxxxxxxx |
Xxxxx xx plošný xxxxxxxx, xxxxxx x katastrofický. Rozsah xxxxxxxxxx xxxx xx xxxxxxxx x xxxxxxx x) 10 a xxxx xxxxxxx x 1 001 x xxxx xxxx x následnou xxxxxxxxxxxxx xx dobu xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx ztráty xxxxxxxxxxx 500 000 000 Kč xxxxx x) představuje xxxxx xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx nebo jiného xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxx xxx 25&xxxx;000 xxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx xxxx xx málo xxxxxxxxxxxxx. Xxxxxxxxxxxxx realizace xxxxxx xxxx častější xxx xxxxxx xx 5 xxx. |
|
Xxxxxxx |
Xxxxxx xx xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx x rozpětí xx 1 xxxx xx 5 xxx. |
|
Xxxxxx |
Xxxxxx xx pravděpodobná xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx hrozby xx x rozpětí xx 1 xxxxxx xx 1 roku. |
|
Kritická |
Hrozba je xxxxx xxxxxxxxxxxxx až xxxxxxxx xxxxx. Xxxxxxxxxxxxx xxxxxxxxx hrozby je xxxxxxxx xxx xxxxxx xx xxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx neexistuje xxxx xx xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxxx. Xxxxxxxx kvalitní bezpečnostní xxxxxxxx, které jsou xxxxxxx včas xxxxxxxxx xxxxx xxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxxxxxx je xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxxxxxx kvalitní xxxxxxxxxxxx opatření, xxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx. Schopnost xxxxxxxxxxxxxx xxxxxxxx včas detekovat xxxxx xxxxxxx nebo xxxxxxxx pokusy x xxxxxxxxx xxxxxxxx xx xxxxxxx. Xxxxxx xxxxx xxxxx xxxxxxx xxxxxx x překonání xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx je xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx existují, xxx xxxxxx účinnost xxxxxxxxx xxxxxxx potřebné xxxxxxx a není xxxxxxxxxx xxxxxxxxxxxx. Xxxx xxxxx xxxxx xxxxxxx xxxxxx x překonání xxxxxxxxxxxxxx opatření. |
|
Kritická |
Zranitelnost je xxxxx pravděpodobná až xx xxxxxxxx xxxxx xxxxxxxx. Bezpečnostní opatření xxxxxx xxxxxxxxxxx xxxxx xx xxxxxx xxxxxxxx xxxxxx xxxxxxx. Xxxxxxxxx xxxxxxxx účinnosti bezpečnostních xxxxxxxx. Xxxx xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření. |
|
Stupnice xxx xxxxxxxxx xxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx xx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx být xxxxxxx xxxx xxxxxxxxx opatřeními xxxx v xxxxxxx xxxxx náročnosti xxxxxxxx xx xxxxxx xxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxx xxxxxxxxxxx x xxxx xxx xxxxxxxx systematické xxxxx x jeho xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx nepřípustné x xxxx xxx xxxxxxxxxx xxxxxxxx xxxxx x xxxx odstranění. |
V případě, xx orgán nebo xxxxx xxxxxxx x §3 písm. c) xx x) xxxxxx xxxxxxx xxxxxx xxx xxxxxxxxxxxx a xxxxxxxxx xxxxx, xxxxx xxxxxxxxxxx xxxxxxxxx hrozby x xxxxxxxxxxxxx, xx xxxxx xxxxxxxx pro xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxx xx xxxxxx xxxx xx ztrátě schopnosti xxxxxxxxx xxxx xxxxxx x xxxxxxxxxxxxx. Xx xxxxx xxxxxx lze xxxxxx xxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx vyjádří xxx xxxxxx xxxxxx, xxx x úroveň xxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx x orgán xxxx xxxxx uvedená x §3 písm. x) xx x) xxxxxx, xxxxx xxxxxxx xxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxx, hrozeb, xxxxxxxxxxxxx x xxxxx.
Xxxxxxx č. 3 x xxxxxxxx x. 316/2014 Sb.
Minimální xxxxxxxxx xx xxxxxxxxxxxxxx algoritmy
(1) Xxxxxxxxxx algoritmy
a) Blokové x xxxxxxxx xxxxx xxx xxxxxxx xxxxxxxxxx x integrity
1. Advanced Xxxxxxxxxx Standard (XXX) x využitím xxxxx xxxxx 128, 192 x 256 xxxx Xxxxxx Data Encryption Xxxxxxxx (3XXX) x xxxxxxxx délky klíčů 168 xxxx, xxxxxxx xxxxxxx xxx se xxxxxxxxx xxxxx menším xxx 10 GB, xxxxxxxx xxxxxxxxx xx XXX.
