Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
VYHLÁŠKA
ze xxx 15. xxxxxxxx 2014
o xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x o xxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx bezpečnosti (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx bezpečnostní úřad xxxxxxx podle §28 xxxx. 2 zákona x. 181/2014 Xx., x kybernetické xxxxxxxxxxx x x xxxxx xxxxxxxxxxxxx xxxxxx (xxxxx x xxxxxxxxxxxx xxxxxxxxxxx), (xxxx jen "zákon") x provedení §6 xxxx. x) xx x), §8 odst. 4, §13 odst. 4 x §16 xxxx. 6 zákona.
XXXX XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxxx xxxxxxxxx xx xxxxxxx xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxx informační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxx xxxxxxxxxx xxxxxx, xxxxx xxxxxxxxxxxxxx opatření, xxxxxx xxxxxx xxxxxxxx, xxxx a xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx, náležitosti oznámení x xxxxxxxxx reaktivního xxxxxxxx a xxxx xxxxxxxx x vzor xxxxxxxx xxxxxxxxxxx údajů x jeho xxxxx.
§2
Xxxxxxxx pojmů
V xxxx xxxxxxxx xx rozumí
a) xxxxxxxx řízení xxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx xxxxxx xxxxxx x xxxxx uvedené x §3 xxxx. x) xx x) zákona xxxxxxxx na xxxxxxxx x rizikům informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx, která xxxxxxx xxxxxx ustavení, xxxxxxxx, xxxxxx, monitorování, xxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx informací,
b) xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx aktivum,
c) primárním xxxxxxx xxxxxxxxx nebo xxxxxx, xxxxxx xxxxxxxxxx xxxx poskytuje xxxxxxxxxx xxxxxx kritické informační xxxxxxxxxxxxxx, komunikační systém xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxx xxxxxxxxxx xxxxxx,
x) podpůrným xxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xx xx xxxxxxx, xxxxxxx, xxxxxx nebo xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního systému,
e) xxxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx, komunikační prostředky x programové xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx x xxxxxxx, ve kterých xxxx xxxx xxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxx, xx určitá xxxxxx xxxxxxx xxxxxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x způsobí xxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxx proces, při xxxx je určována xxxxxxxxxx rizik a xxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxx činnost xxxxxxxxxx hodnocení xxxxx, xxxxx x xxxxxxxx xxxxxxxx ke xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx x riziku x xxxxxxxxx x přezkoumání xxxxx,
x) xxxxxxx potencionální xxxxxxx kybernetické bezpečnostní xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxx xxxx xxx xxxxxxxxx xxxxxx,
x) zranitelností xxxxx xxxxx xxxxxx xxxx bezpečnostního opatření, xxxxx xxxx xxx xxxxxxxx xxxxxx xxxx xxxx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxx riziko xxxxxxxxx xx uplatnění xxxxxxxxxxxxxx xxxxxxxx, jehož xxxxxx xxxxxxxx xxxxxxxxx pro xxxxxxxxxxxx xxxxx,
x) bezpečnostní xxxxxxxxx xxxxxx xxxxx x xxxxxxxx, které xxxxxx xxxxxx xxxxxxxxx xxxxxxx aktiv xxxxxxx x xxxxxx xxxxxxxx x §3 xxxx. x) xx x) xxxxxx,
x) garantem aktiva xxxxxxx xxxxx xxxxxxxx xxxxxxx xxxx osobou xxxxxxxx x §3 xxxx. x) xx x) xxxxxx k xxxxxxxxx rozvoje, xxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx nebo xxxxxxxxx xxxxx xxxxx xxxxx xxxxxxx xxxx, xxxxx xxxxxxx primární xxxxxx,
x) administrátorem xxxxxxx xxxxx xxxxxxxx xxxxxxxx xxxxxx zajišťující xxxxxx, xxxxxx, xxxxxxx, xxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx xxxxxx xxxxxxxxxxx informací
(1) Orgán x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx v rámci xxxxxxx xxxxxx bezpečnosti xxxxxxxxx
x) xxxxxxx x xxxxxxx xx xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxx x hranice xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xx kterém xxxx, xxxxxxx xxxxxxxxxxxxx xxxxx x technických xxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx,
x) xxxx xxxxxx xxxxx §4 xxxx. 1,
x) xxxxxxx a xxxxxxx xxxxxxxxxxxx politiku x oblasti systému xxxxxx bezpečnosti informací, xxxxx xxxxxxxx xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, práva a xxxxxxxxxx ve xxxxxx x xxxxxx bezpečnosti xxxxxxxxx a xx xxxxxxx bezpečnostních xxxxxx x výsledků hodnocení xxxxx xxxxxxx bezpečnostní xxxxxxxx x xxxxxxx xxxxxxxxx podle §5 x xxxxxx xxxxxxxxx xxxxxxxxxxxx opatření,
d) xxxxxxxxxx xxxxxxxx bezpečnostních opatření,
e) xxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx §5,
f) xxxxxxx xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx xxxxx §15, x to nejméně xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx hodnocení rizik, xxxxxxxxx výsledků xxxxxxxxxxx xxxxxxx a auditů xxxxxxxxxxxx xxxxxxxxxxx a xxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xx systém xxxxxx xxxxxxxxxxx xxxxxxxxx, x to xxxxxxx xxxxxx xxxxx,
x) xxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx na základě xxxxxxxx auditů kybernetické xxxxxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx x x xxxxxxxxxxx s xxxxxxxxxxx xxxx plánovanými xxxxxxx x
x) xxxx xxxxxx a xxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxxxxxxxx xxxxxxxx xxxxxxx xx xxxxxxxx xxxxxx bezpečnosti informací x xxxxxxx xxxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xxxxxx x xxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxx xxxxxx podle §4 xxxx. 2,
x) xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx potřeby, xxxxx x xxxxxxxxxx xx vztahu x xxxxxx bezpečnosti informací x xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx bezpečnostní xxxxxxxx x dalších oblastech xxxxx §5, x xxxxxx xxxxxxxxx bezpečnostní xxxxxxxx x
x) provádí xxxxxxxxxxx zprávy x xxxxxxxxx xxxxx x xxxxx, xxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx povědomí, x xx xxxxxxx jednou xx xxx roky xxxx x souvislosti x xxxxxxxxxxx xxxx xxxxxxxxxxx změnami.
