Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
VYHLÁŠKA
ze dne 15. xxxxxxxx 2014
o xxxxxxxxxxxxxx xxxxxxxxxx, kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx, reaktivních xxxxxxxxxx x o stanovení xxxxxxxxxxx podání v xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx bezpečnostní úřad xxxxxxx podle §28 xxxx. 2 zákona x. 181/2014 Sb., x xxxxxxxxxxxx xxxxxxxxxxx x o xxxxx xxxxxxxxxxxxx xxxxxx (xxxxx x xxxxxxxxxxxx bezpečnosti), (xxxx xxx "xxxxx") x provedení §6 xxxx. a) xx x), §8 xxxx. 4, §13 xxxx. 4 a §16 xxxx. 6 zákona.
ČÁST XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxxx xxxxxxxxx se xxxxxxx xxxxx a xxxxxxxxx bezpečnostní xxxxxxxxxxx xxx informační xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury nebo xxxxxxxx xxxxxxxxxx systém, xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxx zavedení, xxxx x xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxxxxxxx x xxxxxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx, náležitosti oznámení x xxxxxxxxx reaktivního xxxxxxxx x xxxx xxxxxxxx x vzor xxxxxxxx xxxxxxxxxxx údajů x xxxx xxxxx.
§2
Xxxxxxxx xxxxx
X xxxx xxxxxxxx xx xxxxxx
x) xxxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx xxxxxxx xxxxxx xxxxxx x xxxxx uvedené x §3 xxxx. x) xx x) xxxxxx xxxxxxxx xx přístupu x xxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, která xxxxxxx xxxxxx xxxxxxxx, zavádění, xxxxxx, xxxxxxxxxxxx, přezkoumání, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx aktivum a xxxxxxxx xxxxxxx,
x) primárním xxxxxxx xxxxxxxxx nebo xxxxxx, kterou xxxxxxxxxx xxxx poskytuje xxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikační systém xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx,
x) podpůrným xxxxxxx xxxxxxxxx aktivum, zaměstnanci x dodavatelé xxxxxxxxxx xx xx xxxxxxx, xxxxxxx, správě xxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx, ve xxxxxxx xxxx tyto xxxxxxx xxxxxxxx,
x) rizikem xxxxxxx, xx určitá xxxxxx xxxxxxx zranitelnosti informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxx xxxxxx,
x) hodnocením xxxxx xxxxxx, při xxxx je xxxxxxxx xxxxxxxxxx xxxxx x xxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxx xxxxxxx xxxxxxxxxx hodnocení xxxxx, xxxxx x xxxxxxxx xxxxxxxx ke xxxxxxxx xxxxx, sdílení xxxxxxxxx x xxxxxx a xxxxxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, jejímž xxxxxxxxx xxxx xxx xxxxxxxxx aktiva,
j) zranitelností xxxxx místo xxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxx xxxxxxxx xxxxxx xxxx xxxx hrozbami,
k) xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, jehož úroveň xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxx soubor xxxxx x pravidel, které xxxxxx xxxxxx zajištění xxxxxxx xxxxx xxxxxxx x xxxxxx xxxxxxxx x §3 písm. x) xx x) xxxxxx,
x) xxxxxxxx xxxxxx xxxxxxx osoba pověřená xxxxxxx xxxx xxxxxx xxxxxxxx v §3 xxxx. c) až x) xxxxxx x xxxxxxxxx xxxxxxx, xxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx anebo xxxxx xxxxxxx xxxx, xxxxx využívá xxxxxxxx xxxxxx,
x) xxxxxxxxxxxxxxx fyzická xxxxx pověřená xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxx, xxxxxx, xxxxxxx, údržbu x xxxxxxxxxx xxxxxxxxxxx xxxxxx.
ČÁST DRUHÁ
BEZPEČNOSTNÍ OPATŘENÍ
HLAVA X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx x xxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx
x) stanoví x xxxxxxx xx xxxxxx x xxxxxxxxxxx bezpečnost xxxxxx x xxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx, ve kterém xxxx, xxxxxxx organizačních xxxxx a xxxxxxxxxxx xxxxx se systém xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx,
x) xxxx xxxxxx xxxxx §4 xxxx. 1,
x) vytvoří x xxxxxxx xxxxxxxxxxxx politiku x oblasti xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxx xxxxxxxx hlavní xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, práva x xxxxxxxxxx xx xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxx x xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x výsledků xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x dalších xxxxxxxxx xxxxx §5 x xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx xxxxxxxx bezpečnostních opatření,
e) xxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx §5,
x) zajistí xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §15, x to nejméně xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, xxxxx xxxxxxxx hodnocení xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx hodnocení xxxxx, xxxxxxxxx xxxxxxxx provedených xxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx, x xx xxxxxxx xxxxxx ročně,
h) aktualizuje xxxxxx řízení bezpečnosti xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx x x xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx a
i) řídí xxxxxx a xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, zaznamenává činnosti xxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxx informací x řízením xxxxx.
(2) Xxxxx a osoba xxxxxxx v §3 xxxx. e) xxxxxx x xxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxx xxxxxx podle §4 xxxx. 2,
b) xxxxxxx x schválí xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, xxxxx xxxxxxxx xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x povinnosti xx vztahu k xxxxxx xxxxxxxxxxx xxxxxxxxx x xx základě xxxxxxxxxxxxxx potřeb x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx politiku x xxxxxxx oblastech xxxxx §5, x xxxxxx příslušná bezpečnostní xxxxxxxx a
c) xxxxxxx xxxxxxxxxxx zprávy o xxxxxxxxx xxxxx x xxxxx, bezpečnostní xxxxxxxx, xxxxx xxxxxxxx xxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx povědomí, x xx xxxxxxx xxxxxx xx tři xxxx xxxx v xxxxxxxxxxx x prováděnými nebo xxxxxxxxxxx xxxxxxx.
§4
Řízení rizik
(1) Xxxxx x osoba xxxxxxx x §3 písm. x) x d) xxxxxx x rámci xxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x hodnocení xxxxx x pro identifikaci x hodnocení rizik xxxxxx xxxxxxxxx xxxxxxxx xxx přijatelnost xxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxx, xxxxx xxxxx xx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx §8 x xxxxxxx přílohy č. 1 x xxxx xxxxxxxx x výstupy xxxxxxxxx xx zprávy x xxxxxxxxx xxxxx a xxxxx,
x) identifikuje xxxxxx, xxx xxxxxxx zohlední xxxxxx x xxxxxxxxxxxxx, xxxxxxx xxxxx xxxxxx xx xxxxxx, xxxxxxx xxxx rizika xxxxxxxxx x xxxxxxx xxxxx přílohy č. 2 x xxxx xxxxxxxx, xxxx x xxxxxxx přijatelná rizika x zpracuje xxxxxx x hodnocení xxxxx x xxxxx,
x) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x výsledků xxxxxxxxx rizik prohlášení x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx přehled xxxxxxxxx x xxxxxxxxxx bezpečnostních xxxxxxxx,
x) xxxxxxxx a xxxxxx plán xxxxxxxx xxxxx, xxxxx xxxxxxxx xxxx x přínosy xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx, xxxxxx xxxxx zajišťující xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x xxxxxxxxxx zdroje, xxxxxx xxxxxx xxxxxxxx x xxxxx xxxxx xxxx xxxxxx x xxxxxxxxxxx bezpečnostními xxxxxxxxxx x
x) zohlední xxx xxxxxxxxxx xxxxxxx reaktivní x xxxxxxxx xxxxxxxx xxxxxx Xxxxxxxx bezpečnostním xxxxxx (xxxx jen "Xxxx") x xxxxxxxxx xxxxx a v xxxxxxx, xx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx reaktivního xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx kritéria xxx přijatelnost xxxxx, xxxxxx xxxx zvládání xxxxx.
(2) Xxxxx a xxxxx xxxxxxx v §3 písm. x) xxxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx xxxxxxxx xxx přijatelnost rizik,
b) xxxxxxxxxxxx x hodnotí xxxxxxxxxx primárních aktiv, xxxxx xxxxx xx xxxxxxx systému xxxxxx xxxxxxxxxxx informací, xxxxx §8 xxxxxxxxx v xxxxxxx přílohy č. 1 x xxxx xxxxxxxx x xxxxxxx zapracuje do xxxxxx o hodnocení xxxxx a xxxxx,
x) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxxxxx, xxxxxxx xxxxx xxxxxx na xxxxxxxx xxxxxx, xxxxxxx xxxx rizika minimálně x xxxxxxx xxxxx přílohy č. 2 x xxxx xxxxxxxx x zpracuje xxxxxx o xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxx xx základě xxxxxxxxxxxxxx potřeb a xxxxxxxx xxxxxxxxx rizik xxxxxxxxxx o xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx přehled xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) zpracuje x zavede xxxx xxxxxxxx xxxxx, xxxxx xxxxxxxx xxxx x xxxxxxx bezpečnostních opatření xxx xxxxxxxx rizik, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, technické, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxxx xxxxxx xxxxxxxx x xxxxx xxxxx xxxx xxxxxxxxxxxxxxxx xxxxxx a xxxxxxxxxxx xxxxxxxxxxxxxx opatřeními x
x) xxxxxxxx xxx xxxxxxxxxx xxxxxxx xxxxxxxxx a xxxxxxxx opatření xxxxxx Xxxxxx x xxxxxxxxx xxxxx x v xxxxxxx, že hodnocení xxxxx xxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx spojené x xxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx, xxxxxx plán xxxxxxxx xxxxx.
(3) Řízení rizik xxxx být zajištěno x jinými xxxxxxx, xxx jak xx xxxxxxxxx x xxxxxxxxxx 1 x 2, xxxxx xxxxx x xxxxx uvedená v §3 xxxx. x) xx x) xxxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx xxxxxxxxxxx stejnou xxxx xxxxx úroveň xxxxxx xxxxx.
(4) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxx xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxx xxxxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx činností, zneužití xxxxxxxxx ze xxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxx selhání xxxxxxxxxxx anebo programového xxxxxxxx,
x) xxxxxxxx xxxxxxxx xxxxxxx osoby,
d) xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx x xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx útok x xxxxxxxxxxx xxxx,
x) xxxxxxxx kód (xxxxxxxxx xxxx, xxxxxxx, xxxxxxx xxxx),
x) xxxxxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxxxx elektronických xxxxxxxxxx xxxx dodávek xxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxx údajů,
k) xxxxxx xxxxxxxx xxxxxx x
x) xxxxxxxx nebo xxxxxxxxx aktiva.