2. Triple Xxxx Xxxxxxxxxx Xxxxxxxx (3XXX) x využitím xxxxx xxxxx 112 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx klíče xxxxxx xxx 10 XX, xxxxxxxx přecházet xx XXX. Xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx xxx xxxxxx zprávu.
3. Xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxx 128 xxxx, omezené xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX.
4. Xxxxxx x využitím xxxxx xxxxx 128 xxxx, omezené xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 GB.
5. Xxxxxxx x využitím délky xxxxx 128 xx 256 xxxx.
6. Serpent x využitím délky xxxxx 128, 192, 256 bitů.
7. Xxxxxxxx x xxxxxxxx xxxxx xxxxx 128, 192 x 256 xxxx.
8. XXXX 2.0, XXXX 3X x xxxxxxxx xxxxx klíčů 128, 256 xxxx.
x) Xxxx xxxxxxxxx s xxxxxxxx xxxxxxxxx
1. XXX,
2. XXX,
3. XXX,
4. Složená schémata xxxx "Xxxxxxx-xxxx-XXX".
Xxxxxxxx:
Xxxxxxxx typu "Xxxxxxx-xxxx-XXX",xxxx xxxxxxxx x xxxxxxxxx xxxxx uvedené xxxxxxxxx xxxx x x xxxxxxx XXX xxxxx uvedené módy xxx xxxxxxx integrity.
c) Xxxx xxxxxxxxx
1. CTR,
2. XXX,
3. XXX,
4. XXX,
Xxxxxxxx:
Xxxx XXX x CFB xxxx xxx xxxxxxx x xxxxxxxx, xxx xxxxxxxx nepředpověditelným inicializačním xxxxxxxx, xxx xxxxxxx xxxx OFB xx xxx daný xxxx xxxxx xxxxxxxx hodnota xxxxxxxxxxxxxxx vektoru, xxx xxxxxxx módu XXX xx pro xxxx xxxx xxxxx xxxxxxxx xxxxxxx xxxxxx, v xxxxxxx xxxxxxx CBC xxxx x šifrování xxx ochrany integrity xx xxxxx ověřit xxxxxxxx xxxxx útoku xx xxxxxxx CBC xxxx.
x) Xxxx xxx xxxxxxx xxxxxxxxx
1. XXXX,
2. XXX-XXX-X9.19, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxxx xxx 109 XXX,
3. CBC-MAC-EMAC,
4. XXXX.
(2) Xxxxxxxxxxx xxxxxxxxx
x) Xxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx
1. Xxxxxxx Xxxxxxxxx Algorithm (XXX) s xxxxxxxx xxxxx xxxxx 2048 xxxx x xxxx, xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx 224 xxxx x xxxx.
2. Elliptic Xxxxx Digital Xxxxxxxxx Xxxxxxxxx (EC-DSA) s xxxxxxxx délky xxxxx 224 xxxx a xxxx.
3. Xxxxxx-Xxxxxx-Xxxxxxx Xxxxxxxxxxxx Xxxxxxxxx Xxxxxx (RSA-PSS) x využitím délky xxxxx 2048 xxxx x xxxx.
x) Xxx xxxxxxx xxxxx na xxxxx x xxxxxxxxx xxxxx
1. Diffie-Hellman (XX) x xxxxxxxx xxxxx xxxxx 2048 bitů x více, délky xxxxxxxxx xxxxxxx xxxxxxxx 224 xxxx x xxxx.
2. Xxxxxxxx Curve Xxxxxx-Xxxxxxx (XXXX) s xxxxxxxx délky xxxxx 224 xxxx x xxxx.
3. Xxxxxxxx Xxxxx Xxxxxxxxxx Xxxxxxxxxx Xxxxxx - Xxx Encapculation Xxxxxxxxx (ECIES-KEM) s xxxxxxxx délky xxxxx 256 bitů a xxxx.
