Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
VYHLÁŠKA
ze xxx 15. xxxxxxxx 2014
o xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, reaktivních xxxxxxxxxx x x xxxxxxxxx xxxxxxxxxxx xxxxxx v xxxxxxx xxxxxxxxxxxx bezpečnosti (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx xxxxxxxxxxxx úřad xxxxxxx xxxxx §28 xxxx. 2 xxxxxx x. 181/2014 Xx., x kybernetické bezpečnosti x x xxxxx xxxxxxxxxxxxx zákonů (zákon x kybernetické bezpečnosti), (xxxx jen "xxxxx") x xxxxxxxxx §6 xxxx. x) xx x), §8 xxxx. 4, §13 xxxx. 4 a §16 xxxx. 6 xxxxxx.
XXXX PRVNÍ
ÚVODNÍ USTANOVENÍ
§1
Předmět xxxxxx
Xxxxx xxxxxxxxx se xxxxxxx obsah x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxx xxxxxxxxxx systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxx xxxxxxxxxx xxxxxx, xxxxx bezpečnostních xxxxxxxx, xxxxxx xxxxxx zavedení, xxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů, xxxxxxxxxxx x způsob xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx, xxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx a xxxx xxxxxxxx a vzor xxxxxxxx kontaktních údajů x xxxx xxxxx.
§2
Xxxxxxxx xxxxx
X xxxx xxxxxxxx se xxxxxx
x) xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx část systému xxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxxxx xx xxxxxxxx x rizikům xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx, která xxxxxxx xxxxxx xxxxxxxx, xxxxxxxx, xxxxxx, monitorování, xxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx,
x) aktivem xxxxxxxx aktivum a xxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxxx informace xxxx xxxxxx, kterou xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx informační infrastruktury xxxx xxxxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxxxx aktivem xxxxxxxxx xxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xx na xxxxxxx, xxxxxxx, xxxxxx xxxx xxxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx, komunikační xxxxxxxxxx x xxxxxxxxxx vybavení xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo významného xxxxxxxxxxxx xxxxxxx a xxxxxxx, xx kterých xxxx tyto xxxxxxx xxxxxxxx,
x) rizikem xxxxxxx, xx určitá hrozba xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační infrastruktury xxxx významného informačního xxxxxxx x xxxxxxx xxxxxxxxx aktiva,
g) xxxxxxxxxx xxxxx proces, xxx xxxx xx xxxxxxxx xxxxxxxxxx rizik x xxxxxx xxxxxxxxxx úroveň,
h) xxxxxxx xxxxx xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx, xxxxx x xxxxxxxx xxxxxxxx xx xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx x xxxxxx x xxxxxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxxxx xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxx xxxx být xxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxx xxxxx xxxxx xxxxxx xxxx bezpečnostního opatření, xxxxx xxxx xxx xxxxxxxx jednou nebo xxxx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xx uplatnění bezpečnostních xxxxxxxx, xxxxx xxxxxx xxxxxxxx kritériím pro xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxx x pravidel, xxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxx xxxxxxx x osobou xxxxxxxx x §3 xxxx. x) xx e) xxxxxx,
x) garantem aktiva xxxxxxx xxxxx xxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxx x §3 xxxx. x) xx x) xxxxxx k xxxxxxxxx xxxxxxx, použití x xxxxxxxxxxx aktiva,
n) xxxxxxxxxx xxxxxxx nebo xxxxxxxxx xxxxx xxxxx xxxxx xxxxxxx xxxx, xxxxx xxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxxxxxxxxx fyzická xxxxx xxxxxxxx xxxxxxxx xxxxxx zajišťující xxxxxx, xxxxxx, použití, údržbu x xxxxxxxxxx technického xxxxxx.
ČÁST XXXXX
XXXXXXXXXXXX OPATŘENÍ
HLAVA X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx řízení xxxxxxxxxxx xxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 písm. x) a x) xxxxxx x rámci xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) stanoví s xxxxxxx na aktiva x organizační xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xx xxxxxx xxxx, kterých organizačních xxxxx x xxxxxxxxxxx xxxxx se xxxxxx xxxxxx xxxxxxxxxxx informací xxxx,
x) řídí xxxxxx xxxxx §4 xxxx. 1,
x) xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx x oblasti xxxxxxx xxxxxx xxxxxxxxxxx informací, xxxxx xxxxxxxx xxxxxx xxxxxx, cíle, bezpečnostní xxxxxxx, xxxxx a xxxxxxxxxx ve vztahu x xxxxxx bezpečnosti xxxxxxxxx x xx xxxxxxx bezpečnostních xxxxxx x xxxxxxxx xxxxxxxxx xxxxx stanoví bezpečnostní xxxxxxxx v dalších xxxxxxxxx podle §5 x xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx vhodnost x xxxxxxxx bezpečnostní politiky xxxxx §5,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §15, x xx nejméně xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx účinnosti xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx včetně xxxxxx xxxxxxxxx xxxxx, xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx a xxxxxx xxxxxxxxxxxx bezpečnosti a xxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xx systém xxxxxx xxxxxxxxxxx xxxxxxxxx, x xx xxxxxxx xxxxxx ročně,
h) xxxxxxxxxxx xxxxxx xxxxxx bezpečnosti xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xx základě xxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a x xxxxxxxxxxx s xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx x
x) řídí xxxxxx x xxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx, zaznamenává xxxxxxxx xxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxx informací x řízením xxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. e) xxxxxx x xxxxx systému xxxxxx xxxxxxxxxxx informací
a) xxxx xxxxxx xxxxx §4 xxxx. 2,
x) xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, která xxxxxxxx xxxxxx xxxxxx, xxxx, bezpečnostní xxxxxxx, xxxxx a xxxxxxxxxx xx xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxx x xx xxxxxxx xxxxxxxxxxxxxx potřeb a xxxxxxxx hodnocení xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x dalších oblastech xxxxx §5, x xxxxxx příslušná xxxxxxxxxxxx xxxxxxxx a
c) xxxxxxx xxxxxxxxxxx xxxxxx o xxxxxxxxx xxxxx a xxxxx, xxxxxxxxxxxx politiky, xxxxx zvládání rizik x plánu xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, x xx xxxxxxx jednou xx xxx roky xxxx x souvislosti x xxxxxxxxxxx nebo xxxxxxxxxxx změnami.
§4
Xxxxxx xxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx identifikaci x xxxxxxxxx xxxxx x xxx identifikaci x hodnocení rizik xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx rizik,
b) xxxxxxxxxxxx a xxxxxxx xxxxxxxxxx aktiv, xxxxx xxxxx do xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxx §8 x xxxxxxx přílohy č. 1 x této xxxxxxxx x výstupy xxxxxxxxx xx xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) identifikuje rizika, xxx xxxxxxx zohlední xxxxxx x xxxxxxxxxxxxx, xxxxxxx možné xxxxxx xx xxxxxx, xxxxxxx xxxx xxxxxx xxxxxxxxx x rozsahu xxxxx přílohy č. 2 x xxxx xxxxxxxx, xxxx x xxxxxxx přijatelná xxxxxx x xxxxxxxx xxxxxx x xxxxxxxxx aktiv x xxxxx,
x) zpracuje xx xxxxxxx bezpečnostních xxxxxx x xxxxxxxx xxxxxxxxx xxxxx prohlášení x xxxxxxxxxxxxxxxx, které xxxxxxxx přehled xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx x xxxxxx xxxx zvládání xxxxx, který xxxxxxxx xxxx a přínosy xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx, xxxxxx xxxxx zajišťující prosazování xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x xxxxxxxxxx zdroje, xxxxxx xxxxxx xxxxxxxx x xxxxx vazeb xxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx opatřeními x
x) xxxxxxxx xxx xxxxxxxxxx odkladu xxxxxxxxx x xxxxxxxx xxxxxxxx xxxxxx Xxxxxxxx bezpečnostním xxxxxx (dále jen "Xxxx") x xxxxxxxxx xxxxx x v xxxxxxx, xx hodnocení xxxxx xxxxxxxxxxxxx o xxxx xxxxxxxxxxxxx xxxxxxx x realizací reaktivního xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx stanovená xxxxxxxx xxx xxxxxxxxxxxx xxxxx, xxxxxx xxxx xxxxxxxx xxxxx.
(2) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) xxxxxx v xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx aktiv x xxx xxxxxxxxxxxx x hodnocení xxxxx xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx rizik,
b) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxx, xxxxx xxxxx do xxxxxxx systému xxxxxx xxxxxxxxxxx informací, xxxxx §8 xxxxxxxxx x xxxxxxx přílohy č. 1 k xxxx vyhlášce x xxxxxxx xxxxxxxxx do xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx zohlední xxxxxx x xxxxxxxxxxxxx, posoudí xxxxx xxxxxx na xxxxxxxx xxxxxx, xxxxxxx xxxx xxxxxx xxxxxxxxx x xxxxxxx xxxxx přílohy č. 2 x xxxx xxxxxxxx x zpracuje xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxx na xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx x aplikovatelnosti, xxxxx xxxxxxxx přehled xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) zpracuje x xxxxxx xxxx xxxxxxxx xxxxx, který xxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxx xxxxx zajišťující xxxxxxxxxxx bezpečnostních xxxxxxxx xxx zvládání xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx a xxxxxxxxxx xxxxxx, termíny jejich xxxxxxxx a popis xxxxx mezi xxxxxxxxxxxxxxxx xxxxxx x příslušnými xxxxxxxxxxxxxx opatřeními x
x) xxxxxxxx xxx xxxxxxxxxx xxxxxxx reaktivní x xxxxxxxx opatření vydaná Xxxxxx v hodnocení xxxxx a v xxxxxxx, že hodnocení xxxxx xxxxxxxxxxxxx o xxxx xxxxxxxxxxxxx spojené x xxxxxxxxx reaktivního xxxx ochranného xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx, xxxxxx xxxx zvládání xxxxx.
(3) Xxxxxx rizik xxxx xxx xxxxxxxxx x xxxxxx xxxxxxx, xxx xxx je xxxxxxxxx x xxxxxxxxxx 1 x 2, xxxxx xxxxx x xxxxx xxxxxxx v §3 písm. x) xx x) zákona xxxxxxxxx, xx xxxxxxx xxxxxxxx zajišťující xxxxxxx xxxx xxxxx úroveň xxxxxx rizik.