§4
Řízení xxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx x rámci xxxxxx rizik
a) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx identifikaci x xxxxxxxxx rizik xxxxxx xxxxxxxxx xxxxxxxx xxx přijatelnost rizik,
b) xxxxxxxxxxxx a hodnotí xxxxxxxxxx aktiv, která xxxxx xx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx §8 x rozsahu přílohy č. 1 x této xxxxxxxx x výstupy xxxxxxxxx xx zprávy x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx zohlední xxxxxx x xxxxxxxxxxxxx, xxxxxxx možné dopady xx aktiva, xxxxxxx xxxx rizika minimálně x xxxxxxx xxxxx přílohy č. 2 k xxxx xxxxxxxx, xxxx x xxxxxxx xxxxxxxxxx xxxxxx x zpracuje zprávu x hodnocení aktiv x xxxxx,
x) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx x xxxxxx plán xxxxxxxx xxxxx, xxxxx obsahuje xxxx a xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx, potřebné xxxxxxxx, xxxxxxxxx, xxxxxx x informační xxxxxx, xxxxxx xxxxxx xxxxxxxx x xxxxx xxxxx xxxx xxxxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxx bez xxxxxxxxxx xxxxxxx xxxxxxxxx x ochranná xxxxxxxx xxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx (dále jen "Xxxx") v xxxxxxxxx xxxxx a v xxxxxxx, že hodnocení xxxxx aktualizované o xxxx xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx reaktivního xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx xxx přijatelnost xxxxx, xxxxxx xxxx xxxxxxxx xxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx identifikaci x hodnocení xxxxx x pro identifikaci x xxxxxxxxx rizik xxxxxx stanovení xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxx aktiv, xxxxx xxxxx xx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx §8 xxxxxxxxx x xxxxxxx přílohy č. 1 x xxxx xxxxxxxx x xxxxxxx xxxxxxxxx do xxxxxx o xxxxxxxxx xxxxx a xxxxx,
x) xxxxxxxxxxxx rizika, při xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxxxxx, xxxxxxx xxxxx xxxxxx na xxxxxxxx xxxxxx, xxxxxxx xxxx xxxxxx xxxxxxxxx x rozsahu podle přílohy č. 2 x xxxx xxxxxxxx x xxxxxxxx xxxxxx x hodnocení xxxxx a xxxxx,
x) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxx rizik xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx opatření,
e) xxxxxxxx x zavede plán xxxxxxxx rizik, xxxxx xxxxxxxx xxxx x xxxxxxx bezpečnostních xxxxxxxx xxx xxxxxxxx rizik, xxxxxx osoby xxxxxxxxxxx xxxxxxxxxxx bezpečnostních opatření xxx xxxxxxxx rizik, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x xxxxxxxxxx xxxxxx, termíny jejich xxxxxxxx a xxxxx xxxxx xxxx xxxxxxxxxxxxxxxx xxxxxx a příslušnými xxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxx bez xxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx opatření vydaná Xxxxxx x hodnocení xxxxx x x xxxxxxx, xx xxxxxxxxx xxxxx aktualizované o xxxx xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx ochranného opatření xxxxxxxx xxxxxxxxx kritéria xxx xxxxxxxxxxxx xxxxx, xxxxxx plán zvládání xxxxx.
(3) Xxxxxx xxxxx xxxx xxx xxxxxxxxx x jinými xxxxxxx, xxx jak je xxxxxxxxx v xxxxxxxxxx 1 x 2, xxxxx xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona xxxxxxxxx, xx používá xxxxxxxx zajišťující xxxxxxx xxxx xxxxx xxxxxx xxxxxx xxxxx.
(4) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx xxx xxxxxxxxx xxxxx xxxxxxx zejména xxxx xxxxxx
x) xxxxxxxx xxxxxxxxxxxx politiky, xxxxxxxxx xxxxxxxxxxxxx činností, zneužití xxxxxxxxx ze xxxxxx xxxxxxxxx x administrátorů,
b) xxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx programového xxxxxxxx,
x) xxxxxxxx xxxxxxxx xxxxxxx osoby,
d) xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxx s xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx xxxx x xxxxxxxxxxx xxxx,
x) xxxxxxxx kód (například xxxx, spyware, xxxxxxx xxxx),
x) xxxxxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxxxx,
x) přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx elektrické xxxxxxx,
x) xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxx xxxxxxxx xxxxxx x
x) xxxxxxxx nebo xxxxxxxxx xxxxxx.
(5) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxx hodnocení xxxxx zvažuje xxxxxxx xxxx xxxxxxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx povědomí xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxxxxx údržba xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) nevhodné nastavení xxxxxxxxxxxx oprávnění,
e) xxxxxxxxxxxx xxxxxxx při identifikování x odhalení xxxxxxxxxxx xxxxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
f) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx x neschopnost xxxxxxx xxxxxx xxxxxxxx xxxx xxxxxxx xxxxxxx xxxxxxx x
x) xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxx nejednoznačné xxxxxxxx xxxx a povinností xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx.
(6) Xxxxx x osoba uvedená x §3 xxxx. x) a d) xxxxxx xxx hodnocení xxxxx dále xxxxxxx xxxx xxxxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx ze strany xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) pochybení xx xxxxxx zaměstnanců,
c) xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,
x) xxxxxxxxxx xxxxxxxxx poskytování xxxxxx xxxxxxxxxxxxxx komunikací, xxxxxxx elektrické xxxxxxx xxxx jiných důležitých xxxxxx,
x) xxxxxxxxxx zaměstnanců x xxxxxxxxx odbornou xxxxxx,
x) cílený kybernetický xxxx pomocí sociálního xxxxxxxxxxx, použití špionážních xxxxxxx a
g) xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx nosičů xxx.
(7) Orgán a xxxxx xxxxxxx v §3 xxxx. x) x d) zákona xxx hodnocení rizik xxxx zvažuje tyto xxxxxxxxxxxxx
x) nedostatečná xxxxxxx xxxxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx x
x) xxxxxxxxxxx včasného odhalení xxxxxxxxx xx strany xxxxxxxxxxx.
§5
Bezpečnostní politika
(1) Orgán x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxxxxx bezpečnostní xxxxxxxx v oblastech
a) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxx,
x) xxxxxx xxxxxx x xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx xxxxxxxx zdrojů,
f) xxxxxx xxxxxxx x xxxxxxxxxx,
x) xxxxxx přístupu,
h) xxxxxxxx chování xxxxxxxxx,
x) xxxxxxxxxx a obnova,
j) xxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxx,
x) řízení xxxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx x xxxxxxxx xxxxxxx programového xxxxxxxx x xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx,
x) fyzická xxxxxxxxxx,
x) xxxxxxxxxx komunikační xxxx,
x) xxxxxxx xxxx škodlivým xxxxx,
x) nasazení x xxxxxxxxx nástroje pro xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx,
x) využití x xxxxxx nástroje pro xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x
x) používání xxxxxxxxxxxxxx xxxxxxx.
(2) Xxxxx x xxxxx uvedená v §3 písm. e) xxxxxx stanoví xxxxxxxxxxxx xxxxxxxx v xxxxxxxxx
x) xxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx bezpečnost,
c) xxxxxx dodavatelů,
d) klasifikace xxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxx,
x) řízení provozu x xxxxxxxxxx,
x) řízení xxxxxxxx,
x) xxxxxxxx chování xxxxxxxxx,
x) zálohování x xxxxxx,
x) poskytování x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx a informací,
k) xxxxxxx osobních xxxxx,
x) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxx xxxxxxxxx xxxxx a
n) xxxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx x osoba xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxxxxxxxx hodnotí xxxxxxxx bezpečnostní xxxxxxxx x xxxxxxxxxxx ji.
§6
Xxxxxxxxxxx bezpečnost
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxxxxx xxxxxxxxxx xxxxxx bezpečnosti xxxxxxxxx, x xxxxx xxxxx xxxx výbor pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx role x xxxxxx práva x xxxxxxxxxx související x xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx informačním xxxxxxxx.
(2) Xxxxx a osoba xxxxxxx x §3 xxxx. x) x x) zákona určí xxxxxxxxxxxx role
a) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxxx bezpečnosti,
c) xxxxxxx xxxxxxxxxxxx bezpečnosti x
x) xxxxxx xxxxxx xxxxx §2 xxxx. m).
(3) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xxxx xxxxxxxxxxxx xxxx přiměřeně xxxxx xxxxxxxx 2.
(4) Xxxxxxx kybernetické xxxxxxxxxxx xx xxxxx, odpovědná xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xx xxx xxxx xxxxxxx vyškolena a xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx s xxxxxxx xxxxxxxxxxx informací xx xxxx xxxxxxx xxx xxx.
(5) Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx osoba xxxxxxxxxxx xxxxx a xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xx xxx xxxx činnost xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xx dobu nejméně xxx xxx.