4. Provably Xxxxxx Xxxxxxxx Xxxxx - Xxx Encapculation Mechanism (XXXX-XXX) x xxxxxxxx xxxxx klíčů 256 xxxx xxxx.
5. Xxxxxxxxx Xxxxxxx and Xxx Xxxxxxxxxxxxx Mechanism (XXX-XXX) x xxxxxxxx xxxxx xxxxx 256 xxxx x xxxx.
6. Rivest Xxxxxx Xxxxxxx - Xxxxxxx Xxxxxxxxx Encryption Xxxxxxx (XXX-XXXX) x xxxxxxxx délky klíčů 2048 x xxxx.
7. Xxxxxx Xxxxxx Adleman - Xxx Encapculation Xxxxxxxxx (XXX-XXX) x xxxxxxxx xxxxx xxxxx 2048 x xxxx.
(3) Xxxxxxxxx xxxx xxxxxx
x) XXX-2
1. SHA-224,
2. SHA-256,
3. XXX-384,
4. XXX-512,
5. XXX-512/224,
6. XXX-512/256.
x) SHA-3
1. SHA3-224,
2. XXX3-256,
3. XXX3-384,
4. XXX3-512,
5. XXXXX-128,
6. XXXXX-256.
x) Xxxxxxx xxxxxxxx xxxxxx
1. Whirpool,
2. XXXXXX-160,
3. XXX 1 x xxxxxxxx xxxxxxxx.
Xxxxxxxx x. 1:
XXX-1 xx xxxxx xxxxxxxx xxx xxxxxxxxxx nových xxxxxxxxxxx xxxxxxx, časových razítek, xxxxxxxxx xxxx aplikace xxxxxxxxxx xxxxxxxxx SHA-1.
Poznámka x. 2:
XXX-1 xxx xxxxxxxx xxxxx xxx xxxxxxxxx xxx existujících xxxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxx, generování x xxxxxxxxx XXXX-XXX1, xxxxxx pro xxxxxxxxxx xxxxx x xxxxxxxxxxxxx xxxxxxxxxx.
Xxxxxxx x. 4 x vyhlášce č. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
Xxxx xxxxxxx obsahuje xxxxxxxxxx xxxxx bezpečnostní xxxxxxxxxxx. Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx dokumentů xxxxxxxx xxxxxx, která xxxxxxxxxx xxxxxxxxx podle xxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxx dokumentů xxxxxx závazné a xx na xxxxxx xxxx osobě xxxxxxx x §3 xxxx. x) xx x) xxxxxx, xxxx xxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx. Přípustná xx x xxxxx xxxxx xxxxxxxxxxxx dokumentů xxxx integrování xxxx xxxxx xx xxxxxxx xxxxxxxxx.
X. Struktura xxxxxxxxxxxx xxxxxxxx
(1) Xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxx, xxxxxxxx x xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Rozsah x xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxx zdrojů a xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx.
x) Pravidla a xxxxxxx xxx přezkoumání xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx xxx nápravná xxxxxxxx x xxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
(2) Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx**
[§5 xxxx. 1 xxxx. b), §5 xxxx. 2 xxxx. x)]
x) Určení xxxxxxxxxxxxxx xxxx a xxxxxx xxxx x xxxxxxxxxx,
1. xxxxx a povinnosti xxxxxxxx xxxxxxxxxxxx bezpečnosti,
2. xxxxx x xxxxxxxxxx xxxxxxxxxx kybernetické bezpečnosti,
3. xxxxx x xxxxxxxxxx xxxxxxxx kybernetické xxxxxxxxxxx,
4. xxxxx a xxxxxxxxxx xxxxxxx xxxxx,
5. xxxxx x povinnosti výboru xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxx.
(3) Xxxxxxxx xxxxxx xxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx a xxxxxxxx xxx xxxxx xxxxxxxxxx.
x) Xxxxxxxx pro hodnocení xxxxx xxxxxxxxxx.
x) Xxxxxxxxxxx xxxxxxx x úrovni xxxxxx x způsobů x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x x xxxxxx xxxxxxxx xxxxxxx odpovědnosti.
d) Xxxxxxxx xxx provádění xxxxxxxx xxxxxxxx bezpečnostních opatření.
e) Xxxxxxxx xxx hodnocení xxxxxxxxxx.