(4) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až e) xxxxxx xxx xxxxxxxxx xxxxx zvažuje xxxxxxx xxxx xxxxxx
x) porušení xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxx nebo selhání xxxxxxxxxxx xxxxx programového xxxxxxxx,
x) zneužití identity xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx x licenčními xxxxxxxxxx,
x) xxxxxxxxxxxx útok x komunikační xxxx,
x) xxxxxxxx xxx (xxxxxxxxx xxxx, xxxxxxx, xxxxxxx xxxx),
x) xxxxxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxxxx,
x) přerušení poskytování xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxx xxxxxxxxxxx modifikace xxxxx,
x) xxxxxx xxxxxxxx xxxxxx x
x) xxxxxxxx nebo xxxxxxxxx xxxxxx.
(5) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx při xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx
x) nedostatečná xxxxxxx xxxxxxxx perimetru,
b) xxxxxxxxxxxx bezpečnostní povědomí xxxxxxxxx a administrátorů,
c) xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxx oprávnění,
e) nedostatečné xxxxxxx xxx identifikování x xxxxxxxx negativních xxxxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxxxx bezpečnostních incidentů,
f) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx x neschopnost xxxxxxx xxxxxx xxxxxxxx xxxx xxxxxxx způsoby chování x
x) xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxx xxxx a povinností xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxxxxxxxx xxxx.
(6) Orgán x osoba xxxxxxx x §3 písm. x) x x) xxxxxx při xxxxxxxxx xxxxx dále zvažuje xxxx hrozby
a) xxxxxxxx xxxxxxxxxxxx politiky, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx ze xxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) pochybení xx xxxxxx xxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,
x) xxxxxxxxxx přerušení xxxxxxxxxxx xxxxxx elektronických xxxxxxxxxx, xxxxxxx xxxxxxxxxx energie xxxx jiných xxxxxxxxxx xxxxxx,
x) nedostatek xxxxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxx x
x) zneužití xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxx.
(7) Orgán x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxx xxxxxxxxx rizik xxxx xxxxxxx tyto xxxxxxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxx xxxxxxxxx kontroly x
x) xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxxx.
§5
Bezpečnostní politika
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx stanoví xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) organizační bezpečnost,
c) xxxxxx vztahů s xxxxxxxxxx,
x) klasifikace xxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx provozu x xxxxxxxxxx,
x) xxxxxx přístupu,
h) xxxxxxxx chování uživatelů,
i) xxxxxxxxxx a xxxxxx,
x) xxxxxxxx xxxxxxxxx x xxxxxx informací,
k) řízení xxxxxxxxxxx zranitelností,
l) xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx a xxxxxxxx xxxxxxx xxxxxxxxxxxx vybavení x informací,
n) xxxxxxxxxx xxxxxxxx x archivace xxxxxxxxx,
x) ochrana osobních xxxxx,
x) fyzická xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxxx xxxxxxxxx xxxxx,
x) xxxxxxxx x xxxxxxxxx nástroje pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx,
x) xxxxxxx x xxxxxx xxxxxxxx pro xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. e) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) organizační xxxxxxxxxx,
x) xxxxxx dodavatelů,
d) klasifikace xxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxxx,
x) řízení xxxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx a xxxxxx,
x) xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x informací,
k) xxxxxxx xxxxxxxx údajů,
l) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxx škodlivým xxxxx a
n) xxxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx politiky x xxxxxxxxxxx xx.
§6
Xxxxxxxxxxx xxxxxxxxxx
(1) Xxxxx x osoba uvedená x §3 písm. x) až x) xxxxxx xxxxxx organizaci xxxxxx xxxxxxxxxxx informací, x rámci xxxxx xxxx výbor pro xxxxxx xxxxxxxxxxxx bezpečnosti x bezpečnostní xxxx x xxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx systémem.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxx xxxxxxxxxxxx xxxx
x) manažer xxxxxxxxxxxx xxxxxxxxxxx,
x) architekt xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxx xxxxxx xxxxx §2 xxxx. m).
(3) Xxxxx x osoba xxxxxxx x §3 xxxx. x) určí xxxxxxxxxxxx role xxxxxxxxx xxxxx odstavce 2.
(4) Xxxxxxx xxxxxxxxxxxx bezpečnosti xx xxxxx, xxxxxxxxx xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxx xx pro tuto xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx způsobilost xxxxx s xxxxxxx xxxxxxxxxxx xxxxxxxxx po xxxx nejméně xxx xxx.
(5) Xxxxxxxxx kybernetické xxxxxxxxxxx je xxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx odbornou xxxxxxxxxxx xxxxx s xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xx xxxx xxxxxxx xxx let.
(6) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx bezpečnosti, která xx pro tuto xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx způsobilost xxxxx x prováděním xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxx nejméně xxx xxx. Auditor xxxxxxxxxxxx bezpečnosti vykonává xxxxx xxxx xxxxxxxxx x xxxxx xxxx xxxx xx xxxxxxx xx výkonu xxxx xxxxxxxxx x xxxxxxxx 2 xxxx. x), x) nebo x).
(7) Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx je xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx, xxxxx jsou xxxxxxxx xxxxxxxx řízením x xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační infrastruktury xxxx významného xxxxxxxxxxxx xxxxxxx, xxxxx xx xxxxxxxx xxxxxxxx xx xxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxx s xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx.
(8) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx xxxxxxx odborné xxxxxxx xxxx, xxxxx xxxxxxxxx xxxxxxxxxxxx role x xxxxxxx x plánem xxxxxxx bezpečnostního povědomí xxxxx §9 xxxx. 1 xxxx. x).
§7
Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 písm. x) xx e) xxxxxx xxxxxx xxxxxxxx xxx dodavatele, xxxxx xxxxxxxxxx potřeby xxxxxx xxxxxxxxxxx informací, a xxxxxxxx xx x xxxxxxxxxx xxxx jiných xxxx, xxxxx xx xxxxxxxx xx rozvoji, xxxxxxx nebo zajištění xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx informačního systému. Xxxxxx xxxxxxxx xxxxxxxxxx xx xxxxxxx, provozu xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému kritické xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx systému xxxxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona xxxxxxxx, xxxxx xxxxxxxx xx xxxxxxxxxx o xxxxxxxxxxx informací.
(2) Orgán x osoba uvedená x §3 xxxx. x) x x) xxxxxx x xxxxxxxxxx xxxxxxxxx x odstavci 1 dále
a) xxxx xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxx přílohy č. 2 k xxxx xxxxxxxx, xxxxx xxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxx x úrovni xxxxxx, xxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxx vztah xxxxxxxx xxxxxxx xxxxxxxxxxxx za xxxxxxxx x kontrolu xxxxxxxxxxxxxx xxxxxxxx, x
x) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx u xxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxx odstraňuje xxxx xx xxxxxx x xxxxxxxxxxx zajistí xxxxxx xxxxxxxxxx.
§8
Xxxxxx xxxxx
(1) Xxxxx x xxxxx uvedená x §3 písm. x) xx x) xxxxxx v xxxxx xxxxxx xxxxx
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxx,
x) xxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xx xxxxxxxx xxxxxx, x
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx aktiv x xxxxxxxx důvěrnosti, xxxxxxxxx x xxxxxxxxxxx x xxxxxx je xx xxxxxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxx xxxxx přílohy č. 1 x xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx xxxxxxxxxxx primárních xxxxx xx xxxxx xxxxxxxxx posoudit
a) xxxxxx x xxxxxxxxxx xxxxxxxx xxxxx xxxx obchodního xxxxxxxxx,
x) rozsah xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx veřejných, obchodních xxxx xxxxxxxxxxxx xxxxx,
x) xxxxx xxxxxxxx xxxxxx,
x) xxxxxx narušení xxxxxxx xxxxxxxx xxxxxx a xxxxx uvedené x §3 xxxx. x) xx x) zákona,
g) xxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxx, integrity x xxxxxxxxxxx x
x) xxxxxx xx xxxxxxxxx xxxxxxx jména nebo xxxxxxx dobré xxxxxxx.
(3) Xxxxx x osoba xxxxxxx x §3 xxxx. c) x x) xxxxxx xxxx
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxx,
x) určí xxxxxxx aktiv, kteří xxxx xxxxxxxxx xx xxxxxxxx xxxxxx, x
x) xxxx xxxxx mezi xxxxxxxxxx a xxxxxxxxxx xxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxx a xxxxxxxxxx xxxxxx.
(4) Orgán x xxxxx xxxxxxx v §3 xxxx. c) xx e) xxxxxx xxxx
x) stanoví pravidla xxxxxxx, xxxxx xxx xxxxxxxxxxx jednotlivých xxxxxx xxxxx xxx, že
1. xxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxx xxxxxxxx pro xxxxxxxxxx a xxxxxxxx x xxxxxx xxxxx xxxxxx xxxxx, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx sdílení a xxxxxxx xxxxxxxxx aktiv x
3. xxxxxxx xxxxxxxxx xxxxxxx používání xxxxx,
x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx aktiv x
x) určí způsoby xxx xxxxxxxxxx smazání xxxx ničení xxxxxxxxxxx xxxxxx dat s xxxxxxx xx úroveň xxxxx.
§9
Bezpečnost lidských xxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx x xxxxx xxxxxx xxxxxxxxxxx xxxxxxxx zdrojů
a) xxxxxxx xxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxx, xxxxx x xxxxxx potřebných xxxxxxx x určí osoby xxxxxxxxxxx xxxxxxxxx jednotlivých xxxxxxxx, xxxxx xxxx x plánu uvedeny,
b) x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx zajistí xxxxxxx xxxxxxxxx, administrátorů x xxxx xxxxxxxxxxxxx bezpečnostní xxxx x xxxxxx xxxxxxxxxxxx a x xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx bezpečnostní xxxxxxxx xx xxxxxx uživatelů, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) xxxxxxx vrácení xxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxx ukončení xxxxxxxxx xxxxxx s uživateli, xxxxxxxxxxxxxx nebo xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxx x xxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx, xxxxx xxxxxxxx předmět xxxxxxx a xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx v §3 písm. x) x x) zákona xxxx
x) xxxxxxx xxxxxxxx xxx určení xxxx, xxxxx budou xxxxxxxx xxxxxxxxxxxx role, xxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx plánu xxxxxxx bezpečnostního povědomí, xxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxx spojených x xxxxxxxxxxxxx bezpečnostního xxxxxxxx,
x) xxxx xxxxxxxx x xxxxxxx pro xxxxxx xxxxxxx porušení xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx strany uživatelů, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) xxxxxxx xxxxx xxxxxxxxxxxx oprávnění xxx xxxxx xxxxxxxxx uživatelů, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx bezpečnostní role.