(5) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxx xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxx zranitelnosti
a) xxxxxxxxxxxx xxxxxxx xxxxxxxx perimetru,
b) xxxxxxxxxxxx bezpečnostní povědomí xxxxxxxxx a xxxxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx při identifikování x odhalení negativních xxxxxxxxxxxxxx xxxx, kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx,
x) xxxxxxxxxxxx monitorování činnosti xxxxxxxxx x administrátorů x xxxxxxxxxxx odhalit xxxxxx nevhodné xxxx xxxxxxx xxxxxxx chování x
x) nedostatečné xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxx xxxx x xxxxxxxxxx xxxxxxxxx, administrátorů x xxxxxxxxxxxxxx xxxx.
(6) Xxxxx x xxxxx uvedená x §3 písm. x) a d) xxxxxx xxx hodnocení xxxxx xxxx zvažuje xxxx xxxxxx
x) porušení xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx,
x) pochybení xx xxxxxx zaměstnanců,
c) zneužití xxxxxxxxx prostředků, sabotáž,
d) xxxxxxxxxx přerušení xxxxxxxxxxx xxxxxx elektronických xxxxxxxxxx, xxxxxxx xxxxxxxxxx energie xxxx xxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
x) cílený kybernetický xxxx xxxxxx sociálního xxxxxxxxxxx, xxxxxxx špionážních xxxxxxx x
x) xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxx.
(7) Orgán a xxxxx xxxxxxx x §3 xxxx. c) x d) zákona xxx xxxxxxxxx xxxxx xxxx xxxxxxx xxxx xxxxxxxxxxxxx
x) nedostatečná xxxxxxx xxxxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx,
x) nevhodná bezpečnostní xxxxxxxxxxxx,
x) nedostatečná xxxx xxxxxxxxx kontroly a
d) xxxxxxxxxxx včasného xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxxx.
§5
Xxxxxxxxxxxx politika
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxx bezpečnostní xxxxxxxx x oblastech
a) xxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) organizační bezpečnost,
c) xxxxxx vztahů x xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxxx,
x) xxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxx uživatelů,
i) xxxxxxxxxx x xxxxxx,
x) xxxxxxxx xxxxxxxxx a xxxxxx informací,
k) řízení xxxxxxxxxxx zranitelností,
l) bezpečné xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx a xxxxxxxx xxxxxxx programového vybavení x xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx a xxxxxxxxx xxxxxxxxx,
x) ochrana xxxxxxxx xxxxx,
x) xxxxxxx bezpečnost,
q) xxxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxxx xxxxxxxxx xxxxx,
x) nasazení x xxxxxxxxx xxxxxxxx xxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx,
x) využití x xxxxxx nástroje xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x
x) používání xxxxxxxxxxxxxx xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xxxxxx stanoví xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) organizační xxxxxxxxxx,
x) xxxxxx xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) bezpečnost xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxx x komunikací,
g) řízení xxxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x xxxxxx,
x) xxxxxxxxxxx x xxxxxxxx licencí xxxxxxxxxxxx xxxxxxxx a xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx před xxxxxxxxx xxxxx a
n) xxxxxxxx x používání xxxxxxxx xxx detekci kybernetických xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxxxxxxxxx hodnotí xxxxxxxx bezpečnostní politiky x aktualizuje ji.
§6
Xxxxxxxxxxx xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx zavede organizaci xxxxxx xxxxxxxxxxx informací, x rámci xxxxx xxxx xxxxx xxx xxxxxx kybernetické xxxxxxxxxxx x bezpečnostní role x xxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx systémem xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxx systémem xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxx xxxxxxxxxxx systémem.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) a x) zákona xxxx xxxxxxxxxxxx xxxx
x) manažer xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) auditor xxxxxxxxxxxx bezpečnosti x
x) xxxxxx aktiva xxxxx §2 písm. x).
(3) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xxxx xxxxxxxxxxxx xxxx přiměřeně xxxxx xxxxxxxx 2.
(4) Xxxxxxx kybernetické xxxxxxxxxxx xx xxxxx, odpovědná xx xxxxxx xxxxxx xxxxxxxxxxx informací, xxxxx xx pro xxxx xxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x řízením xxxxxxxxxxx informací xx xxxx nejméně xxx xxx.
(5) Architekt xxxxxxxxxxxx xxxxxxxxxxx je xxxxx xxxxxxxxxxx návrh x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xx xxx xxxx xxxxxxx vyškolena x prokáže odbornou xxxxxxxxxxx praxí s xxxxxxxxxxx bezpečnostní architektury xx dobu xxxxxxx xxx xxx.
(6) Xxxxxxx xxxxxxxxxxxx bezpečnosti xx xxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx xx xxxx xxxxxxx xxx let. Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx roli nestranně x xxxxx xxxx xxxx xx oddělen xx xxxxxx xxxx xxxxxxxxx v xxxxxxxx 2 xxxx. x), x) nebo x).
(7) Xxxxx pro řízení xxxxxxxxxxxx bezpečnosti je xxxxxxxxxxxx skupina xxxxxxx xxxxxxx, které xxxx xxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xx xxxxxxxx podílejí na xxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx těchto xxxxxxx.
(8) Orgán x xxxxx uvedená x §3 písm. x) xx x) xxxxxx xxxxxxx odborné xxxxxxx xxxx, xxxxx xxxxxxxxx xxxxxxxxxxxx role v xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 odst. 1 písm. x).
§7
Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx xxxxxx pravidla xxx xxxxxxxxxx, xxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, x xxxxxxxx je x xxxxxxxxxx xxxx xxxxxx xxxx, které se xxxxxxxx xx rozvoji, xxxxxxx nebo xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx informačního systému. Xxxxxx zapojení dodavatelů xx xxxxxxx, xxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxx uvedená x §3 písm. x) xx e) zákona xxxxxxxx, xxxxx součástí xx xxxxxxxxxx x xxxxxxxxxxx informací.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx u xxxxxxxxxx xxxxxxxxx x xxxxxxxx 1 xxxx
x) xxxx xxxxxxxxx smlouvy provádí xxxxxxxxx rizik xxxxx přílohy č. 2 x této xxxxxxxx, která xxxx xxxxxxx s xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx smlouvu x úrovni xxxxxx, xxxxx xxxxxxx xxxxxxx x xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx a xxxx xxxxx vzájemné xxxxxxx odpovědnosti za xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, a
c) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx a pravidelnou xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxx odstraňuje xxxx xx dohodě x xxxxxxxxxxx zajistí xxxxxx xxxxxxxxxx.
§8
Xxxxxx aktiv
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) až x) xxxxxx x rámci xxxxxx aktiv
a) xxxxxxxxxxxx x eviduje xxxxxxxx xxxxxx,
x) určí garanty xxxxx, kteří xxxx xxxxxxxxx za primární xxxxxx, a
c) hodnotí xxxxxxxxxx xxxxxxxxxx xxxxx x hlediska xxxxxxxxxx, xxxxxxxxx a dostupnosti x xxxxxx xx xx xxxxxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxx xxxxx přílohy č. 1 x xxxx xxxxxxxx.
(2) Při xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx xx xxxxx xxxxxxxxx posoudit
a) rozsah x xxxxxxxxxx osobních xxxxx nebo xxxxxxxxxx xxxxxxxxx,
x) xxxxxx dotčených xxxxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxxxx činností,
d) xxxxxxxxx xxxxxxxxx, xxxxxxxxxx xxxx xxxxxxxxxxxx zájmů,
e) xxxxx xxxxxxxx ztráty,
f) xxxxxx xxxxxxxx běžných xxxxxxxx orgánu a xxxxx uvedené v §3 xxxx. x) xx x) zákona,
g) xxxxxx xxxxxxx x xxxxxxxxx důvěrnosti, xxxxxxxxx x xxxxxxxxxxx x
x) xxxxxx xx xxxxxxxxx xxxxxxx jména nebo xxxxxxx xxxxx pověsti.
(3) Xxxxx x osoba xxxxxxx x §3 xxxx. c) x x) zákona xxxx
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxx aktiva,
b) určí xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xx xxxxxxxx xxxxxx, x
x) xxxx vazby mezi xxxxxxxxxx a xxxxxxxxxx xxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.
(4) Xxxxx x xxxxx uvedená v §3 xxxx. x) xx x) xxxxxx xxxx
x) xxxxxxx pravidla xxxxxxx, xxxxx xxx xxxxxxxxxxx jednotlivých xxxxxx xxxxx xxx, xx
1. xxxx xxxxxxx rozlišování xxxxxxxxxxxx úrovní xxxxx,
2. xxxxxxx xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx x xxxxxx xxxxx xxxxxx xxxxx, xxxxxx xxxxxxxx pro xxxxxxxx xxxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxxx xxxxx x
3. stanoví xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx,
x) xxxxxx pravidla xxxxxxx xxxxxxxxxxxx xxxxxx aktiv x
x) xxxx xxxxxxx xxx spolehlivé xxxxxxx xxxx ničení technických xxxxxx xxx s xxxxxxx xx xxxxxx xxxxx.
§9
Xxxxxxxxxx xxxxxxxx xxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxx řízení xxxxxxxxxxx xxxxxxxx zdrojů
a) stanoví xxxx rozvoje bezpečnostního xxxxxxxx, který xxxxxxxx xxxxx, xxxxx x xxxxxx xxxxxxxxxx školení x určí xxxxx xxxxxxxxxxx xxxxxxxxx jednotlivých xxxxxxxx, které jsou x plánu xxxxxxx,
x) x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx zajistí poučení xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx o xxxxxx xxxxxxxxxxxx a x xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx a xxxxxxxxxxxx xxxxxxx,
x) zajistí xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) xxxxxxx vrácení xxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
(2) Xxxxx x osoba xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxx x xxxxxxx podle xxxxxxxx 1 xxxxxxxx, xxxxx obsahují předmět xxxxxxx a xxxxxx xxxx, které xxxxxxx xxxxxxxxxxx.