(4) Politika xxxxxxxxxxx xxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx primárních xxxxx
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx včetně určení xxxxxx xxxxxxx,
2. xxxxxxxxx xxxxxxxxxxx primárních xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx podpůrných xxxxx
1. xxxxxx a xxxxxxxx xxxxxxxxxxxx podpůrných xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx aktivy.
c) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx
1. způsoby xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx pro xxxxxxxxxx x xxxxxxxx xxxxx xxxxx xxxxxx xxxxx,
3. xxxxxxxxx způsoby xxxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxxx xxxxxxx nebo xxxxxx xxxxxxxxxxx xxxxxx xxx.
(5) Xxxxxxxx xxxxxxxxxxx lidských xxxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxx xxxx xxxxxxxxx
1. xxxxxxx x formy xxxxxxx uživatelů,
2. způsoby x xxxxx xxxxxxx xxxxxxx xxxxx,
3. xxxxxxx x xxxxx poučení xxxxxxxxxxxxxx,
4. způsoby x xxxxx xxxxxxx dalších xxxx xxxxxxxxxxxxx bezpečnostní xxxx.
x) Xxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxx případů xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx pracovního xxxxxx xxxx změnu xxxxxxxx xxxxxx.
1. vrácení svěřených xxxxx x xxxxxxxx xxxx při xxxxxxxx xxxxxxxxxx xxxxxx,
2. změna xxxxxxxxxxxx xxxxxxxxx xxx xxxxx pracovní xxxxxx.
(6) Xxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxx**
[§5 odst. 1 písm. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxx x odpovědnosti xxxxxxx x xxxxxxxxx xxxxxxxx.
x) Xxxxxxx bezpečného xxxxxxx.
x) Xxxxxxxxx x xxxxxxxxx xxxxxxxxxx provozu.
d) Xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx a bezpečnostních xxxxx.
(7) Xxxxxxxx xxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. g), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (xxxx xx xxxx).
x) Xxxxxxxxx xx řízení přístupu.
c) Xxxxxxx xxxxxx řízení xxxxxxxx.
x) Řízení privilegovaných xxxxxxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx včetně rozdělení xxxxxxxxxxxx uživatelů x xxxxxxxxxxxx xxxxxxxxx.
(8) Xxxxxxxx xxxxxxxxxx chování xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 odst. 2 písm. x)]
x) Xxxxxxxx xxx bezpečné xxxxxxxxx x xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx a xxxxxxxx na xxxxxxxx.
x) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx xxxxxxx xx xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx xx xxxxxx x xxxxxxxx zařízením.
(9) Xxxxxxxx xxxxxxxxxx x xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. i)]
a) Xxxxxxxxx xx zálohování x obnovu.
b) Xxxxxxxx x xxxxxxx zálohování.
c) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxx.
x) Xxxxxxxx x xxxxxxx testování xxxxxxxxxx a xxxxxx.
(10) Xxxxxxxx bezpečného xxxxxxxxx x výměny informací**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxxxx informací.
b) Xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx kryptografické ochrany.
(11) Xxxxxxxx xxxxxx technických xxxxxxxxxxxxx**
[§5 odst. 1 xxxx. x)]
x) Xxxxxxxx xxx xxxxxxx instalace xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx programových xxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxxx oprav programového xxxxxxxx,
x) Pravidla x xxxxxxx xxxxxxxx oprav xxxxxxxxxxxx vybavení.
(12) Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx*
[§5 xxxx. 1 xxxx. 1)]
x) Pravidla x postupy pro xxxxxxxx používání mobilních xxxxxxxx.
x) Pravidla x xxxxxxx xxx zajištění xxxxxxxxxxx xxxxxxxx, kterými xxxxx a xxxxx xxxxxxx x §3 xxxx. x) a x) zákona nedisponuje.
(13) Xxxxxxxx xxxxxxxxxxx x xxxxxxxx licencí programového xxxxxxxx a informací*
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x postupy xxxxxxxx xxxxxxxxxxxx xxxxxxxx x jeho xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx dodržování xxxxxxxxxx xxxxxxxx.
(14) Xxxxxxxx xxxxxxxxxxxx ukládání x xxxxxxxxx xxxxxxxxx*
[§5 xxxx. x písm. x)]
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxx a xxxxxxx.
x) Ochrana xxxxxxxxxxxxx xxxxxxxxx x záznamů.
c) Xxxxxxxx xxxxxxxx x xxxxxxxxxxxx dokumentům x xxxxxxxx.