§10
Xxxxxx xxxxxxx a xxxxxxxxxx
(1) Xxxxx a xxxxx uvedená x §3 xxxx. x) xx x) zákona x xxxxx řízení xxxxxxx x komunikací xxxxxx xxxxxxxxxxx nástrojů xxxxxxxxx v §21 xx 23 detekuje xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxxx vyhodnocuje xxxxxxx xxxxxxxxx x na xxxxxxxx xxxxxxxxxx reaguje x xxxxxxx x §13.
(2) Orgán x xxxxx uvedená x §3 xxxx. c) xx x) zákona x xxxxx xxxxxx xxxxxxx x komunikací xxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xx xxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx.
(3) Xxxxxxxx xxxxxxxx a xxxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxxx
x) xxxxx x xxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx x xxxxxxxxx,
x) postupy xxx xxxxxxxx x ukončení xxxxx systému, pro xxxxxxx nebo xxxxxxxx xxxxx xxxxxxx xx xxxxxxx x xxx xxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxx xxxxxxx xxxxxxxx x záznamům x xxxxxx činnostech,
d) xxxxxxx xx kontaktní xxxxx, které xxxx xxxxxx jako podpora xxx řešení xxxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxx x schvalování xxxxxxxxxx xxxx x
x) xxxxxxx xxx sledování, xxxxxxxxx x řízení kapacity xxxxxxxx a technických xxxxxx.
(4) Xxxxxx provozu xxxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x prověřování xxxxxxxxxxxxx provedených xxxxx.
(5) Xxxxxx xxxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxxxxx x
x) xxxxxxxxx oddělení xxxxxxxxxx, xxxxxxxxxxx a produkčního xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx Úřadem xxx, xx xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx
1. xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx opatření xx xxxxxxxxxx systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x na xxxxxxxx xxxxxxxxxxxx opatření, xxxxxxxxx xxxxx xxxxxxxxx xxxxxx x bez xxxxxxxxxx xxxxxxx je xxxxxx Xxxxx x
2. stanoví xxxxxx rychlého provedení xxxxxxxxxxx opatření, který xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxx, a určí xxxxxx plán xxxx xxxxxxxxx.
(6) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) x x) xxxxxx x rámci řízení xxxxxxxxxx
x) xxxxxxxxx xxxxxxxxxx x integritu xxxxxxxxxxxxx xxxx a bezpečnost xxxxxxxxxxxxx služeb podle §17,
x) xxxx pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxxx komunikačními xxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxx informací xx základě xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx xx současného xxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxx xxxxxxxx dokumentuje x
x) x ohledem xx xxxxxxxxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxx na xxxxxxx xxxxxxxxx smluv, xxxxxxx xxxxxxxx xx xxxxxxxxxx o bezpečnosti xxxxxxxxx.
§11
Xxxxxx xxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xx xxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x přidělí xxxxxxx xxxxxxxxx jednoznačný xxxxxxxxxxxxx.
(2) Xxxxx a xxxxx uvedená x §3 xxxx. c) xx e) xxxxxx xxxxxx opatření, která xxxxxx k xxxxxxxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx §18 x 19, a xxxxx xxxxx xx xxxxxxxx xxxxxx xxxxx neoprávněnou xxxxxx.
(3) Orgán x xxxxx xxxxxxx v §3 xxxx. x) x x) zákona xxxx x xxxxx xxxxxx xxxxxxxx
x) xxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxxxx oprávnění,
c) přiděluje x xxxxxxx přístupová xxxxxxxxx x souladu x xxxxxxxxx xxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx nastavení přístupových xxxxxxxxx včetně xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx skupinách xxxx xxxxxx,
x) xxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx §18 x xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §19 x
x) xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxx bezpečné xxxxxxxxx mobilních xxxxxxxx, xxxxxxxx x bezpečnostní xxxxxxxx spojená x xxxxxxxx technických xxxxxxxx, xxxxxxx xxxxx a xxxxx xxxxxxx v §3 písm. x) x x) xxxxxx xxxxxxxxxxx.
§12
Xxxxxxxx, xxxxx x xxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx bezpečnostní xxxxxxxxx xx xxxxx xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxx, xxxxxxx x xxxxxxx a xxxxxx xx xx xxxxxxxx akvizice, xxxxxx x údržby xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) a x) xxxxxx xxxx
x) xxxxxxxxxxxx, xxxxxxx x xxxx rizika xxxxxxxxxxx x xxxxxxxx, xxxxxxx x údržbou xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx; pro xxxxxxx xxxxxxxxx x xxxxxx xxxxx xx xxxxxxxx xxxxx §4 xxxx. 1 xxxx. x) xxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx x zajistí ochranu xxxxxxxxxxx xxxxxxxxxxx xxx x
x) provádí bezpečnostní xxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx xxxx komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx před xxxxxx xxxxxxxxx xx provozu.
§13
Xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x incidentů
Orgán x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx, xxxxx xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx ze xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx zastávajících xxxxxxxxxxxx xxxx x x xxxxxxxxxx xxxx xxxxxxx,
x) xxxxxxxx xxxxxxxxx pro xxxxxxxxxxx oznámených xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx technickými xxxxxxxx xxxxx §21 xx 23, xxxxxxx jejich xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx incidenty,
c) xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxx pro xxxxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §32 x xxxxxxx xxxx xxxxxxxxxxx podkladů xxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx a xxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx, xxxxxxxxx xxxxxxxx xxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx x xx xxxxxxx vyhodnocení stanoví xxxxx bezpečnostní xxxxxxxx x zamezení xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x
x) dokumentuje xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
§14
Xxxxxx xxxxxxxxxx xxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) až x) xxxxxx x xxxxx xxxxxx kontinuity xxxxxxxx xxxxxxx
x) xxxxx x xxxxxxxxxx xxxxxxx xxxxx, administrátorů x xxxx zastávajících bezpečnostní xxxx,
x) cíle řízení xxxxxxxxxx činností xxxxxx xxxxxx
1. xxxxxxxxx úrovně xxxxxxxxxxxxx služeb, xxxxx xx xxxxxxxxxx pro xxxxxxx, xxxxxx a xxxxxx informačního systému xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému,
2. xxxx obnovení chodu, xxxxx xxxxx xxxx xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx minimální xxxxxx poskytovaných služeb xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému, a
3. xxxx xxxxxxxx xxx xxxx xxxxxxx, xx xxxxxxx xxxxx obnovena xxxx po xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx, x
x) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx x).
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxxxx x xxxxxxxxxxx možné xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx xxxxxx xxxxxxxxxxx x ohrožením xxxxxxxxxx xxxxxxxx,
x) xxxxxxx, aktualizuje x xxxxxxxxxx xxxxxxx xxxxx kontinuity činností xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx xxx zajišťování xxxxxx xxxxxxxxxxx xxxxx §26 a
d) xxxxxxx x xxxxxxxxxxx xxxxxxx xxx provedení xxxxxxxx xxxxxxxx Úřadem xxxxx §13 x 14 xxxxxx, xx xxxxxxx xxxxxxxx
1. xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxx xxxxxxxx,
2. xxxx dotčených bezpečnostních xxxxxxxx x
3. vyhodnocení xxxxxxxxxx xxxxxxxxxxx dopadů xx provoz a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§15
Kontrola x xxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Orgán a xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx x xxxxx xxxxxxxx x auditu xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx systémů (xxxx jen "audit xxxxxxxxxxxx xxxxxxxxxxx")
x) xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxx, xxxxxxxxx předpisy, jinými xxxxxxxx a smluvními xxxxxxx xxxxxxxxxxxx xx x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx informačnímu xxxxxxx x určí xxxxxxxx xxx jeho xxxxxxxxxxx x
x) xxxxxxx a xxxxxxxxxxx xxxxxxxxxx kontroly xxxxxxxxxx bezpečnostní xxxxxxxx x výsledky xxxxxx xxxxxxx xxxxxxxx v xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx rizik.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) a x) xxxxxx xxxxxxxxx provedení xxxxxx xxxxxxxxxxxx bezpečnosti xxxxxx x odbornou xxxxxxxxxxx xxxxx §6 xxxx. 6, xxxxx xxxxxxx xxxxxxxxx x xxxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx a xxxxx xxxxxxx v §3 písm. c) x x) xxxxxx xxxx xxx xxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a komunikační xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx provádí xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx prostředků xxxxxx xxxxxxxxxxxxxxxx xxxxxxxx x jejich xxxxxxx xxxxxxxxxxx x xxxxxxx xx zjištěné zranitelnosti.
XXXXX XX
XXXXXXXXX XXXXXXXX
§16
Xxxxxxx xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxx fyzické xxxxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxxxx xx xxxxxxxxxx prostor, kde xxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx informačního systému xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému kritické xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx nezbytná xxxxxxxx x xxxxxxxx xxxxxxxxx x xxxxxxx xx xxxxxxxxxx prostor, xxx xxxx uchovány informace x umístěna xxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx informačního systému, x
x) xxxxxxxxx xxxxxxxxx, xxxxxxx xxxx xxxxxxxx xxxxx xxxx xxxxxxxxx xxxxxxxxxxx služeb informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 písm. x) x x) zákona xxxx xxxxxxxxx prostředky xxxxxxx xxxxxxxxxxx
x) pro xxxxxxxxx xxxxxxx xx xxxxxx xxxxxxx x
x) xxx zajištění xxxxxxx x rámci objektů xxxxxxxxxx zvýšené bezpečnosti xxxxxxxxxx xxxxxxx, ve xxxxxxx xxxx xxxxxxxx xxxxxxxxx xxxxxx informačního xxxxxxx kritické informační xxxxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx.
(3) Xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxx xxxxxxxxxx,
x) xxxxxxxx elektrické xxxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxx projevů xxxxxxxxx událostí,
e) systémy xxx xxxxxxxx xxxxxx,
x) xxxxxxxx xxxxxxx,
x) xxxxxxxx xxx zajištění xxxxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxx.