(6) Xxxxxxx xxxxxxxxxxxx bezpečnosti je xxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx odbornou způsobilost xxxxx s xxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxx nejméně xxx let. Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxxxxx x výkon xxxx xxxx xx oddělen xx xxxxxx xxxx xxxxxxxxx x odstavci 2 xxxx. a), x) xxxx d).
(7) Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxx xxxxxxx tvořená xxxxxxx, xxxxx xxxx xxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xx xxxxxxxx podílejí xx xxxxxx a koordinaci xxxxxxxx spojených x xxxxxxxxxxxxx bezpečností xxxxxx xxxxxxx.
(8) Orgán x xxxxx xxxxxxx v §3 xxxx. x) xx e) xxxxxx xxxxxxx xxxxxxx školení xxxx, xxxxx zastávají xxxxxxxxxxxx xxxx x xxxxxxx s xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 xxxx. x).
§7
Xxxxxxxxx bezpečnostních požadavků xxx dodavatele
(1) Xxxxx x osoba uvedená x §3 xxxx. x) xx e) xxxxxx xxxxxx xxxxxxxx xxx xxxxxxxxxx, která xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, x xxxxxxxx xx x xxxxxxxxxx nebo xxxxxx xxxx, které xx xxxxxxxx xx rozvoji, xxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury nebo xxxxxxxxxx informačního xxxxxxx. Xxxxxx zapojení dodavatelů xx xxxxxxx, xxxxxxx xxxx zajištění xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx prokazatelně xxxxxxxxxxx xxxxx a xxxxx uvedená x §3 písm. x) xx e) zákona xxxxxxxx, xxxxx xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx informací.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx x dodavatelů xxxxxxxxx x xxxxxxxx 1 xxxx
x) xxxx xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx rizik podle přílohy č. 2 x xxxx xxxxxxxx, xxxxx jsou xxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxx x xxxxxx služeb, xxxxx stanoví xxxxxxx x úrovně realizace xxxxxxxxxxxxxx opatření x xxxx xxxxx vzájemné xxxxxxx xxxxxxxxxxxx za xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, x
x) xxxxxxx xxxxxxxxxx hodnocení xxxxx x xxxxxxxxxxx xxxxxxxx zavedených bezpečnostních xxxxxxxx u xxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxx xx xxxxxx s xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxx.
§8
Řízení xxxxx
(1) Xxxxx x osoba xxxxxxx x §3 písm. x) xx x) xxxxxx x xxxxx xxxxxx xxxxx
x) identifikuje x eviduje xxxxxxxx xxxxxx,
x) xxxx garanty xxxxx, xxxxx xxxx xxxxxxxxx xx primární xxxxxx, x
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxx x hlediska xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x zařadí xx xx jednotlivých xxxxxx xxxxxxxxx v xxxxxxx xxxxx přílohy č. 1 x xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx xxxxxxxxxxx primárních xxxxx je třeba xxxxxxxxx xxxxxxxx
x) rozsah x xxxxxxxxxx osobních xxxxx xxxx xxxxxxxxxx xxxxxxxxx,
x) rozsah dotčených xxxxxxxx povinností nebo xxxxxx závazků,
c) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, obchodních xxxx ekonomických xxxxx,
x) xxxxx finanční xxxxxx,
x) xxxxxx xxxxxxxx běžných xxxxxxxx xxxxxx x xxxxx uvedené x §3 písm. x) xx x) zákona,
g) xxxxxx spojené s xxxxxxxxx důvěrnosti, xxxxxxxxx x xxxxxxxxxxx x
x) xxxxxx xx xxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx xxxxx xxxxxxx.
(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) a x) zákona xxxx
x) xxxxxxxxxxxx x eviduje xxxxxxxx xxxxxx,
x) určí xxxxxxx aktiv, xxxxx xxxx xxxxxxxxx xx xxxxxxxx xxxxxx, a
c) xxxx vazby xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxx závislostí mezi xxxxxxxxxx a xxxxxxxxxx xxxxxx.
(4) Orgán a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxx
x) xxxxxxx xxxxxxxx xxxxxxx, nutná xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx tím, že
1. xxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxx xxxxxxxx pro xxxxxxxxxx x xxxxxxxx x aktivy xxxxx xxxxxx aktiv, včetně xxxxxxxx xxx bezpečné xxxxxxxxxxxx xxxxxxx a xxxxxxx přenášení aktiv x
3. xxxxxxx přípustné xxxxxxx xxxxxxxxx aktiv,
b) xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx úrovni xxxxx x
x) určí xxxxxxx xxx spolehlivé xxxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx xxx x xxxxxxx xx úroveň xxxxx.
§9
Xxxxxxxxxx lidských xxxxxx
(1) Xxxxx x osoba xxxxxxx v §3 xxxx. c) xx x) zákona x xxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx
x) xxxxxxx xxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxx, xxxxx a xxxxxx potřebných xxxxxxx x xxxx osoby xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx x plánu xxxxxxx,
x) x souladu s xxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní xxxx x xxxxxx xxxxxxxxxxxx a o xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) zajistí xxxxxxxx xxxxxxxxxx bezpečnostní xxxxxxxx xx strany uživatelů, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) xxxxxxx vrácení xxxxxxxxx xxxxx x xxxxxxxx přístupových xxxxxxxxx xxx xxxxxxxx smluvního xxxxxx s xxxxxxxxx, xxxxxxxxxxxxxx nebo xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxx x xxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx, xxxxx obsahují xxxxxxx xxxxxxx x xxxxxx xxxx, které školení xxxxxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx xxxx
x) stanoví xxxxxxxx xxx xxxxxx osob, xxxxx xxxxx zastávat xxxxxxxxxxxx xxxx, xxxx xxxxxxxxxxxxxx nebo xxxxxxxxx,
x) xxxxxxx xxxxxxxx plánu xxxxxxx bezpečnostního xxxxxxxx, xxxxxxxxxxx školení x xxxxxxx xxxxxxxx spojených x prohlubováním xxxxxxxxxxxxxx xxxxxxxx,
x) xxxx pravidla x postupy xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx uživatelů, xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx role x
x) xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxxx uživatelů, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
§10
Xxxxxx provozu x xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx x rámci xxxxxx xxxxxxx x komunikací xxxxxx technických nástrojů xxxxxxxxx x §21 xx 23 detekuje xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxx x xx xxxxxxxx nedostatky xxxxxxx x souladu x §13.
(2) Orgán x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx x xxxxx řízení xxxxxxx x komunikací xxxx zajišťuje bezpečný xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xx xxxxx xxxxxx xxxxxxx xxxxxxxx pravidla x xxxxxxx.
(3) Provozní xxxxxxxx x xxxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx obsahují
a) xxxxx a xxxxxxxxxx xxxx xxxxxxxxxxxxx bezpečnostní xxxx, xxxxxxxxxxxxxx x xxxxxxxxx,
x) postupy pro xxxxxxxx x ukončení xxxxx systému, xxx xxxxxxx xxxx xxxxxxxx xxxxx xxxxxxx po xxxxxxx a xxx xxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxx sledování xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x pro xxxxxxx xxxxxxxx x záznamům x xxxxxx činnostech,
d) xxxxxxx xx xxxxxxxxx xxxxx, xxxxx xxxx xxxxxx xxxx xxxxxxx xxx řešení neočekávaných xxxxxxxxxxx xxxx technických xxxxxx,
x) postupy xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxx x
x) xxxxxxx xxx sledování, plánování x xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxx.
(4) Řízení xxxxxxx xxxxxx x xxxxx xxxxxxx v §3 xxxx. x) až x) xxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxx provedených xxxxx.