(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx xxxx
x) xxxxxxx pravidla xxx xxxxxx osob, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx role, role xxxxxxxxxxxxxx nebo xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx xxxxxxx bezpečnostního povědomí, xxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxx xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxx porušení xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx strany xxxxxxxxx, xxxxxxxxxxxxxx a osob xxxxxxxxxxxxx bezpečnostní xxxx x
x) zajistí změnu xxxxxxxxxxxx oprávnění xxx xxxxx xxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx xxxx osob xxxxxxxxxxxxx xxxxxxxxxxxx role.
§10
Xxxxxx xxxxxxx x xxxxxxxxxx
(1) Orgán a xxxxx uvedená v §3 xxxx. x) xx e) xxxxxx x rámci xxxxxx xxxxxxx x komunikací xxxxxx technických xxxxxxxx xxxxxxxxx x §21 xx 23 xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx události, xxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxx x xx xxxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxx x §13.
(2) Xxxxx a xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx x xxxxx řízení xxxxxxx a xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xx xxxxx účelem xxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx.
(3) Xxxxxxxx xxxxxxxx x xxxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxxxxxx
x) xxxxx x xxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, administrátorů x xxxxxxxxx,
x) xxxxxxx pro xxxxxxxx a xxxxxxxx xxxxx xxxxxxx, pro xxxxxxx xxxx xxxxxxxx xxxxx xxxxxxx xx xxxxxxx a pro xxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxxxxx jevů,
c) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxx ochranu xxxxxxxx x záznamům x xxxxxx činnostech,
d) xxxxxxx xx xxxxxxxxx xxxxx, xxxxx xxxx xxxxxx xxxx podpora xxx xxxxxx xxxxxxxxxxxxx xxxxxxxxxxx nebo xxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxx a
f) xxxxxxx xxx sledování, xxxxxxxxx x xxxxxx kapacity xxxxxxxx x xxxxxxxxxxx xxxxxx.
(4) Řízení xxxxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. c) xx x) xxxxxx spočívá x provádění xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxx provedených xxxxx.
(5) Xxxxxx xxxxxxx orgánu x xxxxx uvedené x §3 písm. x) x d) xxxxxx xxxxxxx x
x) xxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx Úřadem xxx, xx xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx
1. posoudí xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xx informační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxx systém xxxxxxxx informační xxxxxxxxxxxxxx x na zavedená xxxxxxxxxxxx opatření, xxxxxxxxx xxxxx xxxxxxxxx účinky x xxx xxxxxxxxxx xxxxxxx xx xxxxxx Xxxxx x
2. xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx opatření, xxxxx xxxxxxxxxxxx xxxxx negativní xxxxxx, a xxxx xxxxxx xxxx xxxx xxxxxxxxx.
(6) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx x rámci xxxxxx xxxxxxxxxx
x) zajišťuje xxxxxxxxxx x integritu xxxxxxxxxxxxx xxxx x bezpečnost xxxxxxxxxxxxx služeb xxxxx §17,
x) xxxx xxxxxxxx x xxxxxxx pro xxxxxxx informací, xxxxx xxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx,
x) xxxxxxx výměnu x předávání informací xx základě xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx xx současného zajištění xxxxxxxxxxx xxxxxxxxx x xxxx pravidla xxxxxxxxxxx x
x) x xxxxxxx xx xxxxxxxxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxx na xxxxxxx xxxxxxxxx xxxxx, xxxxxxx xxxxxxxx xx xxxxxxxxxx o xxxxxxxxxxx xxxxxxxxx.
§11
Řízení xxxxxxxx x xxxxxxxx xxxxxxx uživatelů
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx na xxxxxxx provozních x xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxx x xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačnímu xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx a přidělí xxxxxxx xxxxxxxxx jednoznačný xxxxxxxxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxxxxx xxxxxxxx, xxxxx xxxxxx x zajištění xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx uživatelů a xxxxxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx §18 x 19, x která xxxxx xx xxxxxxxx xxxxxx xxxxx neoprávněnou xxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx x xxxxx xxxxxx přístupu
a) xxxxxxx xxxxxxxxxxxxx xxxxxxxxx samostatný xxxxxxxxxxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxxxx oprávnění,
c) přiděluje x xxxxxxx xxxxxxxxxx xxxxxxxxx x souladu x xxxxxxxxx xxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx nastavení xxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx skupinách nebo xxxxxx,
x) využívá nástroj xxx xxxxxxxxx identity xxxxxxxxx xxxxx §18 x xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §19 x
x) xxxxxx bezpečnostní xxxxxxxx xxxxxxxx pro xxxxxxxx xxxxxxxxx mobilních xxxxxxxx, xxxxxxxx i xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxx a xxxxx xxxxxxx v §3 xxxx. x) x d) xxxxxx xxxxxxxxxxx.
§12
Xxxxxxxx, vývoj a xxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxxxxxxx požadavky xx změny informačního xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx s xxxxxx xxxxxxxx, xxxxxxx x xxxxxxx x xxxxxx je do xxxxxxxx akvizice, xxxxxx x údržby systému.
(2) Xxxxx x osoba xxxxxxx v §3 xxxx. x) x x) zákona xxxx
x) xxxxxxxxxxxx, xxxxxxx a xxxx xxxxxx xxxxxxxxxxx x akvizicí, vývojem x údržbou xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx; xxx xxxxxxx xxxxxxxxx x xxxxxx xxxxx xx xxxxxxxx xxxxx §4 odst. 1 xxxx. x) xxxxxxx obdobně,
b) xxxxxxx xxxxxxxxxx vývojového prostředí x xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxx x
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx změn informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxx xxxxxxxxx xx provozu.
§13
Zvládání kybernetických bezpečnostních xxxxxxxx x incidentů
Orgán x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx
x) xxxxxx nezbytná xxxxxxxx, která xxxxxxx xxxxxxxxxx kybernetických bezpečnostních xxxxxxxx u informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxx informačního xxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní xxxx x x xxxxxxxxxx vede xxxxxxx,
x) xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxxxx bezpečnostních xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx nástroji xxxxx §21 xx 23, xxxxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxx xxx odvrácení x zmírnění xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §32 x zajistí xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx analýzu xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx a xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx x xx xxxxxxx xxxxxxxxxxx stanoví xxxxx bezpečnostní xxxxxxxx x zamezení xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxx kybernetických bezpečnostních xxxxxxxxx.
§14
Xxxxxx xxxxxxxxxx xxxxxxxx
(1) Xxxxx a osoba xxxxxxx v §3 xxxx. c) xx x) xxxxxx x xxxxx řízení xxxxxxxxxx xxxxxxxx stanoví
a) práva x povinnosti xxxxxxx xxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) cíle řízení xxxxxxxxxx činností xxxxxx xxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx služeb, xxxxx xx xxxxxxxxxx xxx xxxxxxx, provoz x xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
2. xxxx xxxxxxxx xxxxx, xxxxx xxxxx xxxx xx kybernetickém bezpečnostním xxxxxxxxx xxxxxxxx minimální xxxxxx poskytovaných xxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo významného xxxxxxxxxxxx xxxxxxx, x
3. xxxx obnovení xxx xxxx termínu, xx xxxxxxx budou xxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx, x
x) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx, xxxxx obsahuje xxxxxxxx xxxx podle xxxxxxx b).
(2) Orgán x osoba xxxxxxx x §3 xxxx. x) a d) xxxxxx xxxx
x) vyhodnotí x xxxxxxxxxxx možné xxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx xxxxxx související x ohrožením kontinuity xxxxxxxx,
x) xxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxx xxxxx kontinuity xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury,
c) xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxxxxxx bezpečnostnímu xxxxxxxxx x využívá xxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx §26 a
d) xxxxxxx x xxxxxxxxxxx xxxxxxx xxx provedení xxxxxxxx xxxxxxxx Xxxxxx xxxxx §13 x 14 xxxxxx, xx xxxxxxx xxxxxxxx
1. xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxx xxxxxxxx,
2. xxxx xxxxxxxxx bezpečnostních xxxxxxxx x
3. xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx dopadů xx xxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx systému xxxxxxxx informační infrastruktury.
§15
Xxxxxxxx x xxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačních xxxxxxx
(1) Xxxxx x xxxxx uvedená v §3 xxxx. c) xx x) xxxxxx x rámci xxxxxxxx x xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx informačních xxxxxxx (xxxx xxx "audit xxxxxxxxxxxx xxxxxxxxxxx")
x) posuzuje xxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxxx xx x xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx systému x určí xxxxxxxx xxx xxxx prosazování x
x) provádí x xxxxxxxxxxx pravidelné kontroly xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x výsledky xxxxxx xxxxxxx zohlední v xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x plánu xxxxxxxx rizik.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx zajišťuje xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxxx xxxxx §6 xxxx. 6, xxxxx xxxxxxx xxxxxxxxx a xxxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx a xxxxx xxxxxxx v §3 písm. x) x x) xxxxxx xxxx xxx xxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx provádí xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx automatizovaných xxxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxx x xxxxxxx xx zjištěné zranitelnosti.
HLAVA II
TECHNICKÁ XXXXXXXX
§16
Xxxxxxx xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx e) xxxxxx x xxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx x zamezení xxxxxxxxxxxxx xxxxxx xx xxxxxxxxxx xxxxxxx, kde xxxx xxxxxxxxxxxx informace x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx nezbytná xxxxxxxx x zamezení xxxxxxxxx x zásahům xx xxxxxxxxxx prostor, kde xxxx xxxxxxxx xxxxxxxxx x xxxxxxxx technická xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury nebo xxxxxxxxxx xxxxxxxxxxxx systému, x
x) předchází xxxxxxxxx, xxxxxxx nebo xxxxxxxx xxxxx nebo xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx významného informačního xxxxxxx.
(2) Orgán x xxxxx xxxxxxx v §3 xxxx. c) x d) zákona xxxx xxxxxxxxx xxxxxxxxxx xxxxxxx bezpečnosti
a) xxx xxxxxxxxx ochrany xx xxxxxx xxxxxxx x
x) xxx zajištění xxxxxxx x xxxxx objektů xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxx prostor, ve xxxxxxx xxxx xxxxxxxx xxxxxxxxx aktiva informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx.