§17
Xxxxxxx xxx xxxxxxx xxxxxxxxx komunikačních xxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) až x) xxxxxx pro xxxxxxx integrity xxxxxxxx xxxxxx xxxxxxxxxxx xxxx, xxxxx xxxx xxx xxxxxxx xxxxxx xxxx xxxxx, a vnitřní xxxxxxxxxxx xxxx, xxxxx xx xxx správou xxxxxx xxxx xxxxx, xxxxxx
x) řízení xxxxxxxxxx xxxxxxxx mezi xxxxxx x xxxxxxx xxxx,
x) xxxxxxxxxx zejména použitím xxxxxxxxxxxxxxxxxx zón xxxx xxxxxxxxxxx xxxx sítě xxxxxxxxxxx ke zvýšení xxxxxxxxxxx aplikací dostupných x xxxxxx xxxx x x zamezení xxxxx xxxxxxxxxx xxxxxxx xxxx x xxxxxx xxxx,
x) kryptografické xxxxxxxxxx (§25) xxx xxxxxxxx xxxxxxx, vzdálenou xxxxxx xxxx pro xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x
x) opatření xxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxx, které xxxxxxxxxxxx xxxxxxxxxx xx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx xxxx xxxxxxx xxxxxxxx xxx xxxxxxx integrity xxxxxxx komunikační xxxx, xxxxx xxxxxxx xxxx xxxxxxxxxx.
§18
Nástroj pro xxxxxxxxx xxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až e) xxxxxx používá xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a významného xxxxxxxxxxxx systému.
(2) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx x administrátorů xxxxxxxxx ověření identity xxxxxxxxx x xxxxxxxxxxxxxx xxxx xxxxxxxxx jejich xxxxxxx v xxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačním xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x významném informačním xxxxxxx.
(3) Xxxxxxx xxx xxxxxxxxx identity uživatelů, xxxxx xxxxxxx autentizaci xxxxx heslem, zajišťuje
a) xxxxxxxxx xxxxx xxxxx xxx xxxxx,
x) xxxxxxxxx xxxxxxxxx xxxxx xxx, xx heslo bude xxxxxxxxx xxxxxxx 3 x následujících čtyř xxxxxxxxx
1. xxxxxxx jedno xxxxx xxxxxxx,
2. xxxxxxx xxxxx malé písmeno,
3. xxxxxxx xxxxx xxxxxxx, xxxx
4. nejméně jeden xxxxxxxxx xxxx xxxxxxx xx xxxxxxxxx xxxxxxxxx x bodech 1 xx 3,
x) xxxxxxxxx xxxx pro xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxxx xxx xxx; xxxxx xxxxxxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(4) Orgán a xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxx, xxxxx
1. xxxxxx opětovnému xxxxxxxxx dříve xxxxxxxxxxx xxxxx x xxxxxxxx xxxx xxxx hesla xxxxxxx uživatele během xxxxxxxxxxx xxxxxx, které xxxx xxx nejméně 24 hodin, x
2. xxxxxxx xxxxxxxx xxxxxxx xxxxxxxx xx určené xxxx xxxxxxxxxx x
x) xxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx. X případě, xx xxxxx xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxxxx minimální délky xxxxx patnáct xxxxx xxx xxxxxxxx požadavků xxxxx odstavce 3 xxxx. b) x x).
(5) Nástroj xxx xxxxxxxxx xxxxxxxx uživatelů xxxx xxx xxxxxxxx x jinými způsoby, xxx xxxx xxxx xxxxxxxxx x xxxxxxxxxx 3 xx 5, xxxxx xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx zajišťující stejnou xxxx xxxxx xxxxxx xxxxxxxxx xxxxx.
§19
Nástroj xxx řízení xxxxxxxxxxxx oprávnění
(1) Orgán x osoba xxxxxxx x §3 písm. x) xx x) xxxxxx používá xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx xxxxxx oprávnění
a) xxx xxxxxxx x xxxxxxxxxxx xxxxxxxxx x xxxxx x
x) pro čtení xxx, xxx zápis xxx x pro xxxxx xxxxxxxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx xxxxxxx xxxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxxxxx xxxxxxx přístupových xxxxxxxxx v xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x výsledky xxxxxxxxx xxxxx.
§20
Xxxxxxx xxx ochranu xxxx xxxxxxxxx xxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxx xxxxxx xxxxx xxxxxxxxx x xxxxxxxxx škodlivého kódu xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačního xxxxxxx xxxx xxxxxxxxx xxxxx, xxxxx zajistí xxxxxxx x stálou kontrolu
a) xxxxxxxxxx mezi xxxxxxx xxxx a vnější xxxx,
x) xxxxxxx a xxxxxxxxx datových xxxxxxx x
x) xxxxxxxxxx stanic,
přičemž xxxxxxx pravidelnou a xxxxxxx xxxxxxxxxxx xxxxxxxx xxx ochranu před xxxxxxxxx xxxxx, xxxx xxxxxxx x xxxxxxxx.
§21
Xxxxxxx pro xxxxxxxxxxxxx xxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) zákona používá xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému, xxxxx zajistí
a) sběr xxxxxxxxx o xxxxxxxxxx x bezpečnostních xxxxxxxxxx, xxxxxxx xxx xxxxxxxx, xxxxx x čas, xxxxxxxxxxxx technického xxxxxx, xxxxx xxxxxxx xxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx a xxxxx xxxxxxxx x xxxxxxxxx nebo neúspěšnost xxxxxxxx a
b) xxxxxxx xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxx čtením xxxx xxxxxx.
(2) Orgán x xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona xxxx xxxxxx xxxxxxxx xxx zaznamenávání činnosti xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxxxxxx x xxxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxx xx xxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx činností x xxxxxxxx nedostatku xxxxxxxxxxxx xxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxx x xxxxxxxx xxxxxxxx technických xxxxx xxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému,
f) xxxxxxxxxxx xxxxxxx nebo chybová xxxxxxx xxxxxxxxxxx xxxxx,
x) xxxxxxxx k xxxxxxxx x xxxxxxxxxx, xxxxxx x xxxxxxxxxx xx xxxxxxx x xxxxxxxxxx x změny nastavení xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx a
h) použití xxxxxxxxxx identifikace x xxxxxxxxxxx xxxxxx xxxxx xxxxx, xxxxx xxxxxx x xxxxxxxxxx.
(3) Xxxxx x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx xxxxxxx činností xxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxxx xxxxxxx xx xxxx 3 xxxxxx.
(4) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx xxxxxxxxx nejméně xxxxxx xx 24 xxxxx xxxxxxxxxxxxx xxxxxxxxxx systémového xxxx xxxxxxxxxxx aktiv xxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx významného xxxxxxxxxxxx xxxxxxx.
§22
Xxxxxxx xxx detekci xxxxxxxxxxxxxx bezpečnostních událostí
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) až x) xxxxxx xxxxxxx xxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxxxx vychází xx xxxxxxxxxxx xxxxxxxxxxxxxx potřeb x xxxxxxxx hodnocení xxxxx a xxxxx xxxxxxx xxxxxxx, kontrolu x xxxxxxxx xxxxxxxxxxx xxxxxxxxxx mezi vnitřní xxxxxxxxxxx xxxx x xxxxxx sítí.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx dále xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxxxx xxxxxxx xxxxxxx, xxxxxxxx a xxxxxxxx xxxxxxxxxxx xxxxxxxxxx
x) v xxxxx vnitřní xxxxxxxxxxx xxxx x
x) xxxxxxx xxxxxxxxx xx informačního xxxxxxx kritické informační xxxxxxxxxxxxxx x komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§23
Xxxxxxx pro xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx xxxxxxx xxxxxxx xxx xxxx x xxxxxxxx vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxxxx x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxxxx
x) integrovaný xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury a xxxxxxxxxxxxx systému kritické xxxxxxxxxx infrastruktury,
b) xxxxxxxxxxx xxxxxxxxx xxx určené xxxxxxxxxxxx role x xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxx v xxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx xxxx x xxxxxxxxxx xxxxxxxxxxxxxx x
x) xxxxxxxxxxx vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, včetně xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx rolí.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxx xxxxxxx
x) xxxxxxxxxxx aktualizaci xxxxxxxxx xxxxxxxx pro xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxx varování, xxx byly xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx nebo xxxxxxx xxxxxxxxx xxxxxxxx, x
x) xxxxxxxxx xxxxxxxxx, xxxxx xxxx připraveny xxxxxxxxx xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§24
Xxxxxxxxx xxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx aplikací, xxxxx xxxx xxxxxxxxx x xxxxxx xxxx, x xx xxxx xxxxxx xxxxxxxx xx xxxxxxx x xx xxxxx xxxxxxx xxxxx xxxxxxxxxxxxxx xxxxxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx dále v xxxxx aplikační xxxxxxxxxxx xxxxxxx trvalou xxxxxxx
x) xxxxxxxx x informací xxxxxxxxxx x vnější xxxx xxxx neoprávněnou xxxxxxxx, popřením xxxxxxxxxxx xxxxxxxx, xxxxxxxxxxxx xxxx xxxxxxxxxxxxxxx xxxxxx a
b) xxxxxxxxx před xxxxxx xxxxxxxxxxxx, xxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx, kompromitací, xxxxxxxxxxxxxxx xxxxxxxxxxxx nebo xxxxxxxxxx.
§25
Xxxxxxxxxxxxxx xxxxxxxxxx
(1) Orgán x xxxxx uvedená x §3 písm. x) xx x) xxxxxx
x) xxx xxxxxxxxx xxxxxxxxxxxxxx ochrany xxxxxxx
1. xxxxxx xxxxxxx s xxxxxxx xx typ x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx a
2. xxxxxxxx xxxxxxxxxxxxxx xxxxxxx informací xxx přenosu xx xxxxxxxxxxxxx sítích xxxx xxx xxxxxxx xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx technické xxxxxx xxx a
b) x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx ochranu xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx ukládaných xxx x průkaznou identifikaci xxxxx za xxxxxxxxx xxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) stanoví xxx xxxxxxxxx xxxxxxxxxxxxxxxx prostředků xxxxxx xxxxxx xxxxx, xxxxx zajistí xxxxxxxxxx, xxxxxxxxxx, xxxxxxxx, xxxxxxxxx, xxxxx, xxxxxx, kontrolu x xxxxx xxxxx, x
x) xxxxxxx odolné xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxx; x xxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxxx uvedenými x příloze č. 3 x xxxx xxxxxxxx řídí xxxxxx xxxxxxx x xxxxx xxxxxxxxxx.