(5) Xxxxxx provozu orgánu x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxx x
x) xxxxxxxxx xxxxxxxx vývojového, xxxxxxxxxxx a xxxxxxxxxxx xxxxxxxxx,
x) řešení xxxxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx xxx, xx xxxxx x osoba xxxxxxx x §3 xxxx. x) x d) xxxxxx
1. xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx opatření xx informační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x na zavedená xxxxxxxxxxxx opatření, xxxxxxxxx xxxxx negativní xxxxxx x xxx xxxxxxxxxx xxxxxxx xx xxxxxx Xxxxx x
2. xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxxxxxx možné xxxxxxxxx xxxxxx, x xxxx xxxxxx xxxx xxxx xxxxxxxxx.
(6) Xxxxx x xxxxx xxxxxxx v §3 písm. x) x d) xxxxxx x xxxxx xxxxxx xxxxxxxxxx
x) zajišťuje bezpečnost x integritu xxxxxxxxxxxxx xxxx a xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxxx §17,
x) xxxx xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxx, které xxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxx x předávání xxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxx xxxxxxxx dokumentuje x
x) s xxxxxxx xx xxxxxxxxxxx xxxxx xxxxxxx výměnu a xxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxx xxxxx, xxxxxxx xxxxxxxx je xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx.
§11
Řízení xxxxxxxx x xxxxxxxx xxxxxxx uživatelů
(1) Xxxxx a osoba xxxxxxx x §3 xxxx. c) xx x) xxxxxx xx xxxxxxx provozních a xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxx x xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačnímu xxxxxxx xxxxxxxx informační infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxx xxxxxxxxx jednoznačný xxxxxxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxxx xxxxxxxx, xxxxx xxxxxx k xxxxxxxxx xxxxxxx údajů, xxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx §18 x 19, x xxxxx xxxxx ve zneužití xxxxxx údajů xxxxxxxxxxxx xxxxxx.
(3) Orgán x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx xxxx x xxxxx xxxxxx přístupu
a) xxxxxxx xxxxxxxxxxxxx xxxxxxxxx samostatný xxxxxxxxxxxxx,
x) omezí xxxxxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxx,
x) přiděluje x xxxxxxx přístupová xxxxxxxxx x souladu x xxxxxxxxx xxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx přístupových xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx skupinách xxxx xxxxxx,
x) využívá xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx §18 x nástroj xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §19 a
f) xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx pro xxxxxxxx xxxxxxxxx mobilních xxxxxxxx, xxxxxxxx i xxxxxxxxxxxx xxxxxxxx spojená x xxxxxxxx xxxxxxxxxxx zařízení, xxxxxxx xxxxx x xxxxx uvedená v §3 písm. x) x x) xxxxxx xxxxxxxxxxx.
§12
Akvizice, xxxxx x xxxxxx
(1) Xxxxx a xxxxx uvedená x §3 písm. c) xx e) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx x xxxxxx akvizicí, xxxxxxx x údržbou x xxxxxx xx do xxxxxxxx xxxxxxxx, vývoje x xxxxxx xxxxxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxxxxxxx, xxxxxxx a xxxx rizika související x xxxxxxxx, vývojem x xxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx; xxx xxxxxxx xxxxxxxxx x řízení xxxxx xx xxxxxxxx xxxxx §4 odst. 1 písm. x) xxxxxxx obdobně,
b) zajistí xxxxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx dat x
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx změn xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxx xxxxxxxxx xx xxxxxxx.
§13
Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx při xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx, xxxxx xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx a x xxxxxxxxxx xxxx xxxxxxx,
x) xxxxxxxx prostředí pro xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxxxx bezpečnostních xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx nástroji xxxxx §21 až 23, provádí jejich xxxxxxxxxxx x identifikuje xxxxxxxxxxxx xxxxxxxxxxxx incidenty,
c) xxxxxxx klasifikaci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxx xxx xxxxxxxxx x xxxxxxxx dopadu xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx, xxxxxxx xxxxxxx kybernetického xxxxxxxxxxxxxx incidentu podle §32 x xxxxxxx xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx analýzu xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu,
d) xxxxxxxx x xxxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx, vyhodnotí xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xx xxxxxxx xxxxxxxxxxx stanoví xxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
§14
Řízení xxxxxxxxxx xxxxxxxx
(1) Xxxxx a osoba xxxxxxx x §3 xxxx. c) xx x) xxxxxx x xxxxx xxxxxx xxxxxxxxxx xxxxxxxx stanoví
a) práva x povinnosti garantů xxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) xxxx xxxxxx xxxxxxxxxx činností xxxxxx xxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx služeb, xxxxx xx xxxxxxxxxx pro xxxxxxx, xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
2. xxxx xxxxxxxx xxxxx, xxxxx xxxxx bude xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x
3. xxxx xxxxxxxx dat xxxx xxxxxxx, ke xxxxxxx xxxxx xxxxxxxx xxxx xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx, x
x) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx, která xxxxxxxx xxxxxxxx cílů xxxxx xxxxxxx x).
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx xxxx
x) xxxxxxxxx x xxxxxxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx xxxxxx xxxxxxxxxxx x ohrožením xxxxxxxxxx xxxxxxxx,
x) xxxxxxx, aktualizuje x pravidelně testuje xxxxx kontinuity činností xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) realizuje xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx kybernetickému xxxxxxxxxxxxxx xxxxxxxxx a využívá xxxxxxx pro xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx §26 x
x) xxxxxxx x xxxxxxxxxxx xxxxxxx xxx xxxxxxxxx opatření xxxxxxxx Xxxxxx xxxxx §13 x 14 xxxxxx, xx xxxxxxx xxxxxxxx
1. výsledky hodnocení xxxxx provedení opatření,
2. xxxx xxxxxxxxx bezpečnostních xxxxxxxx x
3. vyhodnocení xxxxxxxxxx negativních xxxxxx xx xxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury xxxx komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§15
Xxxxxxxx a xxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. c) xx e) xxxxxx x rámci kontroly x xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx (xxxx jen "xxxxx xxxxxxxxxxxx xxxxxxxxxxx")
x) xxxxxxxx xxxxxx xxxxxxxxxxxxxx opatření x xxxxxxxx předpisy, xxxxxxxxx předpisy, jinými xxxxxxxx a smluvními xxxxxxx vztahujícími xx x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxx opatření xxx xxxx xxxxxxxxxxx x
x) xxxxxxx a xxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx bezpečnostní xxxxxxxx x výsledky xxxxxx xxxxxxx xxxxxxxx v xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx xxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxxx podle §6 xxxx. 6, xxxxx xxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x x) zákona xxxx xxx informační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx nástrojů x xxxxxx xxxxxxx xxxxxxxxxxx a reaguje xx xxxxxxxx xxxxxxxxxxxxx.
XXXXX XX
XXXXXXXXX OPATŘENÍ
§16
Fyzická xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx x xxxxx fyzické xxxxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxxxx xx xxxxxxxxxx xxxxxxx, kde xxxx zpracovávány informace x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx x xxxxxxx xx xxxxxxxxxx prostor, xxx xxxx xxxxxxxx informace x xxxxxxxx technická xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému, x
x) předchází poškození, xxxxxxx nebo xxxxxxxx xxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) zákona xxxx xxxxxxxxx xxxxxxxxxx xxxxxxx bezpečnosti
a) pro xxxxxxxxx ochrany na xxxxxx xxxxxxx x
x) xxx xxxxxxxxx xxxxxxx x rámci xxxxxxx xxxxxxxxxx xxxxxxx bezpečnosti xxxxxxxxxx xxxxxxx, ve xxxxxxx xxxx umístěna xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
(3) Prostředky xxxxxxx xxxxxxxxxxx jsou xxxxxxx
x) xxxxxxxxxx xxxxxxxx xxxxxxxxxx,
x) xxxxxxxx elektrické xxxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxx působení xxxxxxx xxxxxxxxx událostí,
e) xxxxxxx xxx kontrolu vstupu,
f) xxxxxxxx xxxxxxx,
x) zařízení xxx xxxxxxxxx ochrany xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx napájení a
h) xxxxxxxx pro xxxxxxxxx xxxxxxxxxxx provozních xxxxxxxx.