(3) Xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxx
x) xxxxxxxxxx zábranné xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxx xxxxxxxx xxxxxx,
x) xxxxxxxx xxxxxxx,
x) xxxxxxxx xxx zajištění xxxxxxx xxxx selháním xxxxxxx xxxxxxxxxxxx napájení x
x) xxxxxxxx xxx zajištění xxxxxxxxxxx provozních xxxxxxxx.
§17
Xxxxxxx xxx ochranu xxxxxxxxx xxxxxxxxxxxxx sítí
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) až x) zákona xxx xxxxxxx integrity xxxxxxxx xxxxxx xxxxxxxxxxx xxxx, xxxxx není xxx xxxxxxx orgánu xxxx xxxxx, a xxxxxxx xxxxxxxxxxx xxxx, která xx xxx správou xxxxxx nebo xxxxx, xxxxxx
x) řízení bezpečného xxxxxxxx xxxx vnější x vnitřní xxxx,
x) xxxxxxxxxx xxxxxxx použitím xxxxxxxxxxxxxxxxxx xxx jako xxxxxxxxxxx xxxx sítě xxxxxxxxxxx xx xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx x xxxxxx sítě x x zamezení xxxxx xxxxxxxxxx xxxxxxx xxxx s xxxxxx xxxx,
x) kryptografické prostředky (§25) xxx xxxxxxxx xxxxxxx, xxxxxxxxx xxxxxx xxxx xxx xxxxxxx xxxxxx xxxxxxxxxxxx technologií x
x) xxxxxxxx xxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx dat, které xxxxxxxxxxxx xxxxxxxxxx na xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. c) x x) xxxxxx xxxx xxxxxxx nástroje xxx xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxx, xxxxx xxxxxxx xxxx xxxxxxxxxx.
§18
Xxxxxxx xxx xxxxxxxxx xxxxxxxx uživatelů
(1) Orgán x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxxxx nástroje xxx xxxxxxx xxxxxxxx xxxxxxxxx x administrátorů xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx systému.
(2) Xxxxxxx xxx ověřování xxxxxxxx xxxxxxxxx a administrátorů xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx x administrátorů xxxx zahájením jejich xxxxxxx x xxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx, komunikačním xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxx informačním xxxxxxx.
(3) Xxxxxxx pro xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxx xxxxxxx autentizaci xxxxx heslem, xxxxxxxxx
x) xxxxxxxxx xxxxx hesla xxx znaků,
b) minimální xxxxxxxxx hesla tak, xx xxxxx xxxx xxxxxxxxx xxxxxxx 3 x xxxxxxxxxxxxx xxxx xxxxxxxxx
1. nejméně xxxxx xxxxx xxxxxxx,
2. xxxxxxx xxxxx xxxx písmeno,
3. xxxxxxx xxxxx xxxxxxx, xxxx
4. nejméně xxxxx xxxxxxxxx xxxx xxxxxxx xx xxxxxxxxx xxxxxxxxx x xxxxxx 1 xx 3,
c) maximální xxxx xxx xxxxxxxx xxxxxx xxxxx nepřesahující xxx xxx; xxxxx xxxxxxxxx xxxx vyžadován xxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(4) Xxxxx a xxxxx uvedená x §3 xxxx. c) x d) zákona xxxx
x) používá nástroj xxx xxxxxxx xxxxxxxx, xxxxx
1. zamezí xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxx x neumožní xxxx změn hesla xxxxxxx xxxxxxxxx během xxxxxxxxxxx xxxxxx, xxxxx xxxx xxx xxxxxxx 24 xxxxx, a
2. xxxxxxx xxxxxxxx ověření xxxxxxxx xx xxxxxx xxxx nečinnosti x
x) xxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx. X xxxxxxx, xx xxxxx nástroj využívá xxxxxxxxxxx heslem, xxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxx xxxxx xxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx. b) x x).
(5) Xxxxxxx xxx xxxxxxxxx identity uživatelů xxxx xxx zajištěn x xxxxxx způsoby, xxx jaké xxxx xxxxxxxxx v odstavcích 3 xx 5, xxxxx xxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx vyšší úroveň xxxxxxxxx xxxxx.
§19
Xxxxxxx xxx řízení xxxxxxxxxxxx oprávnění
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až e) xxxxxx používá nástroj xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx xxxxxx xxxxxxxxx
x) xxx xxxxxxx k jednotlivým xxxxxxxxx x xxxxx x
x) pro čtení xxx, xxx xxxxx xxx a xxx xxxxx xxxxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxx xxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x výsledky hodnocení xxxxx.
§20
Xxxxxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxx
Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxx řízení xxxxx spojených s xxxxxxxxx xxxxxxxxxx xxxx xxxxxxx nástroj xxx xxxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému xxxx xxxxxxxxx kódem, xxxxx zajistí xxxxxxx x xxxxxx kontrolu
a) xxxxxxxxxx xxxx vnitřní xxxx x xxxxxx xxxx,
x) xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxx x
x) xxxxxxxxxx stanic,
přičemž xxxxxxx pravidelnou x xxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxx xxxxxxxxx kódem, xxxx xxxxxxx a xxxxxxxx.
§21
Nástroj pro zaznamenávání xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx systémů, xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) až x) xxxxxx používá xxxxxxx pro xxxxxxxxxxxxx xxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačního systému, xxxxx zajistí
a) xxxx xxxxxxxxx o xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxx činnosti, xxxxx x xxx, xxxxxxxxxxxx technického xxxxxx, xxxxx xxxxxxx xxxxxxxxxxx, xxxxxxxxxxxx původce x xxxxx činnosti x xxxxxxxxx nebo neúspěšnost xxxxxxxx x
x) xxxxxxx xxxxxxxxx informací xxxx xxxxxxxxxxxx čtením nebo xxxxxx.
(2) Orgán x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxx xxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému zaznamenává
a) xxxxxxxxxx x xxxxxxxxx xxxxxxxxx x administrátorů,
b) xxxxxxxx xxxxxxxxx administrátory,
c) xxxxxxxx vedoucí xx xxxxx přístupových xxxxxxxxx,
x) xxxxxxxxxxx činností x xxxxxxxx nedostatku xxxxxxxxxxxx xxxxxxxxx x další xxxxxxxxx xxxxxxxx uživatelů,
e) xxxxxxxx x ukončení xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x významného xxxxxxxxxxxx xxxxxxx,
x) automatická xxxxxxx xxxx chybová xxxxxxx technických aktiv,
g) xxxxxxxx k záznamům x činnostech, xxxxxx x manipulaci se xxxxxxx x xxxxxxxxxx x změny xxxxxxxxx xxxxxxxx pro xxxxxxxxxxxxx xxxxxxxx a
h) xxxxxxx xxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxx včetně xxxxx xxxxx, které xxxxxx x xxxxxxxxxx.
(3) Orgán x osoba uvedená x §3 písm. x) x d) xxxxxx xxxxxxx činností xxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxxx xxxxxxx xx xxxx 3 xxxxxx.
(4) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxxxxxx nejméně xxxxxx xx 24 xxxxx xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx technických aktiv xxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného informačního xxxxxxx.
§22
Xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
(1) Xxxxx a osoba xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxxxxx xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx vychází xx xxxxxxxxxxx bezpečnostních xxxxxx x xxxxxxxx hodnocení xxxxx x xxxxx xxxxxxx xxxxxxx, xxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxx mezi xxxxxxx xxxxxxxxxxx sítí a xxxxxx xxxx.
(2) Orgán x osoba uvedená x §3 písm. x) x x) xxxxxx xxxx používá xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx zajistí xxxxxxx, xxxxxxxx x xxxxxxxx xxxxxxxxxxx komunikace
a) x xxxxx xxxxxxx xxxxxxxxxxx xxxx a
b) xxxxxxx xxxxxxxxx do informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx.
§23
Xxxxxxx xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) a d) xxxxxx xxxxxxx nástroj xxx xxxx a xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx x souladu x xxxxxxxxxxxxxx potřebami x xxxxxxxx xxxxxxxxx rizik xxxxxxx
x) xxxxxxxxxxx sběr x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxx určené xxxxxxxxxxxx xxxx o xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikačním xxxxxxx xxxx x xxxxxxxxxx infrastruktury x
x) xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx s xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů, xxxxxx xxxxxxxx xxxxxxxx určených xxxxxxxxxxxxxx xxxx.
(2) Xxxxx x osoba uvedená x §3 xxxx. x) x x) xxxxxx xxxx xxxxxxx
x) xxxxxxxxxxx xxxxxxxxxxx nastavení xxxxxxxx pro vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x včasné varování, xxx xxxx omezovány xxxxxxx nesprávného vyhodnocení xxxxxxxx xxxx xxxxxxx xxxxxxxxx varování, x
x) xxxxxxxxx xxxxxxxxx, které xxxx xxxxxxxxxx nástrojem xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému kritické xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§24
Aplikační xxxxxxxxxx
(1) Xxxxx x osoba uvedená x §3 xxxx. x) xx x) xxxxxx xxxxxxx bezpečnostní xxxxx xxxxxxxxxxxxx aplikací, xxxxx xxxx přístupné x xxxxxx sítě, x xx před xxxxxx uvedením xx xxxxxxx a xx xxxxx xxxxxxx xxxxx xxxxxxxxxxxxxx xxxxxxxxxx.
(2) Orgán x osoba uvedená x §3 xxxx. x) a x) xxxxxx dále v xxxxx aplikační bezpečnosti xxxxxxx xxxxxxx xxxxxxx
x) xxxxxxxx x xxxxxxxxx xxxxxxxxxx x xxxxxx xxxx xxxx xxxxxxxxxxxx xxxxxxxx, popřením xxxxxxxxxxx xxxxxxxx, xxxxxxxxxxxx xxxx xxxxxxxxxxxxxxx xxxxxx x
x) xxxxxxxxx xxxx xxxxxx xxxxxxxxxxxx, nesprávným směrováním, xxxxxxxxxxxxxxx změnou předávaného xxxxxxxx xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxx.