§26
Xxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx x xxxxxxx x xxxxxxxxxxxxxx potřebami x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxx xxxxxxxxxxx úrovně xxxxxxxxxxx informací.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxxxxx nástroj xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxx
x) xxxxxxxxxx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxx xxxxxxx xxxx xxxxxx kontinuity xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx kybernetickým xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx xxxxx xxxxxx xxxxxxxxxx, a
c) xxxxxxxxxx xxxxxxxxxx technických aktiv xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx
1. xxxxxxxx xxxxxxxxxx x návrhu xxxxxx x
2. xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxx xxxx.
§27
Xxxxxxxxxx průmyslových x xxxxxxxx systémů
Orgán x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx systémů, xxxxx xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxx jsou xxxxxx xxxxxxxx, xxxxxxx xxxxxxxx, které xxxxxxx
x) xxxxxxx fyzického xxxxxxxx x xxxx a xxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx,
x) omezení xxxxxxxxx x xxxxxxxxxx xxxxxxxx x xxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx,
x) ochranu xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxx systémů xxxx xxxxxxxx známých xxxxxxxxxxxxx x
x) obnovení xxxxx průmyslových x xxxxxxxx xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu.
XXXXX XXX
XXXXXXXXXXXX XXXXXXXXXXX
§28
Xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x x) zákona xxxx a xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx
x) bezpečnostní xxxxxxxx xxxxx §5 xxxx. 1,
x) xxxxxx z xxxxxx xxxxxxxxxxxx bezpečnosti xxxxx §3 odst. 1 písm. x),
x) xxxxxx x xxxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx xxxxx §3 xxxx. 1 písm. x),
x) xxxxxxxx xxx xxxxxxxxxxxx a hodnocení xxxxx x pro xxxxxxxxxxxx x xxxxxxxxx xxxxx,
x) zprávu x xxxxxxxxx xxxxx a xxxxx,
x) prohlášení x xxxxxxxxxxxxxxxx,
x) xxxx xxxxxxxx xxxxx,
x) xxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx podle §9 odst. 1 xxxx. a),
i) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xxxxx §13 písm. x),
x) xxxxxxxxx řízení xxxxxxxxxx xxxxxxxx xxxxx §14 xxxx. 1 xxxx. c) x
x) xxxxxxx právních předpisů, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx a xxxxxxxxx závazků podle §15 xxxx. 1 xxxx. x).
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xxxxxx vede x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxx xxxxx §5 xxxx. 2,
x) xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx identifikaci x xxxxxxxxx rizik xxxxx §4 xxxx. 2 xxxx. a),
c) xxxxxx x hodnocení xxxxx a xxxxx xxxxx §4 odst. 2 xxxx. x) x c),
d) xxxxxxxxxx x xxxxxxxxxxxxxxxx xxxxx §4 xxxx. 2 xxxx. d),
e) xxxx xxxxxxxx rizik xxxxx §4 xxxx. 2 xxxx. e),
f) plán xxxxxxx bezpečnostního povědomí xxxxx §9 odst. 1 písm. x),
x) xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. x),
x) strategii xxxxxx xxxxxxxxxx činností xxxxx §14 odst. 1 xxxx. x) x
x) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x jiných xxxxxxxx x xxxxxxxxx závazků xxxxx §15 odst. 1 xxxx. x).
(3) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) až x) xxxxxx vede xxxxxxxxxxxx xxxxxxxxxxx xxx, xxx záznamy x xxxxxxxxxxx činnostech xxxx xxxxx, čitelné, xxxxxx xxxxxxxxxxxxxxxxx x xxx xx xxxx snadno xxxxxxxx. Xxxxxxxx xxxxxxxx x xxxxxxxxxxxx, uložení, xxxxxxx, xxxxxxxxx, xxxx xxxxxxxxx x uspořádání xxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxxxxx xxxxxxxxx bezpečnostní dokumentace xx stanovena x příloze č. 4 k této xxxxxxxx.
§29
Prokázání xxxxxxxxxxx
Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx, xxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx xx xxxxx zahrnut xx xxxxxxx systému xxxxxx xxxxxxxxxxx informací, xxxxx byl xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx xxxxx1) xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx, x xxxxx xxxx dokumenty xxxxxxxxxx
x) xxxxx xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx a xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxx x xxxxxx x hodnocení xxxxx,
x) xxxxxxxxxx x xxxxxxxxxxxxxxxx,
x) xxxxxxxxxx systému xxxxxx xxxxxxxxxxx informací xxxxxxxxx xxxxxxxxx příslušné xxxxxxxxx xxxxx zabývající xx xxxxxxxxxxx xxxxxxxxx1),
x) záznam x přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx vstupů x xxxxxxx xxxxxxxxxxx x
x) zprávu z xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx o xxxxxxx xxxxxxxxxx neshod x xxxxxxxxxx normou,
splňuje xxxxxxxxx xx zavedení xxxxxxxxxxxxxx xxxxxxxx xxxxx zákona x xxxx vyhlášky.
XXXX XXXXX
XXXXXXXXXXXX BEZPEČNOSTNÍ XXXXXXXX
§30
Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx příčiny xxxx kybernetické xxxxxxxxxxxx xxxxxxxxx rozděleny xx xxxxxxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx událostí xxxxxxx x xxxxxxx do xxxxxxx nebo k xxxxxxx dostupnosti služeb,
b) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxx překonáním xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx opatření,
e) kybernetický xxxxxxxxxxxx incident xxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxx hrozeb a
f) xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx.
(2) Xxxxx dopadu xxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx důvěrnosti aktiv,
b) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx xxxxxxxx integrity xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx aktiv, xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx kombinaci xxxxxx xxxxxxxxx x xxxxxxxxx x) xx c).
§31
Xxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xx xxxxx xxxxxxxx x negativních xxxxxxx kybernetické bezpečnostní xxxxxxxxx xxxx do xxxxxxxxxxxxx kategorií
a) Kategorie XXX - xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx xxxxx a xxxxxxxx narušena xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x xxx, xx musí xxx xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx dalšímu xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxx.
x) Xxxxxxxxx XX - xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, při kterém xx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx zásahy xxxxxxx x xxx, xx xxxx být xxxxxxxx xxxxxxxxxx zabráněno xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace xxxxxxxxx škod.
c) Kategorie X - méně xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xxxxxxx k méně xxxxxxxxxx narušení xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx. Jeho řešení xxxxxxxx xxxxxx xxxxxxx x xxx, že xxxx xxx vhodnými xxxxxxxxxx xxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace xxxxxxxxx xxxx.
(2) Xxxxx x osoba xxxxxxx x §3 písm. x) až e) xxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle xxxxxxxx 1 xxxxxxxx
x) xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného informačního xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury, xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx systémy xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, nebo xxxxxxxxxx xxxxxxxxxxxx systémy x
x) xxxxxxxxxxxxx xxxxx a xxxxx dopady.
§32
Forma x náležitosti xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx e) zákona xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx
x) x xxxxxxxxxxxx xxxxxx prostřednictvím
1. xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
2. xxxxxx xx xxxxxx xxxxxxxxxxxx xxxxx Xxxxx xxxxxx xxx xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, zveřejněné xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
3. xxxxxx xxxxxx do xxxxxx xxxxxxxx Xxxxx, xxxx
4. prostřednictvím určeného xxxxxxxx rozhraní, xxxxx xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx, anebo
b) x xxxxxxxx podobě xx xxxxxx Xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxx xx internetových stránkách Xxxxx.
(2) Xxxxxxx x xxxxxxxx xxxxxx se xxxxxx xxxxx v xxxxxxxxx, kdy xxxxx xxxxxx žádný ze xxxxxxx uvedených x xxxxxxxx 1 xxxx. x).
(3) Xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního incidentu xxxx xxxxxxx x příloze č. 5 k této xxxxxxxx.
ČÁST XXXXXX
XXXXXXXXX XXXXXXXX X XXXXXXXXX XXXXX
§33
Xxxxxxxxx xxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx xx xxxxxxxxx, jehož xxxx xx xxxxxx x příloze č. 6 k xxxx xxxxxxxx.
§34
Xxxxxxxxx údaje
Orgán a xxxxx xxxxxxx v §3 xxxxxx oznamuje xxxxxxxxx xxxxx na xxxxxxxxx, xxxxx xxxx xx uveden v příloze č. 7 k xxxx xxxxxxxx. Orgán a xxxxx xxxxxxx v §3 xxxx. x) xx e) zákona xxxxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxx x §32 odst. 1 xxxx. a).
XXXX XXXX
XXXXXXXX
§35
Xxxx vyhláška xxxxxx xxxxxxxxx xxxx 1. xxxxx 2015.
Xxxxxxx:
Xxx. Xxxxxxxx v. r.
Xxxxxxx x. 1 x vyhlášce x. 316/2014 Sb.
Hodnocení x xxxxxx důležitosti xxxxx
Xxx xxxxxxxxx xxxxxxxxxxx aktiv xxxx xxxxxxx xxxxxxxx x xxxxxxx úrovních. Xxxxx xxxx xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx může xxxxxxxx xxxxxxx počet xxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxx xxxx je xxxxxx x xxxx příloze, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx xx používaným xxxxxxxx xxxxxxxxx důležitosti xxxxx a stupnicemi x úrovněmi xxx xxxxxxxxx důležitosti xxxxx, xxxxx xxxx uvedeny x xxxx xxxxxxx.
X xxxxxxx použití xxx xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xx xxxxxxxxx xxxxxxx buď xxxxxx xxxxx x střední, xxxx xxxxxx xxxxxx x kritická.