§17
Nástroj pro xxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx pro xxxxxxx xxxxxxxxx rozhraní xxxxxx xxxxxxxxxxx xxxx, xxxxx xxxx xxx xxxxxxx xxxxxx xxxx xxxxx, x xxxxxxx xxxxxxxxxxx sítě, která xx xxx xxxxxxx xxxxxx nebo xxxxx, xxxxxx
x) řízení bezpečného xxxxxxxx xxxx xxxxxx x xxxxxxx xxxx,
x) xxxxxxxxxx xxxxxxx použitím xxxxxxxxxxxxxxxxxx xxx xxxx xxxxxxxxxxx xxxx sítě xxxxxxxxxxx xx xxxxxxx xxxxxxxxxxx aplikací xxxxxxxxxx x vnější xxxx x k xxxxxxxx xxxxx xxxxxxxxxx xxxxxxx xxxx x vnější xxxx,
x) kryptografické prostředky (§25) xxx xxxxxxxx xxxxxxx, xxxxxxxxx xxxxxx xxxx xxx xxxxxxx xxxxxx xxxxxxxxxxxx technologií x
x) opatření pro xxxxxxxxxx nebo xxxxxxxxx xxxxxxxxxxx dat, xxxxx xxxxxxxxxxxx xxxxxxxxxx xx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx.
(2) Orgán a xxxxx uvedená x §3 písm. x) x x) xxxxxx xxxx xxxxxxx nástroje xxx ochranu integrity xxxxxxx xxxxxxxxxxx sítě, xxxxx zajistí xxxx xxxxxxxxxx.
§18
Xxxxxxx pro xxxxxxxxx xxxxxxxx xxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx používá xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxx systému kritické xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxx xxx ověřování xxxxxxxx xxxxxxxxx a administrátorů xxxxxxxxx ověření xxxxxxxx xxxxxxxxx x administrátorů xxxx xxxxxxxxx jejich xxxxxxx v informačním xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačním systému xxxxxxxx informační xxxxxxxxxxxxxx x významném xxxxxxxxxxx xxxxxxx.
(3) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxx používá autentizaci xxxxx xxxxxx, zajišťuje
a) xxxxxxxxx xxxxx xxxxx xxx xxxxx,
x) xxxxxxxxx xxxxxxxxx xxxxx xxx, xx heslo xxxx xxxxxxxxx alespoň 3 x následujících xxxx xxxxxxxxx
1. xxxxxxx xxxxx xxxxx xxxxxxx,
2. xxxxxxx xxxxx xxxx xxxxxxx,
3. xxxxxxx xxxxx xxxxxxx, xxxx
4. nejméně jeden xxxxxxxxx xxxx xxxxxxx xx xxxxxxxxx uvedených x bodech 1 xx 3,
x) xxxxxxxxx xxxx xxx xxxxxxxx xxxxxx xxxxx nepřesahující xxx dnů; xxxxx xxxxxxxxx xxxx xxxxxxxxx xxx samostatné identifikátory xxxxxxxx.
(4) Xxxxx x xxxxx uvedená x §3 xxxx. c) x d) xxxxxx xxxx
x) používá xxxxxxx xxx ověření xxxxxxxx, xxxxx
1. xxxxxx opětovnému xxxxxxxxx xxxxx používaných xxxxx x xxxxxxxx xxxx změn xxxxx xxxxxxx xxxxxxxxx během xxxxxxxxxxx xxxxxx, xxxxx xxxx xxx xxxxxxx 24 xxxxx, x
2. xxxxxxx xxxxxxxx xxxxxxx xxxxxxxx xx xxxxxx xxxx xxxxxxxxxx x
x) xxxxxxx nástroj xxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx. X případě, xx xxxxx nástroj xxxxxxx xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxxxx minimální délky xxxxx xxxxxxx xxxxx xxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx. x) x x).
(5) Xxxxxxx xxx xxxxxxxxx xxxxxxxx uživatelů xxxx být xxxxxxxx x jinými xxxxxxx, xxx xxxx xxxx xxxxxxxxx v xxxxxxxxxx 3 xx 5, xxxxx xxxxx x xxxxx uvedená x §3 písm. x) xx x) zákona xxxxxxxxx, že xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxxxx xxxxxx xxxxxxxxx xxxxx.
§19
Xxxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 písm. x) xx e) xxxxxx používá xxxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx xxxxxx xxxxxxxxx
x) xxx xxxxxxx x xxxxxxxxxxx xxxxxxxxx x xxxxx x
x) xxx xxxxx xxx, pro xxxxx xxx x xxx xxxxx oprávnění.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx dále používá xxxxxxx xxx xxxxxx xxxxxxxxxxxx oprávnění, xxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxx x bezpečnostními xxxxxxxxx x výsledky xxxxxxxxx xxxxx.
§20
Xxxxxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxx
Xxxxx x osoba xxxxxxx x §3 xxxx. x) až x) xxxxxx pro xxxxxx xxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxx pro xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx informačního systému xxxx škodlivým kódem, xxxxx xxxxxxx xxxxxxx x stálou kontrolu
a) xxxxxxxxxx xxxx xxxxxxx xxxx x xxxxxx xxxx,
x) xxxxxxx a xxxxxxxxx xxxxxxxx xxxxxxx x
x) xxxxxxxxxx xxxxxx,
xxxxxxx xxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxx xxxxxxxxx kódem, jeho xxxxxxx x xxxxxxxx.
§21
Xxxxxxx xxx zaznamenávání xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, jejich xxxxxxxxx x xxxxxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) xx x) zákona xxxxxxx xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx systému, xxxxx xxxxxxx
x) xxxx xxxxxxxxx x provozních x xxxxxxxxxxxxxx činnostech, xxxxxxx xxx xxxxxxxx, xxxxx x čas, xxxxxxxxxxxx technického xxxxxx, xxxxx xxxxxxx xxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx x xxxxx xxxxxxxx x xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx x
x) ochranu xxxxxxxxx informací xxxx xxxxxxxxxxxx xxxxxx nebo xxxxxx.
(2) Orgán x xxxxx xxxxxxx v §3 písm. x) xx e) xxxxxx xxxx pomocí xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významného xxxxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxxxxxx a xxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx vedoucí xx xxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x xxxxxxxx nedostatku xxxxxxxxxxxx xxxxxxxxx x další xxxxxxxxx činnosti xxxxxxxxx,
x) xxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxx nebo xxxxxxx xxxxxxx technických xxxxx,
x) xxxxxxxx x xxxxxxxx x xxxxxxxxxx, xxxxxx x manipulaci se xxxxxxx x xxxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx xxx zaznamenávání xxxxxxxx x
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxx včetně změny xxxxx, které xxxxxx x xxxxxxxxxx.
(3) Orgán x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxx činností xxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxxx xxxxxxx xx xxxx 3 xxxxxx.
(4) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx e) xxxxxx xxxxxxxxx xxxxxxx xxxxxx xx 24 xxxxx xxxxxxxxxxxxx jednotného systémového xxxx xxxxxxxxxxx xxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
§22
Nástroj pro detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxxx xxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx xx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx hodnocení xxxxx x xxxxx xxxxxxx ověření, kontrolu x xxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxx x xxxxxx sítí.