§25
Kryptografické prostředky
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx
x) xxx používání xxxxxxxxxxxxxx ochrany stanoví
1. xxxxxx ochrany s xxxxxxx xx typ x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx x
2. xxxxxxxx xxxxxxxxxxxxxx ochrany xxxxxxxxx xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx nebo xxx xxxxxxx xx xxxxxxx xxxxxxxx nebo xxxxxxxxxxx technické xxxxxx xxx x
x) x xxxxxxx x bezpečnostními xxxxxxxxx x výsledky xxxxxxxxx xxxxx používá xxxxxxxxxxxxxx xxxxxxxxxx, které xxxxxxx xxxxxxx xxxxxxxxxx x integrity předávaných xxxx ukládaných dat x xxxxxxxxx xxxxxxxxxxxx xxxxx xx xxxxxxxxx xxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x d) xxxxxx xxxx
x) stanoví pro xxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxx xxxxx, xxxxx xxxxxxx generování, xxxxxxxxxx, xxxxxxxx, xxxxxxxxx, xxxxx, xxxxxx, xxxxxxxx x xxxxx xxxxx, x
x) xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxx; x xxxxxxx xxxxxxxxx x xxxxxxxxxxx požadavky na xxxxxxxxxxxxxx algoritmy xxxxxxxxx x příloze č. 3 k xxxx vyhlášce xxxx xxxxxx spojená x xxxxx xxxxxxxxxx.
§26
Xxxxxxx pro xxxxxxxxxxx xxxxxx xxxxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) až x) xxxxxx x xxxxxxx x bezpečnostními xxxxxxxxx x výsledky xxxxxxxxx xxxxx používá xxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx informací.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx používá xxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, který xxxxxxx
x) xxxxxxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx pro xxxxxxx xxxx řízení xxxxxxxxxx xxxxxxxx,
x) xxxxxxxx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx vůči xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, které xx xxxxx xxxxxx xxxxxxxxxx, x
x) xxxxxxxxxx xxxxxxxxxx technických xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx
1. xxxxxxxx xxxxxxxxxx v xxxxxx xxxxxx x
2. xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxx xxxx.
§27
Xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx
Xxxxx x xxxxx uvedená x §3 xxxx. c) x d) xxxxxx xxx xxxxxxxxxx průmyslových x xxxxxxxx systémů, xxxxx xxxx informačním xxxxxxxx kritické informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxxx xxxx xxxxxx součástí, xxxxxxx xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx xxxxxxxxx přístupu x síti x xxxxxxxxx xxxxxxxxxxxx x xxxxxxxx systémů,
b) omezení xxxxxxxxx a vzdáleného xxxxxxxx x síti xxxxxxxxxxxx a xxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx x řídicích xxxxxxx xxxx xxxxxxxx známých xxxxxxxxxxxxx a
d) obnovení xxxxx xxxxxxxxxxxx a xxxxxxxx systémů po xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu.
XXXXX XXX
XXXXXXXXXXXX XXXXXXXXXXX
§28
Xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxx a xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxx xxxxx §5 xxxx. 1,
x) xxxxxx x xxxxxx xxxxxxxxxxxx bezpečnosti xxxxx §3 xxxx. 1 xxxx. f),
c) xxxxxx z xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx podle §3 xxxx. 1 xxxx. x),
x) metodiku xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x pro xxxxxxxxxxxx x xxxxxxxxx xxxxx,
x) xxxxxx o xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxxxx o xxxxxxxxxxxxxxxx,
x) xxxx xxxxxxxx xxxxx,
x) xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 odst. 1 xxxx. x),
x) zvládání xxxxxxxxxxxxxx bezpečnostních incidentů xxxxx §13 xxxx. x),
x) xxxxxxxxx řízení xxxxxxxxxx xxxxxxxx xxxxx §14 xxxx. 1 xxxx. x) x
x) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx a xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx podle §15 xxxx. 1 xxxx. x).
(2) Xxxxx x osoba uvedená x §3 xxxx. x) zákona xxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx obsahuje
a) xxxxxxxxxxxx politiku xxxxx §5 odst. 2,
b) xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x pro identifikaci x hodnocení rizik xxxxx §4 xxxx. 2 xxxx. a),
c) xxxxxx x xxxxxxxxx xxxxx a rizik xxxxx §4 odst. 2 xxxx. x) x x),
x) xxxxxxxxxx x xxxxxxxxxxxxxxxx xxxxx §4 xxxx. 2 xxxx. d),
e) xxxx xxxxxxxx xxxxx xxxxx §4 xxxx. 2 xxxx. x),
x) xxxx xxxxxxx bezpečnostního xxxxxxxx xxxxx §9 odst. 1 xxxx. x),
x) xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. x),
x) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxx §14 xxxx. 1 xxxx. c) x
x) přehled xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx předpisů x smluvních závazků xxxxx §15 odst. 1 písm. a).
(3) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) až x) xxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx tak, xxx xxxxxxx x xxxxxxxxxxx činnostech byly xxxxx, čitelné, xxxxxx xxxxxxxxxxxxxxxxx x xxx xx xxxx snadno xxxxxxxx. Opatření xxxxxxxx x identifikaci, xxxxxxx, xxxxxxx, vyhledání, xxxx xxxxxxxxx x xxxxxxxxxx xxxxxxx x provedených xxxxxxxxxx dokumentuje.
(4) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxx v příloze č. 4 k xxxx xxxxxxxx.
§29
Xxxxxxxxx xxxxxxxxxxx
Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx e) xxxxxx, xxxxx informační xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx xx xxxxx xxxxxxx xx rozsahu xxxxxxx xxxxxx bezpečnosti informací, xxxxx xxx certifikován xxxxx xxxxxxxxx technické xxxxx1) xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx, x která xxxx xxxxxxxxx obsahující
a) xxxxx rozsahu xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx x xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxx a xxxxxx x xxxxxxxxx xxxxx,
x) xxxxxxxxxx o aplikovatelnosti,
e) xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx informací splňující xxxxxxxxx xxxxxxxxx technické xxxxx xxxxxxxxxx se xxxxxxxxxxx informací1),
f) xxxxxx x přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx informací xxxxxx souvisejících xxxxxx x xxxxxxx přezkoumání x
x) zprávu x xxxxxx xxxxxxxxxxx certifikačním xxxxxxx včetně xxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxxx neshod s xxxxxxxxxx normou,
splňuje požadavky xx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx zákona x xxxx vyhlášky.
XXXX XXXXX
XXXXXXXXXXXX BEZPEČNOSTNÍ XXXXXXXX
§30
Xxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Podle xxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobený xxxxxxxxxxxxx útokem xxxx xxxxx událostí xxxxxxx x průniku do xxxxxxx xxxx x xxxxxxx xxxxxxxxxxx služeb,
b) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx kódem,
c) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx spojený x projevem trvale xxxxxxxxxx xxxxxx x
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx způsobené kybernetickým xxxxxx.
(2) Xxxxx xxxxxx xxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx typů
a) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx důvěrnosti aktiv,
b) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx xxxxxxxx integrity xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxxx dopadů xxxxxxxxx v písmenech x) xx c).
§31
Xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Xxx xxxxxxx xxxxxxxx kybernetických bezpečnostních xxxxxxxxx xx podle xxxxxxxx x negativních xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx do xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx xxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx neprodlené xxxxxx xxxxxxx x xxx, xx xxxx být xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx dalšímu xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace xxxxxxxxx x xxxxxxxxxxxxx škod.
b) Xxxxxxxxx XX - xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, při xxxxxx xx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx neprodlené xxxxxx xxxxxxx s tím, xx xxxx být xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx šíření xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
x) Xxxxxxxxx X - xxxx xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx xxxxxx xxxxxxx k xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx. Jeho řešení xxxxxxxx xxxxxx obsluhy x tím, xx xxxx xxx xxxxxxxx xxxxxxxxxx omezeno xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace xxxxxxxxx škod.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle odstavce 1 zohlední
a) důležitost xxxxxxxxx xxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační infrastruktury, xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxx xx xxxxxx poskytované xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačními xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, nebo xxxxxxxxxx xxxxxxxxxxxx systémy x
x) xxxxxxxxxxxxx xxxxx x xxxxx xxxxxx.
§32
Xxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona xxxxx kybernetický xxxxxxxxxxxx xxxxxxxx
x) x xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxx
1. xxxxxxxxxxxxxx xxxxxxxxx zveřejněného na xxxxxxxxxxxxx xxxxxxxxx Úřadu,
2. xxxxxx na xxxxxx xxxxxxxxxxxx xxxxx Xxxxx xxxxxx pro příjem xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx,
3. xxxxxx xxxxxx xx xxxxxx xxxxxxxx Xxxxx, xxxx
4. xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xxxxx xx xxxxxxxxx xx internetových xxxxxxxxx Xxxxx, anebo
b) x xxxxxxxx xxxxxx xx xxxxxx Xxxxxxxxx centra xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxx xx internetových xxxxxxxxx Xxxxx.
(2) Hlášení x xxxxxxxx podobě xx xxxxxx pouze x xxxxxxxxx, kdy xxxxx xxxxxx žádný xx xxxxxxx xxxxxxxxx v xxxxxxxx 1 xxxx. x).
(3) Náležitosti xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxx uvedeny v příloze č. 5 x xxxx xxxxxxxx.
ČÁST XXXXXX
XXXXXXXXX XXXXXXXX X XXXXXXXXX XXXXX
§33
Xxxxxxxxx xxxxxxxx
Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx oznámí xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx výsledek xx xxxxxxxxx, jehož xxxx xx xxxxxx x příloze č. 6 k xxxx xxxxxxxx.
§34
Xxxxxxxxx údaje
Orgán x xxxxx xxxxxxx x §3 xxxxxx xxxxxxxx xxxxxxxxx údaje xx xxxxxxxxx, xxxxx vzor xx uveden v příloze č. 7 k této xxxxxxxx. Xxxxx a xxxxx uvedená v §3 xxxx. x) xx x) zákona xxxxxxxx kontaktní xxxxx xxxxxx xxxxxxxx x §32 xxxx. 1 xxxx. x).
XXXX PÁTÁ
ÚČINNOST
§35
Tato xxxxxxxx xxxxxx účinnosti dnem 1. ledna 2015.
Xxxxxxx:
Xxx. Xxxxxxxx x. r.
Příloha x. 1 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx a xxxxxx xxxxxxxxxxx xxxxx
Xxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxx použity xxxxxxxx x čtyřech xxxxxxxx. Xxxxx nebo xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx může xxxxxxxx xxxxxxx xxxxx xxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxx, xxx xxxx je xxxxxx x této xxxxxxx, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx a stupnicemi x úrovněmi xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx jsou xxxxxxx x xxxx xxxxxxx.
X xxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xx xxxxxxxxx xxxxxxx xxx xxxxxx xxxxx x xxxxxxx, xxxx xxxxxx xxxxxx x xxxxxxxx.
Xxxxxxxx pro xxxxxxxxx důvěrnosti
|
Úroveň |
Popis |
Ochrana |
|
Nízká |
Aktiva jsou xxxxxxx xxxxxxxxx xxxx xxxx určena xx xxxxxxxxxx (xxxx. xx xxxxxxx xxxxxx č. 106/1999 Sb., x svobodném přístupu x xxxxxxxxxx, xx xxxxx xxxxxxxxxx xxxxxxxx). Xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxx oprávněné xxxxx xxxxxx a osoby xxxxxxx x §3 xxxx. x) až x) xxxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx x xxxxx xxxx-xxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) až e) xxxxxx, xxxxxxx aktiv xxxx vyžadována xxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxxxxx. |
Xxx ochranu xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxx xxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxxx xxxxxxx je xxxxxxxxxx xxxxxxxx předpisy, xxxxxx xxxxxxxx nebo smluvními xxxxxxxxxx (xxxx. xxxxxxxx xxxxxxxxx xxxxx xxxxxx č. 89/2012 Sb., xxxxxxxx zákoník, xxxxxx xxxxx xxxxx xxxxxx č. 101/2000 Sb., x xxxxxxx osobních údajů, xx xxxxx xxxxxxxxxx xxxxxxxx). |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx prostředky, xxxxx zajistí řízení x xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx xxxxxxxxx vnější xxxxxxxxxxx sítí xxxx xxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xxxxxx veřejně xxxxxxxxx x vyžadují xxxxxxxxxxxxx xxxx xxxxxxx xxx xxxxx xxxxxxxxx xxxxxxxxx (např. xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxx údaje). |
Pro ochranu xxxxxxxxxx xx xxxxxxxxxx xxxxxxxx osob, xxxxx x xxxxxxx xxxxxxxxxxx, x xxxxxx ochrany xxxxxxxxxxx xxxxxxxx xxxxx xx strany xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx jsou xxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx ochranu x hlediska xxxxxxxxx. Xxxxxxxx xxxxxxxxx aktiva xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx xxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx aktiva může xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx orgánu x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx x může se xxxxxxxx xxxx xxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány xxxxxxxxxx xxxxxxxx (např. xxxxxxx xxxxxxxxxxxx práv xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx aktiva xxxx x poškození xxxxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x podstatnými xxxxxx na primární xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx xxxxxxxxx speciální xxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx historii xxxxxxxxxxx xxxx a zaznamenat xxxxxxxx xxxxx xxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxx xx xxxxxxxxx pomocí xxxxxxxxxxxxxxxx prostředků. |
|
Kritická |
Aktivum xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxx x xxxxx xxxxxxx xxxxxxxxx oprávněných xxxxx xxxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona x přímými x xxxxx xxxxxxx dopady na xxxxxxxx aktiva. |
Pro ochranu xxxxxxxxx jsou xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx provádějící xxxxx (např. xxxxxx xxxxxxxxxxx digitálního xxxxxxx). |
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xxxx xxxxxxxx a x xxxxxxx xxxxxxx xx xxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxx xxxxxxx (xxx do 1 xxxxx). |
Xxx xxxxxxx xxxxxxxxxxx je postačující xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx dostupnosti xxxxxx xx xxxxxx xxxxxxxxx xxxx xxxxxxxxxx xxx, dlouhodobější výpadek xxxx x xxxxxxx xxxxxxxx xxxxx xxxxxx x xxxxx uvedené x §3 xxxx. x) až e) xxxxxx. |
Xxx ochranu xxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx a xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva by xxxxxx překročit dobu xxxxxxxx hodin. Xxxxxxxx xxxxxxx xx xxxxx xxxxx neprodleně, protože xxxx x xxxxxxx xxxxxxxx xxxxx orgánu x xxxxx uvedené x §3 písm. x) až e) xxxxxx. Xxxxxx xxxx xxxxxxxxxx xxxx velmi xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx může xxx xxxxxxxxx xxxxxx xxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xxxx xxxxxxxxx a x krátkodobá nedostupnost (x xxxx několika xxxxx) xxxx k xxxxxxx xxxxxxxx xxxxx xxxxxx x osoby uvedené x §3 xxxx. x) xx x) xxxxxx. Xxxxxx xxxx xxxxxxxxxx xxxx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx je krátkodobá x xxxxxxxxxxxxxx. |
Xxxxxxx x. 2 x xxxxxxxx x. 316/2014 Sb.
Hodnocení xxxxx
Xxxxxxxxx xxxxx je xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxx xxxxx, hrozba x xxxxxxxxxxxx.
Xxx xxxxxxxxx xxxxx xxx xxxxxx xxxxxxx tuto funkci
riziko = dopad x xxxxxx x xxxxxxxxxxxx.
Xxxxxxxxxxx xxxxxx xxxxxx pro xxxxxx xxxxxx je xxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxxx
|
Xxxxxxxx pro xxxxxxxxx dopadů |
|
|
Úroveň |
Popis |
|
Nízký |
Dopad xx x omezeném časovém xxxxxx a xxxxxx xxxxxxx x xxxxx xxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxx x) 10 xxxxxxxxx xxxx s xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx nebo b) xxxxxxxx xxxx materiální xxxxxx xx 5 000 000 Xx anebo c) xxxxxxxxxxx xxxxx na veřejnost x xxxxxxxxx xxxxxxxx xxxxxxxxxx služeb xxxx xxxxxx závažného zásahu xx každodenního xxxxxx xxxxxxxxxxxxx xxxxxxx 250 xxxx. |
|
Xxxxxxx |
Xxxxx xx omezeného xxxxxxx x x xxxxxxxx xxxxxxx xxxxxx. Xxxxxx xxxxxxxxxx xxxx xx xxxxxxxx x rozmezí a) xx 10 xxxxxxx xxxx xx 11 xx 100 xxxx x následnou xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx nebo xxxxxxxxxx xxxxxx od 5&xxxx;000&xxxx;000 Xx xx 50&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx s rozsáhlým xxxxxxxx xxxxxxxxxx xxxxxx xxxx jiného xxxxxxxxx xxxxxx xx každodenního xxxxxx xxxxxxxxxxxxx xx 251 xx 2&xxxx;500 xxxx. |
|
Xxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx, xxx xxxxxx xxxx katastrofický. Rozsah případných xxxx xx xxxxxxxx x xxxxxxx x) xx 11 xx 100 xxxxxxx xxxx xx 101 do 1 000 osob x xxxxxxxxx xxxxxxxxxxxxx po xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx nebo xxxxxxxxxx xxxxxx xx 50 000 000 Xx do 500&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx veřejnost x xxxxxxxxx omezením xxxxxxxxxx služeb xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx života xxxxxxxxxxxxx xx 2&xxxx;501 xx 25 000 xxxx. |
|
Xxxxxxxx |
Xxxxx xx plošný rozsahem, xxxxxx x katastrofický. Rozsah xxxxxxxxxx škod se xxxxxxxx v xxxxxxx x) 10 x více xxxxxxx x 1 001 a více xxxx x xxxxxxxxx xxxxxxxxxxxxx po xxxx xxxxx xxx 24 xxxxx nebo b) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxxxxxx 500&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx veřejnost x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx nebo xxxxxx xxxxxxxxx xxxxxx do xxxxxxxxxxxx xxxxxx postihujícího xxxx xxx 25 000 xxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx nebo xx xxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx realizace hrozby xxxx xxxxxxxx než xxxxxx xx 5 xxx. |
|
Xxxxxxx |
Xxxxxx je xxxx xxxxxxxxxxxxx xx pravděpodobná. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx x xxxxxxx xx 1 xxxx xx 5 xxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx hrozby je x xxxxxxx xx 1 měsíce do 1 xxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx pravděpodobná xx xxxxxxxx xxxxx. Předpokládaná xxxxxxxxx xxxxxx xx xxxxxxxx xxx jednou xx xxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx neexistuje xxxx xx xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxxx. Xxxxxxxx kvalitní xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxx opatření. |
|
Střední |
Zranitelnost xx xxxx xxxxxxxxxxxxx až xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxxxxx je xxxxxxxxxx xxxxxxxxxxxx. Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx včas xxxxxxxxx xxxxx xxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx je xxxxxxx. Xxxxxx xxxxx xxxxx úspěšné pokusy x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx xx pravděpodobná xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxx xxxxxx účinnost xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx x xxxx xxxxxxxxxx kontrolována. Xxxx xxxxx dílčí xxxxxxx xxxxxx x překonání xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx až xx xxxxxxxx jisté xxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx anebo xx xxxxxx xxxxxxxx xxxxxx omezena. Xxxxxxxxx xxxxxxxx účinnosti xxxxxxxxxxxxxx xxxxxxxx. Jsou xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx za xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxx x případě xxxxx xxxxxxxxxx xxxxxxxx xx riziko xxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx dlouhodobě xxxxxxxxxxx x xxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxx x jeho xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxxxxxxxx a xxxx být xxxxxxxxxx xxxxxxxx xxxxx k xxxx xxxxxxxxxx. |
X xxxxxxx, xx xxxxx xxxx xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxxx metodu xxx xxxxxxxxxxxx a xxxxxxxxx xxxxx, xxxxx nerozlišuje xxxxxxxxx xxxxxx a xxxxxxxxxxxxx, je xxxxx xxxxxxxx pro xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxx. Sloučení xxxxxxx xx xxxxxx xxxx xx ztrátě schopnosti xxxxxxxxx xxxx xxxxxx x xxxxxxxxxxxxx. Xx xxxxx účelem lze xxxxxx například xxxxxxxx, xxxxx zřetelně xxxxxxx xxx xxxxxx xxxxxx, xxx x úroveň xxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx x orgán xxxx xxxxx xxxxxxx v §3 xxxx. c) xx x) zákona, xxxxx xxxxxxx jiný xxxxx úrovní xxx xxxxxxxxx xxxxxx, xxxxxx, xxxxxxxxxxxxx x rizik.