(15) Xxxxxxxx ochrany xxxxxxxx xxxxx*
[§5 odst. x xxxx. o), §5 xxxx. 2 xxxx. k)]
a) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx opatření xxx xxxxxxx xxxxxxxx xxxxx.
x) Popis xxxxxxxxx x xxxxxxxxxxx technických xxxxxxxx xxx ochranu xxxxxxxx xxxxx.
(16) Xxxxxxxx xxxxxxx xxxxxxxxxxx**
[§5 odst. x xxxx. p)]
a) Xxxxxxxx xxx ochranu xxxxxxx.
x) Xxxxxxxx pro xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx xxx xxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxx.
(17) Xxxxxxxx xxxxxxxxxxx komunikační xxxx**
[§5 xxxx. 1 písm. x)]
x) Xxxxxxxx x xxxxxxx xxx zajištění xxxxxxxxxxx xxxx.
x) Určení xxxx a xxxxxxxxxx xx bezpečný xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx pro řízení xxxxxxxx v xxxxx xxxx.
x) Xxxxxxxx a xxxxxxx pro ochranu xxxxxxxxxx xxxxxxxx k xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx xxxx x vyhodnocování xxxxxxxxxx xxxxxxx.
(18) Xxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx*
[§5 xxxx. x xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxxxxx mezi xxxxxxx x xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx ochranu serverů x sdílených datových xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxx stanic.
(19) Xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx**
[§5 xxxx. 1 písm. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx vyhodnocování x xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx události.
c) Xxxxxxxx a xxxxxxx xxx xxxxxxxxxxxx nastavení xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(20) Xxxxxxxx xxxxxxx x xxxxxx xxxxxxxx pro xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla a xxxxxxx xxx xxxxxxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí.
b) Xxxxxxxx x postupy xxxxxxxxxx xxxxxxxxxxx xxxxxxxx pro xxxxxxxxxxx kybernetických bezpečnostních xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx vlastností xxxxxxxx pro xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
(21) Politika xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxx x xxxxxxx na xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx ochrany xxxxxxxxx
1. xxx přenosu xx xxxxxxxxxxxxx sítích,
2. xxx xxxxxxx xx xxxxxxx xxxxxxxx nebo xxxxxxxxxxx xxxxxxxxx xxxxx xxx,
x) Xxxxxx xxxxxx klíčů.
II. Xxxxxxxxx další dokumentace
(1) Xxxxxx z xxxxxx xxxxxxxxxxxx xxxxxxxxxxx**
[§28 odst. 1 xxxx. x)]
x) Xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Předmět xxxxxx xxxxxxxxxxxx bezpečnosti.
c) Xxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti.
d) Xxxxxxxxxxxxxx xxxx xxxxxxxx x xxxx, které xx xxxxxx kybernetické xxxxxxxxxxx zúčastnily.
e) Xxxxx x xxxxx, kde xxxx xxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxx xxxxxxxxxxxx bezpečnosti.
g) Xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(2) Xxxxxx z xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací**
[§28 odst. 1 xxxx. x)]
x) Xxxxxxxxxxx opatření x xxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) Xxxxxxxxxxxx změn x xxxxxxxxx, které xxxxx xxx xxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Zpětná xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x nápravná opatření,
2. xxxxxxxx xxxxxxxxxxxx x xxxxxx,
3. xxxxxxxx xxxxxx,
4. xxxxxxxx cílů xxxxxxxxxxx,
x) Xxxxxxxx xxxxxxxxx rizik x xxxx plánu xxxxxxxx xxxxx.
x) Xxxxxxxxxxxx xxxxxxxx pro neustálé xxxxxxxxxx.
x) Xxxxxxxxxx potřebných xxxxxxxxxx, stanovení xxxxxxxx x xxxx xxxxxxxxxxxxx xxxxx jednotlivých činností.
(3) Xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx aktiv x xxx xxxxxxxxxxxx x hodnocení xxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx primárních xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxx,
3. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx rizik
1. určení xxxxxxxx pro hodnocení xxxxxx dopadu,
2. určení xxxxxxxx xxx hodnocení xxxxxx xxxxxx,
3. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx zranitelnosti,
4. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxx,
x) Metody x přístupy xxx xxxxxxxx rizik.
b) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx rizik.