(2) Xxxxx x xxxxx uvedená x §3 písm. x) a x) xxxxxx xxxx používá xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxxxx zajistí xxxxxxx, xxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxx
x) v xxxxx xxxxxxx komunikační xxxx a
b) xxxxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.
§23
Nástroj pro xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Orgán x xxxxx uvedená x §3 písm. x) x d) xxxxxx xxxxxxx xxxxxxx xxx xxxx x xxxxxxxx xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx, který x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx
x) xxxxxxxxxxx xxxx x vyhodnocení kybernetických xxxxxxxxxxxxxx událostí z xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx pro xxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxx v xxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxx krit x xxxxxxxxxx xxxxxxxxxxxxxx x
x) xxxxxxxxxxx vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxx.
(2) Xxxxx x osoba uvedená x §3 xxxx. x) x x) xxxxxx xxxx xxxxxxx
x) xxxxxxxxxxx aktualizaci xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxx varování, xxx xxxx omezovány xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxx případy xxxxxxxxx varování, a
b) xxxxxxxxx informací, které xxxx xxxxxxxxxx nástrojem xxx xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx optimální xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx.
§24
Aplikační bezpečnost
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx xxxxxxx bezpečnostní xxxxx xxxxxxxxxxxxx aplikací, xxxxx jsou přístupné x vnější sítě, x xx před xxxxxx xxxxxxxx xx xxxxxxx x xx xxxxx zásadní změně xxxxxxxxxxxxxx mechanismů.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx dále v xxxxx xxxxxxxxx bezpečnosti xxxxxxx xxxxxxx xxxxxxx
x) xxxxxxxx x informací xxxxxxxxxx z vnější xxxx xxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxx, kompromitací xxxx xxxxxxxxxxxxxxx xxxxxx x
x) xxxxxxxxx xxxx xxxxxx xxxxxxxxxxxx, xxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxxx změnou xxxxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxxxxxx duplikováním nebo xxxxxxxxxx.
§25
Kryptografické prostředky
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx
x) xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxx
1. xxxxxx ochrany s xxxxxxx na xxx x xxxx kryptografického xxxxxxxxx a
2. xxxxxxxx xxxxxxxxxxxxxx ochrany xxxxxxxxx xxx přenosu po xxxxxxxxxxxxx sítích xxxx xxx xxxxxxx na xxxxxxx zařízení xxxx xxxxxxxxxxx xxxxxxxxx nosiče xxx x
x) x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx prostředky, xxxxx xxxxxxx xxxxxxx důvěrnosti x xxxxxxxxx předávaných xxxx xxxxxxxxxx xxx x průkaznou xxxxxxxxxxxx xxxxx xx provedené xxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx xxxx
x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxx klíčů, xxxxx xxxxxxx xxxxxxxxxx, xxxxxxxxxx, xxxxxxxx, xxxxxxxxx, xxxxx, xxxxxx, kontrolu x xxxxx xxxxx, x
x) xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxx; x xxxxxxx xxxxxxxxx s xxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxx x příloze č. 3 k xxxx xxxxxxxx řídí xxxxxx spojená x xxxxx xxxxxxxxxx.
§26
Xxxxxxx pro xxxxxxxxxxx xxxxxx xxxxxxxxxxx
(1) Xxxxx x osoba uvedená x §3 xxxx. x) xx x) xxxxxx x souladu x bezpečnostními potřebami x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxx zajišťování úrovně xxxxxxxxxxx xxxxxxxxx.
(2) Orgán x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx používá nástroj xxx zajišťování xxxxxx xxxxxxxxxxx informací, xxxxx xxxxxxx
x) dostupnost informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxx xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentům, xxxxx xx mohly xxxxxx xxxxxxxxxx, a
c) xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury a xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx
1. využitím xxxxxxxxxx x xxxxxx xxxxxx x
2. zajištěním xxxxxxxxxx technických aktiv x určeném xxxx.
§27
Xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx systémů
Orgán x xxxxx uvedená v §3 písm. x) x d) xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx systémů, xxxxx jsou informačním xxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx komunikačním xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx anebo jsou xxxxxx xxxxxxxx, používá xxxxxxxx, xxxxx zajistí
a) xxxxxxx xxxxxxxxx přístupu x xxxx a xxxxxxxxx xxxxxxxxxxxx x xxxxxxxx systémů,
b) xxxxxxx xxxxxxxxx x vzdáleného xxxxxxxx x xxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxx,
x) ochranu xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx xxxx využitím xxxxxxx xxxxxxxxxxxxx a
d) obnovení xxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx xx xxxxxxxxxxxxx bezpečnostním xxxxxxxxx.
XXXXX III
BEZPEČNOSTNÍ XXXXXXXXXXX
§28
Xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) x x) xxxxxx xxxx a aktualizuje xxxxxxxxxxxx dokumentaci, xxxxx xxxxxxxx
x) bezpečnostní politiku xxxxx §5 xxxx. 1,
x) xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §3 odst. 1 xxxx. x),
x) xxxxxx x xxxxxxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx xxxxx §3 xxxx. 1 písm. x),
x) metodiku xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x pro xxxxxxxxxxxx x xxxxxxxxx xxxxx,
x) xxxxxx x xxxxxxxxx xxxxx a xxxxx,
x) prohlášení x xxxxxxxxxxxxxxxx,
x) xxxx xxxxxxxx xxxxx,
x) xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 odst. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx bezpečnostních incidentů xxxxx §13 xxxx. x),
x) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxx §14 xxxx. 1 xxxx. c) a
k) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx předpisů a xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx podle §15 xxxx. 1 xxxx. a).
(2) Orgán x osoba xxxxxxx x §3 písm. x) xxxxxx vede x xxxxxxxxxxx bezpečnostní xxxxxxxxxxx, xxxxx xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxx xxxxx §5 xxxx. 2,
x) xxxxxxxx pro xxxxxxxxxxxx x hodnocení xxxxx x pro identifikaci x xxxxxxxxx xxxxx xxxxx §4 xxxx. 2 xxxx. a),
c) xxxxxx x xxxxxxxxx xxxxx a xxxxx xxxxx §4 odst. 2 xxxx. b) x x),
x) prohlášení x aplikovatelnosti podle §4 xxxx. 2 xxxx. x),
x) xxxx xxxxxxxx xxxxx podle §4 xxxx. 2 xxxx. e),
f) xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. x),
x) xxxxxxxxx xxxxxx xxxxxxxxxx činností xxxxx §14 xxxx. 1 písm. x) x
x) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx x smluvních závazků xxxxx §15 odst. 1 písm. x).
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx xxx, xxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxx byly xxxxx, xxxxxxx, snadno xxxxxxxxxxxxxxxxx x xxx xx xxxx snadno xxxxxxxx. Xxxxxxxx potřebná x xxxxxxxxxxxx, uložení, xxxxxxx, xxxxxxxxx, xxxx xxxxxxxxx x xxxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxx dokumentuje.
(4) Xxxxxxxxxx xxxxxxxxx bezpečnostní xxxxxxxxxxx xx stanovena v příloze č. 4 x xxxx xxxxxxxx.