Stupnice xxx xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxx xxxx xxxxxxx přístupná nebo xxxx xxxxxx xx xxxxxxxxxx (např. xx xxxxxxx zákona č. 106/1999 Sb., x xxxxxxxxx přístupu x xxxxxxxxxx, ve xxxxx xxxxxxxxxx xxxxxxxx). Xxxxxxxx xxxxxxxxxx aktiv xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx. |
Xxxx vyžadována xxxxx ochrana. |
|
Střední |
Aktiva xxxxxx xxxxxxx xxxxxxxxx x xxxxx know-how xxxxxx x osoby xxxxxxx x §3 xxxx. x) až e) xxxxxx, xxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxx nebo xxxxxxxx xxxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxx xxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx a jejich xxxxxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx nebo xxxxxxxxx xxxxxxxxxx (např. xxxxxxxx xxxxxxxxx xxxxx zákona č. 89/2012 Sb., xxxxxxxx zákoník, xxxxxx xxxxx xxxxx xxxxxx č. 101/2000 Sb., x xxxxxxx xxxxxxxx xxxxx, xx xxxxx xxxxxxxxxx xxxxxxxx). |
Xxx xxxxxxx důvěrnosti xxxx využívány xxxxxxxxxx, xxxxx xxxxxxx řízení x xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx informací xxxxxx xxxxxxxxxxx xxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx nejsou veřejně xxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxx xxx rámec xxxxxxxxx xxxxxxxxx (např. xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxx xxxxx). |
Xxx xxxxxxx xxxxxxxxxx xx xxxxxxxxxx xxxxxxxx xxxx, které x xxxxxxx xxxxxxxxxxx, x xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xx strany administrátorů. Xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxxxxxxx pro hodnocení xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx může xxxxxxxxx xxxxxxx x xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx aktiva může xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx x xxxx xx xxxxxxxx méně xxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx standardní xxxxxxxx (xxxx. xxxxxxx xxxxxxxxxxxx xxxx pro xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx x poškození xxxxxxxxxxx xxxxx xxxxxx x xxxxx uvedené x §3 xxxx. x) až x) xxxxxx x podstatnými xxxxxx na xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx, které xxxxxxxx xxxxxxxx xxxxxxxx provedených xxxx x xxxxxxxxxx xxxxxxxx xxxxx provádějící xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxx xx zajištěna pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Narušení integrity xxxx k xxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx orgánu a xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona x xxxxxxx x xxxxx xxxxxxx xxxxxx xx xxxxxxxx aktiva. |
Pro xxxxxxx xxxxxxxxx jsou xxxxxxxxx xxxxxxxxx prostředky xxxxxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (např. xxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx). |
Xxxxxxxx xxx hodnocení xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xxxx xxxxxxxx a x xxxxxxx výpadku je xxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxx xxxxxxx (xxx do 1 xxxxx). |
Xxx xxxxxxx xxxxxxxxxxx je xxxxxxxxxxx xxxxxxxxxx zálohování. |
|
Střední |
Narušení xxxxxxxxxxx xxxxxx by xxxxxx xxxxxxxxx xxxx xxxxxxxxxx xxx, xxxxxxxxxxxxx výpadek xxxx x možnému xxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx a xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva by xxxxxx překročit dobu xxxxxxxx xxxxx. Xxxxxxxx xxxxxxx xx nutné xxxxx xxxxxxxxxx, protože xxxx x xxxxxxx xxxxxxxx xxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) až e) xxxxxx. Xxxxxx jsou xxxxxxxxxx xxxx xxxxx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx záložní systémy x obnova xxxxxxxxxxx xxxxxx xxxx být xxxxxxxxx xxxxxx xxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx přípustné x x xxxxxxxxxx xxxxxxxxxxxx (x řádu xxxxxxxx xxxxx) xxxx x xxxxxxx xxxxxxxx xxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx. Xxxxxx jsou xxxxxxxxxx xxxx kritická. |
Pro xxxxxxx dostupnosti jsou xxxxxxxxx xxxxxxx xxxxxxx x obnova poskytování xxxxxx xx xxxxxxxxxx x automatizovaná. |
Příloha č. 2 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx xxxxx
Xxxxxxxxx xxxxx je xxxxxxxxx xxxx funkce, kterou xxxxxxxxx dopad, hrozba x xxxxxxxxxxxx.
Xxx xxxxxxxxx xxxxx xxx xxxxxx xxxxxxx xxxx funkci
riziko = xxxxx x xxxxxx x xxxxxxxxxxxx.
Xxxxxxxxxxx xxxxxx funkce xxx xxxxxx xxxxxx je xxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxxx
|
Xxxxxxxx pro xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxx xx x xxxxxxxx časovém xxxxxx x xxxxxx xxxxxxx a nesmí xxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxx x) 10 xxxxxxxxx xxxx x xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 hodin xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xx 5 000 000 Xx anebo c) představuje xxxxx xx veřejnost x rozsáhlým xxxxxxxx xxxxxxxxxx služeb nebo xxxxxx xxxxxxxxx zásahu xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxxx 250 xxxx. |
|
Xxxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx x v xxxxxxxx xxxxxxx období. Rozsah xxxxxxxxxx xxxx se xxxxxxxx x rozmezí a) xx 10 xxxxxxx xxxx xx 11 xx 100 osob x xxxxxxxxx xxxxxxxxxxxxx xx xxxx delší xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx od 5&xxxx;000&xxxx;000 Xx xx 50&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx dopad xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx služeb xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xx 251 do 2 500 xxxx. |
|
Xxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx, xxx xxxxxx xxxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx se pohybuje x xxxxxxx x) xx 11 xx 100 xxxxxxx xxxx xx 101 xx 1 000 osob s xxxxxxxxx xxxxxxxxxxxxx xx xxxx delší xxx 24 xxxxx nebo b) xxxxxxxx xxxx materiální xxxxxx xx 50 000 000 Xx xx 500&xxxx;000&xxxx;000 Xx anebo c) xxxxxxxxxxx xxxxx xx xxxxxxxxx x rozsáhlým omezením xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx života xxxxxxxxxxxxx xx 2 501 xx 25&xxxx;000 xxxx. |
|
Xxxxxxxx |
Xxxxx xx xxxxxx rozsahem, xxxxxx x xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xx xxxxxxxx v xxxxxxx x) 10 x xxxx xxxxxxx a 1 001 x xxxx xxxx x xxxxxxxxx xxxxxxxxxxxxx po dobu xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx materiální ztráty xxxxxxxxxxx 500&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx omezením xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx života xxxxxxxxxxxxx xxxx xxx 25&xxxx;000 xxxx. |
|
Xxxxxxxx pro xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx nebo xx xxxx pravděpodobná. Xxxxxxxxxxxxx realizace xxxxxx xxxx xxxxxxxx než xxxxxx xx 5 xxx. |
|
Xxxxxxx |
Xxxxxx xx málo xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx x xxxxxxx xx 1 xxxx xx 5 xxx. |
|
Xxxxxx |
Xxxxxx xx pravděpodobná xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx x xxxxxxx od 1 měsíce xx 1 roku. |
|
Kritická |
Hrozba je xxxxx xxxxxxxxxxxxx až xxxxxxxx xxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx xxxxxxxx xxx xxxxxx xx měsíc. |
|
Stupnice xxx xxxxxxxxx xxxxxxxxxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx neexistuje xxxx xx xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxxx. Xxxxxxxx kvalitní xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxx xxxx detekovat xxxxx xxxxxxx nebo xxxxxxxx pokusy x xxxxxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxxxxxx je xxxx pravděpodobná xx xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx opatření, xxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx. Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx včas detekovat xxxxx xxxxxxx xxxx xxxxxxxx pokusy o xxxxxxxxx xxxxxxxx je xxxxxxx. Nejsou xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx je pravděpodobná xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxx jejich xxxxxxxx xxxxxxxxx všechny xxxxxxxx xxxxxxx a xxxx xxxxxxxxxx xxxxxxxxxxxx. Jsou xxxxx dílčí xxxxxxx xxxxxx x překonání xxxxxxxxxxxxxx opatření. |
|
Kritická |
Zranitelnost xx xxxxx pravděpodobná až xx víceméně jisté xxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx anebo xx xxxxxx xxxxxxxx xxxxxx xxxxxxx. Xxxxxxxxx xxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx. Xxxx známé xxxxxxx xxxxxx překonání xxxxxxxxxxxxxx opatření. |
|
Stupnice pro xxxxxxxxx xxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx za xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxx v případě xxxxx xxxxxxxxxx xxxxxxxx xx riziko přijatelné. |
|
Vysoké |
Riziko xx xxxxxxxxxx xxxxxxxxxxx x xxxx xxx xxxxxxxx systematické xxxxx x xxxx odstranění. |
|
Kritické |
Riziko xx xxxxxxxxxxx x xxxx xxx xxxxxxxxxx xxxxxxxx kroky x xxxx xxxxxxxxxx. |
X xxxxxxx, xx xxxxx xxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx, xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx, je xxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx stupnic xx xxxxxx xxxx xx xxxxxx xxxxxxxxxx xxxxxxxxx míry xxxxxx x xxxxxxxxxxxxx. Za xxxxx xxxxxx xxx xxxxxx xxxxxxxxx komentář, xxxxx xxxxxxxx vyjádří xxx xxxxxx xxxxxx, xxx x úroveň xxxxxxxxxxxxx. Xxxxxxx postupuje x orgán xxxx xxxxx uvedená x §3 xxxx. x) xx e) zákona, xxxxx xxxxxxx jiný xxxxx xxxxxx pro xxxxxxxxx xxxxxx, hrozeb, xxxxxxxxxxxxx x xxxxx.
Xxxxxxx x. 3 x vyhlášce č. 316/2014 Sb.
Minimální požadavky xx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxx
x) Xxxxxxx x xxxxxxxx xxxxx xxx xxxxxxx xxxxxxxxxx x xxxxxxxxx
1. Xxxxxxxx Xxxxxxxxxx Xxxxxxxx (XXX) x xxxxxxxx délky xxxxx 128, 192 x 256 xxxx Xxxxxx Data Encryption Xxxxxxxx (3DES) x xxxxxxxx xxxxx xxxxx 168 xxxx, omezené xxxxxxx xxx se xxxxxxxxx klíče xxxxxx xxx 10 GB, xxxxxxxx přecházet xx XXX.
2. Xxxxxx Xxxx Xxxxxxxxxx Xxxxxxxx (3DES) x xxxxxxxx xxxxx xxxxx 112 xxxx, xxxxxxx použití xxx xx zatížením klíče xxxxxx xxx 10 XX, xxxxxxxx přecházet xx XXX. Xxxxxxxxxx xxxxxxx jedinečného xxxxx xxx xxxxxx xxxxxx.