Xxxxxxx x. 3 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx požadavky xx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxx
x) Xxxxxxx x proudové xxxxx xxx xxxxxxx xxxxxxxxxx x xxxxxxxxx
1. Advanced Xxxxxxxxxx Xxxxxxxx (XXX) x xxxxxxxx délky xxxxx 128, 192 x 256 bitů Xxxxxx Xxxx Xxxxxxxxxx Xxxxxxxx (3XXX) s xxxxxxxx délky xxxxx 168 xxxx, omezené xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX, xxxxxxxx přecházet na XXX.
2. Triple Xxxx Xxxxxxxxxx Xxxxxxxx (3DES) x využitím xxxxx xxxxx 112 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx klíče xxxxxx než 10 XX, xxxxxxxx xxxxxxxxx xx AES. Xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx xxx xxxxxx xxxxxx.
3. Xxxxxxxx s xxxxxxxx xxxxxxxxx xxxxx xxxxx 128 xxxx, xxxxxxx xxxxxxx jen xx xxxxxxxxx klíče menším xxx 10 GB.
4. Xxxxxx s xxxxxxxx xxxxx xxxxx 128 xxxx, xxxxxxx xxxxxxx xxx xx zatížením xxxxx xxxxxx než 10 XX.
5. Xxxxxxx x xxxxxxxx xxxxx xxxxx 128 xx 256 xxxx.
6. Serpent x xxxxxxxx xxxxx xxxxx 128, 192, 256 xxxx.
7. Camellia x xxxxxxxx xxxxx xxxxx 128, 192 x 256 bitů.
8. XXXX 2.0, XXXX 3X x xxxxxxxx xxxxx xxxxx 128, 256 xxxx.
x) Xxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx
1. XXX,
2. XXX,
3. XXX,
4. Xxxxxxx xxxxxxxx xxxx "Xxxxxxx-xxxx-XXX".
Xxxxxxxx:
Xxxxxxxx xxxx "Xxxxxxx-xxxx-XXX",xxxx používat x xxxxxxxxx xxxxx xxxxxxx xxxxxxxxx xxxx x x xxxxxxx XXX xxxxx xxxxxxx módy xxx xxxxxxx integrity.
c) Xxxx šifrování
1. CTR,
2. XXX,
3. CBC,
4. XXX,
Xxxxxxxx:
Xxxx XXX x XXX xxxx xxx xxxxxxx x xxxxxxxx, xxx xxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx použití xxxx XXX xx xxx daný xxxx xxxxx xxxxxxxx hodnota xxxxxxxxxxxxxxx vektoru, xxx xxxxxxx módu XXX xx pro daný xxxx xxxxx xxxxxxxx xxxxxxx čítače, x xxxxxxx xxxxxxx XXX xxxx k šifrování xxx ochrany xxxxxxxxx xx xxxxx ověřit xxxxxxxx xxxxx xxxxx xx xxxxxxx XXX xxxx.
x) Xxxx pro xxxxxxx integrity
1. HMAC,
2. XXX-XXX-X9.19, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxxx než 109 XXX,
3. CBC-MAC-EMAC,
4. XXXX.
(2) Xxxxxxxxxxx xxxxxxxxx
x) Pro xxxxxxxxxxx xxxxxxxxxxx xxxxxxx
1. Xxxxxxx Xxxxxxxxx Xxxxxxxxx (XXX) s xxxxxxxx xxxxx xxxxx 2048 xxxx a xxxx, xxxxx parametru cyklické xxxxxxxx 224 xxxx x xxxx.
2. Xxxxxxxx Xxxxx Digital Xxxxxxxxx Xxxxxxxxx (EC-DSA) x xxxxxxxx xxxxx xxxxx 224 xxxx x xxxx.
3. Xxxxxx-Xxxxxx-Xxxxxxx Probablistic Xxxxxxxxx Xxxxxx (XXX-XXX) x využitím xxxxx xxxxx 2048 bitů x xxxx.
x) Pro xxxxxxx xxxxx na xxxxx x šifrování xxxxx
1. Diffie-Hellman (XX) x xxxxxxxx xxxxx xxxxx 2048 xxxx x xxxx, xxxxx xxxxxxxxx cylické xxxxxxxx 224 bitů x xxxx.
2. Xxxxxxxx Xxxxx Xxxxxx-Xxxxxxx (XXXX) x xxxxxxxx xxxxx xxxxx 224 xxxx x xxxx.
3. Xxxxxxxx Xxxxx Xxxxxxxxxx Encryption Xxxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (ECIES-KEM) x xxxxxxxx xxxxx xxxxx 256 bitů x xxxx.
4. Xxxxxxxx Xxxxxx Xxxxxxxx Xxxxx - Xxx Xxxxxxxxxxxxx Mechanism (XXXX-XXX) s xxxxxxxx xxxxx xxxxx 256 xxxx xxxx.
5. Xxxxxxxxx Xxxxxxx and Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) x xxxxxxxx xxxxx xxxxx 256 xxxx x xxxx.
6. Rivest Xxxxxx Xxxxxxx - Xxxxxxx Xxxxxxxxx Xxxxxxxxxx Xxxxxxx (RSA-OAEP) x xxxxxxxx délky xxxxx 2048 x více.
7. Xxxxxx Shamir Xxxxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) x xxxxxxxx xxxxx xxxxx 2048 a více.
(3) Xxxxxxxxx xxxx xxxxxx
x) XXX-2
1. XXX-224,
2. SHA-256,
3. XXX-384,
4. XXX-512,
5. SHA-512/224,
6. XXX-512/256.
x) XXX-3
1. XXX3-224,
2. XXX3-256,
3. XXX3-384,
4. XXX3-512,
5. XXXXX-128,
6. XXXXX-256.
x) Ostatní xxxxxxxx xxxxxx
1. Whirpool,
2. XXXXXX-160,
3. XXX 1 x xxxxxxxx xxxxxxxx.
Xxxxxxxx x. 1:
XXX-1 xx xxxxx používat pro xxxxxxxxxx nových xxxxxxxxxxx xxxxxxx, časových xxxxxxx, xxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx nekolizní XXX-1.
Xxxxxxxx x. 2:
SHA-1 xxx xxxxxxxx pouze xxx xxxxxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxx podpisů x xxxxxxxx razítek, generování x xxxxxxxxx HMAC-SHA1, xxxxxx xxx xxxxxxxxxx xxxxx x xxxxxxxxxxxxx xxxxxxxxxx.
Příloha x. 4 x xxxxxxxx x. 316/2014 Sb.
Struktura xxxxxxxxxxxx xxxxxxxxxxx
Xxxx příloha obsahuje xxxxxxxxxx xxxxx bezpečnostní xxxxxxxxxxx. Navrhované xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx, xxxxx jednotlivé xxxxxxxxx xxxxx xxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxx dokumentů xxxxxx xxxxxxx a xx xx orgánu xxxx xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx, xxxx xxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx. Xxxxxxxxx xx x xxxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxxx integrování xxxx xxxxx do xxxxxxx xxxxxxxxx.
X. Struktura xxxxxxxxxxxx xxxxxxxx
(1) Politika xxxxxxx xxxxxx bezpečnosti xxxxxxxxx*
[§5 xxxx. 1 písm. x), §5 odst. 2 písm. x)]
x) Xxxx, xxxxxxxx a xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Rozsah a xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x postupy pro xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx a xxxxxxx pro xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxx xxxxxxxx a xxxxxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx.
(2) Politika xxxxxxxxxxx xxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxxxxxxxxx xxxx a xxxxxx xxxx x xxxxxxxxxx,
1. xxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
2. xxxxx x povinnosti xxxxxxxxxx kybernetické xxxxxxxxxxx,
3. xxxxx a xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
4. xxxxx a xxxxxxxxxx xxxxxxx aktiv,
5. xxxxx x povinnosti xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Požadavky xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx rolí.
(3) Xxxxxxxx xxxxxx xxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxx x xxxxxxxx xxx výběr xxxxxxxxxx.
x) Xxxxxxxx pro hodnocení xxxxx xxxxxxxxxx.
x) Náležitosti xxxxxxx o xxxxxx xxxxxx x xxxxxxx x xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx a x určení xxxxxxxx xxxxxxx xxxxxxxxxxxx.
x) Pravidla xxx xxxxxxxxx kontroly xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx.
(4) Xxxxxxxx klasifikace xxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Identifikace, xxxxxxxxx x xxxxxxxx primárních xxxxx
1. určení x xxxxxxxx jednotlivých xxxxxxxxxx xxxxx včetně xxxxxx xxxxxx xxxxxxx,
2. hodnocení xxxxxxxxxxx xxxxxxxxxx aktiv x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti.
b) Xxxxxxxxxxxx, xxxxxxxxx a xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx aktiv xxxxxx xxxxxx jejich xxxxxxx,
2. určení xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx aktivy.
c) Pravidla xxxxxxx jednotlivých xxxxxx xxxxx
1. xxxxxxx rozlišování xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx xxx manipulaci x evidenci aktiv xxxxx xxxxxx xxxxx,
3. xxxxxxxxx způsoby xxxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx xxx.
(5) Xxxxxxxx bezpečnosti xxxxxxxx xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxx jeho hodnocení
1. xxxxxxx x formy xxxxxxx xxxxxxxxx,
2. xxxxxxx x xxxxx xxxxxxx xxxxxxx xxxxx,
3. xxxxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx x xxxxx xxxxxxx dalších xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Bezpečnostní xxxxxxx xxxxxx xxxxxxxxxxx.
x) Pravidla xxx řešení xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Pravidla pro xxxxxxxx xxxxxxxxxx xxxxxx xxxx změnu xxxxxxxx xxxxxx.
1. xxxxxxx svěřených xxxxx x xxxxxxxx xxxx xxx ukončení xxxxxxxxxx vztahu,
2. xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxx xxxxxx.
(6) Xxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxx**
[§5 odst. 1 xxxx. f), §5 odst. 2 xxxx. f)]
a) Pravomoci x xxxxxxxxxxxx xxxxxxx x xxxxxxxxx provozem.
b) Xxxxxxx xxxxxxxxxx provozu.
c) Xxxxxxxxx a standardy xxxxxxxxxx xxxxxxx.
x) Xxxxxx xxxxxxxxxxx zranitelností.
e) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx.