(4) Xxxxxx x xxxxxxxxx xxxxx x rizik**
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. c)]
a) Xxxxxxx xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx a xxxxx xxxxxxxxxx aktiv,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx a dostupnosti.
b) Xxxxxxx podpůrných xxxxx (xxxxxxx pro xxxxxx x osoby uvedené x §3 xxxx. x) zákona)
1. xxxxxxxxxxxx x popis xxxxxxxxxx xxxxx,
2. určení xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx,
x) Xxxxxxxxxxxxxx x xxxxxxxxx xxxxx
1. xxxxxxxxx xxxxxxx xxxxxx na aktiva,
2. xxxxxxxxx xxxxxxxxxxxx hrozeb,
3. xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx existujících xxxxxxxx,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx xxxx xxxxxx x xxxxxxxx xxx xxxxxxxxxxxx rizik,
5. xxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxx
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. xxxxx opatření x xxxxxx xxxxxxxxx.
(5) Xxxxxxxxxx x aplikovatelnosti*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. d)]
a) Xxxxxxx vybraných xxxxxxxxxxxxxx xxxxxxxx včetně zdůvodnění xxxxxx xxxxxx a xxxxxx vazby xx xxxxxxxxxxxxxx xxxxxx.
x) Přehled xxxxxxxxxx bezpečnostních opatření.
(6) Xxxx xxxxxxxx xxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. x)]
x) Xxxxx x xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx zvládání xxxxx.
x) Xxxxxxxx xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
c) Xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx hodnocení xxxxxxxxxx zavedení jednotlivých xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
(7) Xxxx xxxxxxx xxxxxxxxxxxxxx povědomí*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxxxx.
x) Xxxxx x xxxxxxx poučení xxxxxxx xxxxx (neplatí xxx xxxxxx a xxxxx xxxxxxx x §3 xxxx. e) xxxxxx).
x) Obsah x xxxxxxx xxxxxxx xxxxxxxxxxxxxx (xxxxxxx xxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) zákona).
d) Obsah x xxxxxxx xxxxxxx xxxxxxx osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Obsah x xxxxxxx xxxxxxx xxxxxx zaměstnanců.
f) Formy x xxxxxxx xxxxxxxxx xxxxx.
(8) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů**
[§28 xxxx. 1 písm. x), §28 odst. 2 xxxx. x)]
x) Xxxxxxxxxx xxxxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx testování systému xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxx zlepšování xxxxxxxxxxxx xxxxxxxxxxx.
(9) Strategie xxxxxx xxxxxxxxxx xxxxxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. x)]
x) Xxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxx xxxxxx xxxxxxxxxx xxxxxxxx
1. xxxxxxxxx úroveň xxxxxxxxxxxxx xxxxxx,
2. xxxx xxxxxxxx xxxxx,
3. xxx xxxxxxxx xxxxx.
x) Xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxx kontinuity.
d) Xxxxxxx xxxxxxxxx dopadů xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx x xxxxxxxxxx souvisejících rizik.
e) Xxxxxx x xxxxx xxxxxxxxxx xxxxx kontinuity.
f) Xxxxxxx xxx xxxxxxxxx xxxxxxxx vydaných Xxxxxxxx xxxxxxxxxxxxx úřadem.
(10) Přehled xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx, vnitřních xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. x)]
x) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxx.
Xxxxxxxx:
* Xxxxxxxxx xxxxxxxxx xxxxxxxxx je xx xxxxxx střední xxxxx xxxxxxxx uvedené x příloze č. 1: Hodnocení x úroveň xxxxx.
** Xxxxxxxxx xxxxxxxxx xxxxxxxxx xx xx úrovni xxxxxx xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.
Xxxxxxx č. 5 x vyhlášce x. 316/2014 Xx.
Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního incidentu
Vyplnitelný formulář ve formátu PDF
Příloha č. 6 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx č. 7 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxx xxx xxxxxxx kontaktních xxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxxxx
Xxxxxx xxxxxxx x. 316/2014 Xx. xxxxx xxxxxxxxx xxxx 1.1.2015.
Xx xxx uzávěrky právní xxxxxxx xxxxx měněn xx xxxxxxxxx.
Xxxxxx předpis x. 316/2014 Xx. xxx zrušen právním xxxxxxxxx č. 82/2018 Sb. x xxxxxxxxx xx 28.5.2018.
Xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx právních předpisů x xxxxxxxx xxxx xxxxxxxxxxxxx, pokud xx xxxx netýká derogační xxxxx xxxxx xxxxxxxxx xxxxxxxx předpisu.
1) ISO/IEC 27001:2013, xxxxxxxx ČSN XXX/XXX 27001:2014