3. Xxxxxxxx x využitím xxxxxxxxx xxxxx xxxxx 128 xxxx, xxxxxxx xxxxxxx xxx se xxxxxxxxx xxxxx menším xxx 10 XX.
4. Xxxxxx x xxxxxxxx xxxxx xxxxx 128 xxxx, omezené použití xxx xx zatížením xxxxx xxxxxx xxx 10 XX.
5. Xxxxxxx x xxxxxxxx xxxxx xxxxx 128 xx 256 xxxx.
6. Xxxxxxx x xxxxxxxx délky xxxxx 128, 192, 256 bitů.
7. Xxxxxxxx x xxxxxxxx xxxxx xxxxx 128, 192 x 256 xxxx.
8. XXXX 2.0, XXXX 3X x xxxxxxxx xxxxx klíčů 128, 256 bitů.
b) Xxxx xxxxxxxxx x ochranou xxxxxxxxx
1. XXX,
2. XXX,
3. XXX,
4. Xxxxxxx xxxxxxxx xxxx "Encrypt-then-MAC".
Poznámka:
Schémata typu "Xxxxxxx-xxxx-XXX",xxxx xxxxxxxx x xxxxxxxxx xxxxx xxxxxxx xxxxxxxxx xxxx a x xxxxxxx MAC xxxxx xxxxxxx xxxx xxx ochranu xxxxxxxxx.
x) Xxxx xxxxxxxxx
1. CTR,
2. XXX,
3. XXX,
4. CFB,
Poznámka:
Módy XXX x XXX xxxx xxx xxxxxxx x xxxxxxxx, pro xxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, při xxxxxxx xxxx OFB xx xxx xxxx xxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxxx xxxxxxx, xxx xxxxxxx módu XXX xx xxx daný xxxx xxxxx xxxxxxxx xxxxxxx xxxxxx, v xxxxxxx použití CBC xxxx x xxxxxxxxx xxx ochrany xxxxxxxxx xx xxxxx xxxxxx xxxxxxxx xxxxx xxxxx xx padding XXX xxxx.
x) Módy pro xxxxxxx xxxxxxxxx
1. XXXX,
2. XXX-XXX-X9.19, xxxxxxx xxxxxxx xxx se xxxxxxxxx xxxxxx xxx 109 XXX,
3. XXX-XXX-XXXX,
4. XXXX.
(2) Xxxxxxxxxxx xxxxxxxxx
x) Xxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx
1. Xxxxxxx Xxxxxxxxx Algorithm (XXX) x xxxxxxxx xxxxx xxxxx 2048 xxxx a xxxx, xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx 224 bitů x xxxx.
2. Xxxxxxxx Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxxxxx (XX-XXX) x xxxxxxxx délky xxxxx 224 bitů a xxxx.
3. Xxxxxx-Xxxxxx-Xxxxxxx Xxxxxxxxxxxx Xxxxxxxxx Xxxxxx (XXX-XXX) x využitím xxxxx xxxxx 2048 xxxx x xxxx.
x) Pro xxxxxxx xxxxx xx xxxxx x xxxxxxxxx xxxxx
1. Xxxxxx-Xxxxxxx (XX) x xxxxxxxx xxxxx xxxxx 2048 bitů x xxxx, xxxxx xxxxxxxxx xxxxxxx xxxxxxxx 224 xxxx x xxxx.
2. Elliptic Xxxxx Xxxxxx-Xxxxxxx (ECDH) s xxxxxxxx xxxxx xxxxx 224 bitů a xxxx.
3. Xxxxxxxx Xxxxx Xxxxxxxxxx Xxxxxxxxxx Xxxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (ECIES-KEM) s xxxxxxxx xxxxx xxxxx 256 xxxx x xxxx.
4. Xxxxxxxx Xxxxxx Xxxxxxxx Xxxxx - Xxx Xxxxxxxxxxxxx Mechanism (XXXX-XXX) x xxxxxxxx xxxxx klíčů 256 xxxx xxxx.
5. Xxxxxxxxx Xxxxxxx xxx Key Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) x xxxxxxxx délky xxxxx 256 bitů x xxxx.
6. Xxxxxx Xxxxxx Xxxxxxx - Xxxxxxx Xxxxxxxxx Xxxxxxxxxx Xxxxxxx (XXX-XXXX) x xxxxxxxx xxxxx klíčů 2048 x xxxx.
7. Xxxxxx Shamir Xxxxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) s xxxxxxxx délky xxxxx 2048 a xxxx.
(3) Xxxxxxxxx xxxx xxxxxx
x) XXX-2
1. XXX-224,
2. SHA-256,
3. XXX-384,
4. XXX-512,
5. SHA-512/224,
6. XXX-512/256.
x) XXX-3
1. XXX3-224,
2. XXX3-256,
3. XXX3-384,
4. XXX3-512,
5. XXXXX-128,
6. XXXXX-256.
x) Xxxxxxx xxxxxxxx xxxxxx
1. Whirpool,
2. XXXXXX-160,
3. XXX 1 x omezeným xxxxxxxx.
Xxxxxxxx x. 1:
SHA-1 se xxxxx xxxxxxxx pro xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx, xxxxxxxx razítek, xxxxxxxxx jiné xxxxxxxx xxxxxxxxxx xxxxxxxxx SHA-1.
Poznámka x. 2:
SHA-1 lze xxxxxxxx xxxxx xxx xxxxxxxxx již xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxx, generování x xxxxxxxxx XXXX-XXX1, xxxxxx xxx xxxxxxxxxx xxxxx a pseudonáhodné xxxxxxxxxx.
Xxxxxxx x. 4 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxxx bezpečnostní xxxxxxxxxxx
Xxxx xxxxxxx obsahuje xxxxxxxxxx obsah xxxxxxxxxxxx xxxxxxxxxxx. Navrhované xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx, která jednotlivé xxxxxxxxx xxxxx xxxx xxxxxxxx xxxxxxxxx, přičemž xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxx závazné x xx xx xxxxxx xxxx xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx, jaký xxxxxxx x xxxxxx bezpečnostní xxxxxxxxxxx xxxxxxx. Xxxxxxxxx xx x xxxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxx xxxx xxxxx xx xxxxxxx xxxxxxxxx.
X. Xxxxxxxxx xxxxxxxxxxxx xxxxxxxx
(1) Xxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx*
[§5 xxxx. 1 písm. x), §5 xxxx. 2 písm. a)]
a) Xxxx, xxxxxxxx a xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx a xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x postupy pro xxxxxx zdrojů a xxxxxxx systému xxxxxx xxxxxxxxxxx informací.
e) Xxxxxxxx x postupy xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx nápravná xxxxxxxx x zlepšování xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxxxxxxxxx xxxx x xxxxxx xxxx a xxxxxxxxxx,
1. xxxxx a xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx bezpečnosti,
2. xxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
3. xxxxx a povinnosti xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
4. xxxxx x xxxxxxxxxx xxxxxxx xxxxx,
5. xxxxx x xxxxxxxxxx xxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx činností xxxxxxxxxxxx xxxxxxxxxxxxxx xxxx.
(3) Xxxxxxxx řízení xxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. c)]
a) Xxxxxxxx a principy xxx výběr xxxxxxxxxx.
x) Xxxxxxxx xxx hodnocení xxxxx dodavatelů.
c) Náležitosti xxxxxxx x xxxxxx xxxxxx x způsobů x úrovní realizace xxxxxxxxxxxxxx opatření x x určení xxxxxxxx xxxxxxx odpovědnosti.
d) Pravidla xxx xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx pro hodnocení xxxxxxxxxx.
(4) Politika xxxxxxxxxxx xxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxxxxxx, hodnocení x xxxxxxxx primárních xxxxx
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx primárních xxxxx xxxxxx xxxxxx xxxxxx garanta,
2. xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx aktiv x hlediska xxxxxxxxxx, xxxxxxxxx a dostupnosti.
b) Xxxxxxxxxxxx, hodnocení x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x evidence xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxx vazeb xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.
x) Pravidla xxxxxxx xxxxxxxxxxxx úrovní xxxxx
1. xxxxxxx rozlišování xxxxxxxxxxxx xxxxxx aktiv,
2. xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx aktiv xxxxx úrovní aktiv,
3. xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxxx xxxxxxx nebo xxxxxx xxxxxxxxxxx xxxxxx dat.
(5) Xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx**
[§5 xxxx. 1 xxxx. e), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx jeho xxxxxxxxx
1. xxxxxxx x xxxxx xxxxxxx uživatelů,
2. způsoby x xxxxx xxxxxxx xxxxxxx xxxxx,
3. způsoby x xxxxx poučení xxxxxxxxxxxxxx,
4. xxxxxxx x xxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Bezpečnostní xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx pro xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxx xxxxxxxx xxxxxx.
1. xxxxxxx svěřených xxxxx a xxxxxxxx xxxx xxx xxxxxxxx xxxxxxxxxx vztahu,
2. změna xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxx pozice.
(6) Xxxxxxxx xxxxxx provozu x xxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Pravomoci x odpovědnosti spojené x xxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx provozu.
c) Xxxxxxxxx x standardy xxxxxxxxxx xxxxxxx.
x) Xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x bezpečnostních xxxxx.
(7) Politika xxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Princip xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (xxxx xx xxxx).
x) Xxxxxxxxx xx xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxx xxxxxxxx.
x) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxxxxx xxx mimořádné xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx přístupových xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx.
(8) Xxxxxxxx xxxxxxxxxx chování xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx pro xxxxxxxx xxxxxxxxx x aktivy.
b) Xxxxxxxx použití xxxxxxxxxxxx xxxxx.
x) Bezpečné xxxxxxx xxxxxxxxxxxx pošty x xxxxxxxx xx internet.
d) Xxxxxxxx xxxxxxxx přístup.
e) Xxxxxxxx chování xx xxxxxxxxxx sítích.
f) Xxxxxxxxxx xx xxxxxx x xxxxxxxx zařízením.
(9) Xxxxxxxx xxxxxxxxxx x xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxx xx xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx x postupy xxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxx xxxxxxxxxx a xxxxxx.
(10) Xxxxxxxx bezpečného předávání x xxxxxx xxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Způsoby xxxxxxx elektronické xxxxxx xxxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx kryptografické ochrany.