(7) Xxxxxxxx xxxxxx xxxxxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Princip xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (xxxx xx xxxx).
x) Požadavky xx řízení xxxxxxxx.
x) Xxxxxxx cyklus řízení xxxxxxxx.
x) Řízení xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx.
(8) Politika xxxxxxxxxx xxxxxxx xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx pro bezpečné xxxxxxxxx x aktivy.
b) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx pošty x xxxxxxxx na xxxxxxxx.
x) Xxxxxxxx vzdálený přístup.
e) Xxxxxxxx chování xx xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx xx xxxxxx x xxxxxxxx xxxxxxxxx.
(9) Xxxxxxxx xxxxxxxxxx x xxxxxx**
[§5 xxxx. 1 písm. x), §5 xxxx. 2 písm. i)]
a) Xxxxxxxxx na xxxxxxxxxx x obnovu.
b) Xxxxxxxx x xxxxxxx zálohování.
c) Xxxxxxxx bezpečného uložení xxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxx.
x) Pravidla x postupy xxxxxxxxx xxxxxxxxxx x xxxxxx.
(10) Xxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxxxxxxx informací.
b) Xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx kryptografické ochrany.
(11) Xxxxxxxx řízení technických xxxxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) Pravidla x xxxxxxx vyhledávání xxxxxxxxx programových balíčků,
c) Xxxxxxxx a postupy xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx a xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
(12) Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx*
[§5 xxxx. 1 xxxx. 1)]
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx xxx zajištění xxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx nedisponuje.
(13) Xxxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 odst. 2 písm. j)]
a) Xxxxxxxx x xxxxxxx xxxxxxxx programového vybavení x xxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx kontrolu xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
(14) Xxxxxxxx xxxxxxxxxxxx ukládání x xxxxxxxxx xxxxxxxxx*
[§5 xxxx. x písm. x)]
x) Xxxxxxxx a xxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxx.
x) Xxxxxxx xxxxxxxxxxxxx xxxxxxxxx x xxxxxxx.
x) Xxxxxxxx přístupu x xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx.
(15) Politika xxxxxxx xxxxxxxx xxxxx*
[§5 xxxx. x xxxx. o), §5 odst. 2 xxxx. x)]
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx údajů.
b) Xxxxx přijatých x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx ochranu xxxxxxxx xxxxx.
x) Popis xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxx údajů.
(16) Xxxxxxxx xxxxxxx xxxxxxxxxxx**
[§5 xxxx. x xxxx. x)]
x) Xxxxxxxx xxx xxxxxxx xxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx vstupu xxxx.
x) Xxxxxxxx xxx xxxxxxx xxxxxxxx.
x) Detekce xxxxxxxx xxxxxxx xxxxxxxxxxx.
(17) Xxxxxxxx xxxxxxxxxxx komunikační xxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxx zajištění xxxxxxxxxxx xxxx.
x) Xxxxxx xxxx x xxxxxxxxxx xx bezpečný xxxxxx xxxx.
x) Pravidla x xxxxxxx pro xxxxxx xxxxxxxx x rámci xxxx.
x) Pravidla a xxxxxxx pro xxxxxxx xxxxxxxxxx přístupu x xxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxxx xxxxxxxxxx záznamů.
(18) Xxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx*
[§5 xxxx. x xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxx x xxxxxx sítí.
b) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxxxxxx xxxxxx.
(19) Politika xxxxxxxx x xxxxxxxxx xxxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí**
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxxxxxxx nástroje xxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Provozní xxxxxxx xxx xxxxxxxxxxxxx a xxxxxxxxx na xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx události.
c) Xxxxxxxx a xxxxxxx xxx optimalizaci xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
(20) Xxxxxxxx xxxxxxx a xxxxxx nástroje pro xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx x xxxxxxx pro xxxxxxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí.
b) Xxxxxxxx x postupy xxxxxxxxxx xxxxxxxxxxx pravidel xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx pro xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx vlastností xxxxxxxx pro xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
(21) Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxx xxxxxxx x xxxxxxx xx xxx x sílu xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla xxxxxxxxxxxxxx xxxxxxx informací
1. xxx přenosu po xxxxxxxxxxxxx xxxxxx,
2. při xxxxxxx na xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx nosič xxx,
x) Xxxxxx správy xxxxx.
XX. Xxxxxxxxx xxxxx dokumentace
(1) Xxxxxx x auditu xxxxxxxxxxxx xxxxxxxxxxx**
[§28 xxxx. 1 xxxx. x)]
x) Xxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Kritéria xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx týmu xxxxxxxx x xxxx, xxxxx xx auditu xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx.
x) Xxxxx x xxxxx, xxx xxxx prováděny xxxxxxxx xxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Zjištění x xxxxxx kybernetické bezpečnosti.
g) Xxxxxx xxxxxx kybernetické xxxxxxxxxxx.
(2) Xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx**
[§28 odst. 1 xxxx. x)]
x) Xxxxxxxxxxx xxxxxxxx z xxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) Xxxxxxxxxxxx změn x xxxxxxxxx, xxxxx xxxxx xxx xxxx xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Zpětná xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x nápravná xxxxxxxx,
2. xxxxxxxx monitorování x xxxxxx,
3. xxxxxxxx xxxxxx,
4. xxxxxxxx xxxx bezpečnosti,
d) Xxxxxxxx xxxxxxxxx rizik x xxxx xxxxx xxxxxxxx rizik.
e) Xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxx.
x) Doporučení xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx xxxxxxxx x xxxx zajišťujících xxxxx xxxxxxxxxxxx činností.
(3) Xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x hodnocení rizik*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. x)]
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx aktiv
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxx,
2. určení xxxxxxxx xxx xxxxxxxxx úrovní xxxxxxxxx xxxxx,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx dostupnosti xxxxx.
x) Xxxxxx xxxxxxxx pro xxxxxxxxx xxxxx
1. určení xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxx,
2. určení xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxx,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx zranitelnosti,
4. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxx,
x) Metody x xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx.
(4) Xxxxxx x hodnocení xxxxx x rizik**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx x popis xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxxxxx xxxxxxxxxx aktiv x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxx podpůrných aktiv (xxxxxxx xxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) zákona)
1. xxxxxxxxxxxx x xxxxx podpůrných xxxxx,
2. určení garantů xxxxxxxxxx aktiv,
3. xxxxxx xxxxx xxxx primárními x podpůrnými aktivy,
c) Xxxxxxxxxxxxxx x hodnocení xxxxx
1. xxxxxxxxx možných xxxxxx xx xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx xxxx úrovně x xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
5. xxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx rizik
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. xxxxx opatření x xxxxxx realizace.
(5) Xxxxxxxxxx x aplikovatelnosti*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. x)]
x) Xxxxxxx vybraných xxxxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxx xxxxxx x xxxxxx xxxxx na xxxxxxxxxxxxxx rizika.
b) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx opatření.
(6) Xxxx xxxxxxxx xxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx a cíle xxxxxxxxx bezpečnostních xxxxxxxx xxx xxxxxxxx rizik.
b) Xxxxxxxx xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx zvládání xxxxx.
x) Xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
x) Termíny xxxxxxxx jednotlivých xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx hodnocení xxxxxxxxxx zavedení jednotlivých xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
(7) Plán xxxxxxx bezpečnostního xxxxxxxx*
[§28 xxxx. 1 písm. x), §28 odst. 2 xxxx. x)]
x) Xxxxx x termíny xxxxxxx xxxxxxxxx.
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxx aktiv (neplatí xxx xxxxxx x xxxxx uvedené x §3 xxxx. e) xxxxxx).
x) Xxxxx x xxxxxxx poučení xxxxxxxxxxxxxx (xxxxxxx xxx orgány x xxxxx xxxxxxx x §3 písm. x) xxxxxx).
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Obsah x termíny xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxx x xxxxxxx xxxxxxxxx xxxxx.
(8) Zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx**
[§28 odst. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx x xxxxxxxx jednotlivých xxxxxxxxx kybernetických bezpečnostních xxxxxxxxx.
x) Pravidla a xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x pro zlepšování xxxxxxxxxxxx bezpečnosti.
(9) Xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. h)]
a) Xxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxx xxxxxx xxxxxxxxxx xxxxxxxx
1. xxxxxxxxx úroveň xxxxxxxxxxxxx xxxxxx,
2. xxxx xxxxxxxx xxxxx,
3. bod xxxxxxxx xxxxx.
x) Xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxx kontinuity.
d) Xxxxxxx xxxxxxxxx dopadů xxxxxxxxxxxxxx bezpečnostních incidentů xx xxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxxx xxxxx.
x) Xxxxxx x xxxxx xxxxxxxxxx plánů xxxxxxxxxx.
x) Xxxxxxx pro xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx.
(10) Přehled xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x jiných xxxxxxxx x xxxxxxxxx xxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxx x xxxxxx předpisů.
c) Xxxxxxx xxxxxxxxx závazků.
Poznámka:
* Xxxxxxxxx xxxxxxxxx dokumentu xx xx xxxxxx xxxxxxx xxxxx stupnice uvedené x příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.
** Xxxxxxxxx xxxxxxxxx xxxxxxxxx xx xx xxxxxx xxxxxx xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx x úroveň xxxxx.
Xxxxxxx x. 5 x vyhlášce č. 316/2014 Sb.
Formulář xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
Vyplnitelný formulář ve formátu PDF
Příloha x. 6 x xxxxxxxx č. 316/2014 Sb.
Formulář oznámení x provedení xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx č. 7 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxx xxx xxxxxxx kontaktních xxxxx
Vyplnitelný formulář ve formátu PDF
Informace
Právní xxxxxxx x. 316/2014 Xx. xxxxx xxxxxxxxx xxxx 1.1.2015.
Xx xxx xxxxxxxx právní xxxxxxx nebyl měněn xx xxxxxxxxx.
Xxxxxx předpis x. 316/2014 Sb. xxx zrušen xxxxxxx xxxxxxxxx č. 82/2018 Sb. x xxxxxxxxx xx 28.5.2018.
Xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx právních xxxxxxxx x xxxxxxxx není xxxxxxxxxxxxx, pokud xx xxxx xxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
1) XXX/XXX 27001:2013, xxxxxxxx XXX ISO/IEC 27001:2014