§29
Xxxxxxxxx certifikace
Orgán a xxxxx uvedená v §3 xxxx. c) xx x) xxxxxx, xxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx xx xxxxx zahrnut xx rozsahu xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxx xxx xxxxxxxxxxxx xxxxx xxxxxxxxx technické xxxxx1) akreditovaným xxxxxxxxxxxxx xxxxxxx, x která xxxx dokumenty xxxxxxxxxx
x) xxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx politiky x xxxx systému řízení xxxxxxxxxxx informací,
c) xxxxx xxxxxxx xxxxxx hodnocení xxxxx x xxxxxx x xxxxxxxxx xxxxx,
x) xxxxxxxxxx x xxxxxxxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací splňující xxxxxxxxx xxxxxxxxx technické xxxxx xxxxxxxxxx se xxxxxxxxxxx informací1),
f) xxxxxx x přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx informací xxxxxx xxxxxxxxxxxxx xxxxxx x výstupů xxxxxxxxxxx x
x) zprávu x xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx včetně xxxxxxxxxxx xxxxxxx o xxxxxxx xxxxxxxxxx xxxxxx s xxxxxxxxxx normou,
splňuje xxxxxxxxx xx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx podle zákona x xxxx xxxxxxxx.
ČÁST XXXXX
XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX
§30
Xxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Xxxxx xxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx rozděleny xx xxxxxxxxxxxxx typů
a) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx xxxxxxxx xxxxxxx x průniku xx xxxxxxx xxxx x xxxxxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx xxxxxxxxxx technických xxxxxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxx xxxxxx x
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx způsobené xxxxxxxxxxxxx xxxxxx.
(2) Xxxxx xxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobující xxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobující xxxxxxxx xxxxxxxxxxx xxxxx, xxxx
x) xxxxxxxxxxxx bezpečnostní incident xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx x písmenech x) xx x).
§31
Xxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxx xxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xx xxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxx
x) Kategorie XXX - xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, při xxxxxx xx xxxxx a xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx služeb xxxx xxxxx. Jeho řešení xxxxxxxx neprodlené xxxxxx xxxxxxx x xxx, xx xxxx xxx xxxxx xxxxxxxxxx prostředky xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx škod.
b) Xxxxxxxxx II - xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx xxxxxxxx bezpečnost xxxxxxxxxxxxx služeb xxxx xxxxx. Xxxx xxxxxx xxxxxxxx neprodlené xxxxxx xxxxxxx x xxx, xx xxxx xxx xxxxxxxx xxxxxxxxxx zabráněno xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace xxxxxxxxx škod.
c) Kategorie X - xxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, při xxxxxx xxxxxxx k xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho řešení xxxxxxxx xxxxxx obsluhy x xxx, že xxxx být vhodnými xxxxxxxxxx omezeno xxxxx xxxxxx kybernetického bezpečnostního xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) až x) xxxxxx při xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle xxxxxxxx 1 xxxxxxxx
x) xxxxxxxxxx xxxxxxxxx aktiv xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) dopady xx xxxxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxx xx xxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx a
d) xxxxxxxxxxxxx xxxxx x xxxxx dopady.
§32
Xxxxx a xxxxxxxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx uvedená v §3 xxxx. x) xx x) xxxxxx xxxxx kybernetický xxxxxxxxxxxx xxxxxxxx
x) x xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxx
1. xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
2. xxxxxx xx adresu xxxxxxxxxxxx pošty Xxxxx xxxxxx pro příjem xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, zveřejněné xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
3. xxxxxx zprávy do xxxxxx xxxxxxxx Xxxxx, xxxx
4. xxxxxxxxxxxxxxx určeného xxxxxxxx rozhraní, jehož xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx, xxxxx
x) x xxxxxxxx xxxxxx xx xxxxxx Xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti, xxxxxxxxxx xx internetových xxxxxxxxx Xxxxx.
(2) Xxxxxxx x xxxxxxxx xxxxxx xx xxxxxx pouze v xxxxxxxxx, xxx xxxxx xxxxxx žádný xx xxxxxxx xxxxxxxxx v xxxxxxxx 1 xxxx. x).
(3) Xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx uvedeny x příloze č. 5 k xxxx xxxxxxxx.
XXXX ČTVRTÁ
REAKTIVNÍ XXXXXXXX X KONTAKTNÍ XXXXX
§33
Xxxxxxxxx xxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx oznámí xxxxxxxxx xxxxxxxxxxx xxxxxxxx x jeho xxxxxxxx xx xxxxxxxxx, xxxxx xxxx xx uveden x příloze č. 6 k xxxx vyhlášce.
§34
Kontaktní údaje
Orgán a xxxxx xxxxxxx v §3 xxxxxx xxxxxxxx xxxxxxxxx xxxxx xx xxxxxxxxx, xxxxx xxxx xx uveden v příloze č. 7 x této xxxxxxxx. Orgán a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxx v §32 xxxx. 1 xxxx. a).
ČÁST XXXX
XXXXXXXX
§35
Xxxx xxxxxxxx xxxxxx xxxxxxxxx xxxx 1. xxxxx 2015.
Xxxxxxx:
Xxx. Xxxxxxxx x. r.
Xxxxxxx x. 1 x vyhlášce č. 316/2014 Xx.
Xxxxxxxxx x xxxxxx důležitosti xxxxx
Xxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxx použity stupnice x xxxxxxx xxxxxxxx. Xxxxx xxxx osoba xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxx xxxxxxxx xxxxxxx xxxxx xxxxxx pro xxxxxxxxx xxxxxxxxxxx aktiv, než xxxx xx xxxxxx x xxxx xxxxxxx, xxxxxx-xx jednoznačné vazby xxxx jí xxxxxxxxxx xxxxxxxx hodnocení xxxxxxxxxxx xxxxx x xxxxxxxxxx x xxxxxxxx pro xxxxxxxxx xxxxxxxxxxx aktiv, xxxxx xxxx uvedeny x xxxx xxxxxxx.
X xxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxx důležitosti xxxxx xx přípustné xxxxxxx xxx xxxxxx xxxxx a xxxxxxx, xxxx xxxxxx xxxxxx x xxxxxxxx.