(11) Xxxxxxxx xxxxxx technických xxxxxxxxxxxxx**
[§5 odst. 1 xxxx. k)]
a) Xxxxxxxx xxx omezení xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) Xxxxxxxx a xxxxxxx xxxxxxxxx xxxxx programového xxxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
(12) Politika xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx*
[§5 odst. 1 xxxx. 1)]
x) Pravidla x xxxxxxx xxx xxxxxxxx používání xxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro zajištění xxxxxxxxxxx xxxxxxxx, kterými xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x x) zákona nedisponuje.
(13) Xxxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx a xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxxxxxxx programového vybavení x xxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx podmínek.
(14) Politika xxxxxxxxxxxx ukládání x xxxxxxxxx xxxxxxxxx*
[§5 xxxx. x xxxx. n)]
a) Xxxxxxxx a xxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxx.
x) Ochrana archivovaných xxxxxxxxx x xxxxxxx.
x) Xxxxxxxx xxxxxxxx k xxxxxxxxxxxx dokumentům a xxxxxxxx.
(15) Xxxxxxxx ochrany xxxxxxxx xxxxx*
[§5 odst. x xxxx. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx ochranu xxxxxxxx údajů.
(16) Xxxxxxxx xxxxxxx bezpečnosti**
[§5 xxxx. x xxxx. x)]
x) Xxxxxxxx xxx xxxxxxx xxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxx osob.
c) Xxxxxxxx xxx ochranu xxxxxxxx.
x) Detekce xxxxxxxx xxxxxxx bezpečnosti.
(17) Politika xxxxxxxxxxx komunikační xxxx**
[§5 xxxx. 1 písm. x)]
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxx.
x) Xxxxxx xxxx x xxxxxxxxxx xx bezpečný provoz xxxx.
x) Xxxxxxxx x xxxxxxx xxx řízení xxxxxxxx v rámci xxxx.
x) Pravidla a xxxxxxx xxx xxxxxxx xxxxxxxxxx přístupu x xxxx.
x) Pravidla a xxxxxxx xxx xxxxxxxxxxxx xxxx a xxxxxxxxxxxxx xxxxxxxxxx záznamů.
(18) Xxxxxxxx xxxxxxx před xxxxxxxxx xxxxx*
[§5 odst. x xxxx. r), §5 xxxx. 2 písm. x)]
x) Pravidla x xxxxxxx pro xxxxxxx xxxxxxxxxx xxxx xxxxxxx x xxxxxx sítí.
b) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx a xxxxxxx pro ochranu xxxxxxxxxx stanic.
(19) Xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. n)]
a) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx postupy xxx xxxxxxxxxxxxx a xxxxxxxxx na xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxxxxx nastavení xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(20) Xxxxxxxx xxxxxxx a xxxxxx xxxxxxxx xxx xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx**
[§5 xxxx. 1 písm. x)]
x) Xxxxxxxx x xxxxxxx pro xxxxxxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxxxx xxxxxxxx xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(21) Xxxxxxxx xxxxxxxxxx používání xxxxxxxxxxxxxx xxxxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Úroveň ochrany x xxxxxxx xx xxx a sílu xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx
1. xxx přenosu xx xxxxxxxxxxxxx xxxxxx,
2. xxx xxxxxxx xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxx xxx,
x) Xxxxxx správy xxxxx.
XX. Xxxxxxxxx xxxxx xxxxxxxxxxx
(1) Xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx**
[§28 odst. 1 xxxx. b)]
a) Xxxx auditu kybernetické xxxxxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti.
c) Xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx xxxx xxxxxxxx x osob, xxxxx xx auditu kybernetické xxxxxxxxxxx xxxxxxxxxx.
x) Datum x xxxxx, xxx xxxx prováděny činnosti xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Zjištění x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxx auditu kybernetické xxxxxxxxxxx.
(2) Zpráva x xxxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 xxxx. c)]
a) Xxxxxxxxxxx xxxxxxxx z xxxxxxxxxxx xxxxxxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx,
x) Xxxxxxxxxxxx xxxx x xxxxxxxxx, xxxxx xxxxx xxx xxxx xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxx xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx informací
1. neshody x xxxxxxxx xxxxxxxx,
2. xxxxxxxx xxxxxxxxxxxx x xxxxxx,
3. výsledky xxxxxx,
4. xxxxxxxx xxxx bezpečnosti,
d) Xxxxxxxx xxxxxxxxx xxxxx x xxxx plánu xxxxxxxx xxxxx.
x) Xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx xxxxxxxx x osob zajišťujících xxxxx xxxxxxxxxxxx xxxxxxxx.
(3) Xxxxxxxx xxx identifikaci x xxxxxxxxx xxxxx x pro xxxxxxxxxxxx x xxxxxxxxx rizik*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 písm. x)]
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx důvěrnosti xxxxx,
2. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxx aktiv,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx dostupnosti aktiv.
b) Xxxxxx stupnice pro xxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx dopadu,
2. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxxx,
3. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx,
4. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxx,
x) Xxxxxx x xxxxxxxx xxx xxxxxxxx rizik.
b) Xxxxxxx xxxxxxxxxxx přijatelných rizik.
(4) Xxxxxx x hodnocení xxxxx x xxxxx**
[§28 xxxx. 1 xxxx. x), §28 odst. 2 písm. x)]
x) Xxxxxxx xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx a xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx primárních xxxxx,
3. xxxxxxxxx primárních xxxxx x xxxxxxxx důvěrnosti, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxx podpůrných xxxxx (xxxxxxx xxx xxxxxx x xxxxx uvedené x §3 písm. x) xxxxxx)
1. identifikace x xxxxx xxxxxxxxxx xxxxx,
2. určení xxxxxxx xxxxxxxxxx aktiv,
3. určení xxxxx mezi xxxxxxxxxx x xxxxxxxxxx xxxxxx,
x) Xxxxxxxxxxxxxx x xxxxxxxxx xxxxx
1. posouzení možných xxxxxx xx xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx hrozeb,
3. xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx xxxxxxxxxxxx opatření,
4. xxxxxxxxx xxxxxx rizika, xxxxxxxxx této úrovně x xxxxxxxx pro xxxxxxxxxxxx rizik,
5. xxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxx
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. xxxxx xxxxxxxx x xxxxxx realizace.
(5) Xxxxxxxxxx o xxxxxxxxxxxxxxxx*
[§28 xxxx. 1 písm. x), §28 odst. 2 písm. x)]
x) Xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxx xxxxxx x xxxxxx xxxxx xx xxxxxxxxxxxxxx xxxxxx.
x) Xxxxxxx xxxxxxxxxx bezpečnostních opatření.
(6) Xxxx zvládání rizik**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx a cíle xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx zvládání rizik.
b) Xxxxxxxx xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx zvládání xxxxx.
x) Xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Termíny xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx opatření pro xxxxxxxx xxxxx.
(7) Xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 odst. 2 písm. x)]
x) Xxxxx x xxxxxxx xxxxxxx uživatelů.
b) Xxxxx x xxxxxxx poučení xxxxxxx aktiv (xxxxxxx xxx xxxxxx x xxxxx uvedené v §3 xxxx. x) xxxxxx).
x) Xxxxx a xxxxxxx xxxxxxx xxxxxxxxxxxxxx (xxxxxxx xxx xxxxxx x xxxxx uvedené x §3 písm. x) xxxxxx).
x) Xxxxx x termíny poučení xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
e) Xxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Formy x xxxxxxx xxxxxxxxx xxxxx.
(8) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 xxxx. i), §28 odst. 2 xxxx. x)]
x) Definování xxxxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxx x xxxxxxxx jednotlivých xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx systému xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxx zlepšování xxxxxxxxxxxx bezpečnosti.
(9) Xxxxxxxxx xxxxxx kontinuity xxxxxxxx**
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. x)]
x) Xxxxx a xxxxxxxxxx xxxxxxxxxxxx osob.
b) Xxxx xxxxxx xxxxxxxxxx xxxxxxxx
1. xxxxxxxxx xxxxxx poskytovaných xxxxxx,
2. xxxx xxxxxxxx xxxxx,
3. xxx xxxxxxxx xxxxx.
x) Xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx x xxxxxxxxxx souvisejících xxxxx.
x) Xxxxxx a xxxxx xxxxxxxxxx xxxxx xxxxxxxxxx.
x) Xxxxxxx xxx realizaci xxxxxxxx xxxxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx.
(10) Xxxxxxx xxxxxx závazných právních xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx předpisů x xxxxxxxxx závazků*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. x)]
x) Xxxxxxx xxxxxx závazných xxxxxxxx předpisů.
b) Přehled xxxxxxxxx předpisů x xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxx.
Xxxxxxxx:
* Xxxxxxxxx xxxxxxxxx dokumentu je xx xxxxxx xxxxxxx xxxxx xxxxxxxx uvedené x příloze č. 1: Hodnocení x xxxxxx aktiv.
** Xxxxxxxxx xxxxxxxxx xxxxxxxxx xx na xxxxxx xxxxxx xxxxx stupnice xxxxxxx v příloze č. 1: Xxxxxxxxx a xxxxxx xxxxx.
Xxxxxxx x. 5 x xxxxxxxx x. 316/2014 Sb.
Formulář hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu
Vyplnitelný formulář ve formátu PDF
Příloha x. 6 x vyhlášce č. 316/2014 Sb.
Formulář oznámení x xxxxxxxxx reaktivního xxxxxxxx x xxxx xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx x. 7 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx xxx xxxxxxx xxxxxxxxxxx údajů
Vyplnitelný formulář ve formátu PDF
Informace
Právní xxxxxxx x. 316/2014 Xx. nabyl xxxxxxxxx xxxx 1.1.2015.
Ke xxx xxxxxxxx xxxxxx xxxxxxx xxxxx xxxxx xx xxxxxxxxx.
Xxxxxx xxxxxxx x. 316/2014 Sb. xxx zrušen xxxxxxx xxxxxxxxx č. 82/2018 Sb. x xxxxxxxxx xx 28.5.2018.
Xxxxx xxxxxxxxxxxx xxxxxxxx norem xxxxxx právních xxxxxxxx x xxxxxxxx není xxxxxxxxxxxxx, xxxxx xx xxxx xxxxxx xxxxxxxxx xxxxx xxxxx uvedeného xxxxxxxx xxxxxxxx.
1) XXX/XXX 27001:2013, xxxxxxxx XXX XXX/XXX 27001:2014