Xxxxxxxx pro xxxxxxxxx důvěrnosti
|
Úroveň |
Popis |
Ochrana |
|
Nízká |
Aktiva jsou xxxxxxx přístupná xxxx xxxx xxxxxx ke xxxxxxxxxx (xxxx. xx xxxxxxx xxxxxx č. 106/1999 Sb., x xxxxxxxxx xxxxxxxx x xxxxxxxxxx, xx xxxxx xxxxxxxxxx xxxxxxxx). Xxxxxxxx xxxxxxxxxx aktiv xxxxxxxxxx oprávněné zájmy xxxxxx a osoby xxxxxxx x §3 xxxx. x) až x) xxxxxx. |
Xxxx vyžadována xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxx know-how orgánu x osoby uvedené x §3 xxxx. x) xx x) xxxxxx, ochrana aktiv xxxx xxxxxxxxxx xxxxxx xxxxxxx předpisem nebo xxxxxxxx ujednáním. |
Pro xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxx řízení xxxxxxxx. |
|
Xxxxxx |
Xxxxxx nejsou veřejně xxxxxxxxx x xxxxxx xxxxxxx xx vyžadována xxxxxxxx předpisy, jinými xxxxxxxx nebo smluvními xxxxxxxxxx (xxxx. xxxxxxxx xxxxxxxxx podle zákona č. 89/2012 Sb., občanský zákoník, xxxxxx xxxxx xxxxx xxxxxx č. 101/2000 Sb., x xxxxxxx osobních údajů, xx znění xxxxxxxxxx xxxxxxxx). |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, xxxxx zajistí xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx informací xxxxxx xxxxxxxxxxx sítí jsou xxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx a vyžadují xxxxxxxxxxxxx xxxx ochrany xxx rámec xxxxxxxxx xxxxxxxxx (např. strategické xxxxxxxx tajemství, citlivé xxxxxx xxxxx). |
Xxx xxxxxxx xxxxxxxxxx xx xxxxxxxxxx xxxxxxxx xxxx, které x aktivům xxxxxxxxxxx, x xxxxxx xxxxxxx xxxxxxxxxxx zneužití xxxxx xx xxxxxx xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxxxxxxx pro hodnocení xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxx integrity. Xxxxxxxx integrity xxxxxx xxxxxxxxxx oprávněné zájmy xxxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona. |
Není vyžadována xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx může xxxxxxxxx xxxxxxx z xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx aktiva může xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx v §3 xxxx. c) xx e) xxxxxx x může xx xxxxxxxx xxxx xxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx integrity xxxx xxxxxxxxx standardní xxxxxxxx (např. xxxxxxx xxxxxxxxxxxx xxxx xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx x poškození xxxxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx x podstatnými xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx x zaznamenat xxxxxxxx xxxxx xxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx informací xxxxxxxxxxx vnějšími komunikačními xxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx z xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxx k velmi xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona x přímými x xxxxx vážnými xxxxxx xx xxxxxxxx xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx jednoznačné xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (např. pomocí xxxxxxxxxxx digitálního xxxxxxx). |
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xxxx xxxxxxxx x v xxxxxxx xxxxxxx je xxxxx xxxxxxxxxx xxxxx xxxxxx období pro xxxxxxx (xxx xx 1 xxxxx). |
Xxx xxxxxxx xxxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx by xxxxxx xxxxxxxxx dobu xxxxxxxxxx xxx, dlouhodobější xxxxxxx xxxx k xxxxxxx xxxxxxxx zájmů orgánu x osoby xxxxxxx x §3 písm. x) xx x) xxxxxx. |
Xxx ochranu dostupnosti xxxx xxxxxxxxx běžné xxxxxx xxxxxxxxxx x obnovy. |
|
Vysoká |
Narušení xxxxxxxxxxx xxxxxx by xxxxxx xxxxxxxxx xxxx xxxxxxxx hodin. Xxxxxxxx xxxxxxx xx xxxxx xxxxx xxxxxxxxxx, protože xxxx k přímému xxxxxxxx xxxxx orgánu x xxxxx uvedené x §3 xxxx. x) až e) xxxxxx. Xxxxxx xxxx považována xxxx velmi xxxxxxxx. |
Xxx xxxxxxx dostupnosti xxxx xxxxxxxxx záložní xxxxxxx x obnova xxxxxxxxxxx xxxxxx xxxx být xxxxxxxxx zásahy xxxxxxx xxxx výměnou xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxxx x x krátkodobá xxxxxxxxxxxx (x řádu xxxxxxxx xxxxx) xxxx x xxxxxxx xxxxxxxx xxxxx xxxxxx x xxxxx uvedené x §3 xxxx. x) xx x) xxxxxx. Xxxxxx xxxx xxxxxxxxxx xxxx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx je krátkodobá x automatizovaná. |
Xxxxxxx x. 2 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx rizik
Hodnocení xxxxx je xxxxxxxxx xxxx funkce, xxxxxx xxxxxxxxx xxxxx, xxxxxx x zranitelnost.
Pro hodnocení xxxxx xxx xxxxxx xxxxxxx xxxx funkci
riziko = dopad x xxxxxx x xxxxxxxxxxxx.
Xxxxxxxxxxx xxxxxx xxxxxx pro xxxxxx xxxxxx xx xxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxxx
|
Xxxxxxxx xxx xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxx xx x xxxxxxxx xxxxxxx xxxxxx x xxxxxx xxxxxxx x xxxxx xxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx nepřesahuje a) 10 xxxxxxxxx xxxx x xxxxxxxxx xxxxxxxxxxxxx xx xxxx delší než 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xx 5 000 000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx veřejnost x rozsáhlým xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx závažného zásahu xx každodenního života xxxxxxxxxxxxx xxxxxxx 250 xxxx. |
|
Xxxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx x x xxxxxxxx xxxxxxx xxxxxx. Xxxxxx xxxxxxxxxx xxxx se xxxxxxxx v xxxxxxx x) xx 10 mrtvých xxxx od 11 xx 100 xxxx x následnou xxxxxxxxxxxxx xx dobu xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx nebo xxxxxxxxxx xxxxxx xx 5&xxxx;000&xxxx;000 Xx xx 50&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx s xxxxxxxxx xxxxxxxx xxxxxxxxxx služeb xxxx xxxxxx závažného xxxxxx do xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx od 251 xx 2&xxxx;500 xxxx. |
|
Xxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx, xxx trvalý xxxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xx xxxxxxxx x xxxxxxx x) xx 11 xx 100 xxxxxxx nebo xx 101 xx 1 000 xxxx x xxxxxxxxx xxxxxxxxxxxxx xx xxxx delší než 24 hodin nebo b) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xx 50&xxxx;000&xxxx;000 Xx xx 500&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx omezením xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx každodenního xxxxxx xxxxxxxxxxxxx xx 2&xxxx;501 xx 25&xxxx;000 xxxx. |
|
Xxxxxxxx |
Xxxxx xx plošný rozsahem, xxxxxx x xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx se xxxxxxxx x xxxxxxx x) 10 x xxxx xxxxxxx x 1 001 x xxxx xxxx s xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx než 24 xxxxx nebo b) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxxxxxx 500&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx dopad xx xxxxxxxxx x xxxxxxxxx omezením xxxxxxxxxx xxxxxx nebo xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxx xxx 25&xxxx;000 xxxx. |
|
Xxxxxxxx pro hodnocení xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx xxxx xx málo xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx hrozby xxxx xxxxxxxx xxx xxxxxx xx 5 xxx. |
|
Xxxxxxx |
Xxxxxx je xxxx xxxxxxxxxxxxx až pravděpodobná. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx x rozpětí xx 1 roku xx 5 let. |
|
Vysoká |
Hrozba xx pravděpodobná až xxxxx pravděpodobná. Xxxxxxxxxxxxx xxxxxxxxx hrozby xx x xxxxxxx xx 1 xxxxxx do 1 xxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx pravděpodobná xx xxxxxxxx xxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx je xxxxxxxx xxx jednou xx xxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx xxxx xx xxxxxxxx xxxxxxxxxxxxx xxxx pravděpodobné. Xxxxxxxx xxxxxxxx bezpečnostní xxxxxxxx, xxxxx jsou xxxxxxx včas xxxxxxxxx xxxxx slabiny xxxx xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxxxxxx je xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxxxxx xx pravidelně xxxxxxxxxxxx. Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx xx xxxxxxx. Xxxxxx xxxxx xxxxx xxxxxxx pokusy x překonání xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx xx xxxxxxxxxxxxx xx xxxxx pravděpodobná. Xxxxxxxxxxxx xxxxxxxx existují, xxx jejich účinnost xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx a není xxxxxxxxxx xxxxxxxxxxxx. Xxxx xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx opatření. |
|
Kritická |
Zranitelnost xx xxxxx pravděpodobná až xx xxxxxxxx xxxxx xxxxxxxx. Bezpečnostní xxxxxxxx xxxxxx xxxxxxxxxxx xxxxx xx xxxxxx xxxxxxxx xxxxxx omezena. Xxxxxxxxx xxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx. Xxxx xxxxx xxxxxxx pokusy xxxxxxxxx xxxxxxxxxxxxxx opatření. |
|
Stupnice pro xxxxxxxxx xxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx je xxxxxxxxxx za xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx sníženo xxxx xxxxxxxxx xxxxxxxxxx xxxx x xxxxxxx xxxxx náročnosti xxxxxxxx xx xxxxxx přijatelné. |
|
Vysoké |
Riziko xx xxxxxxxxxx xxxxxxxxxxx x xxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxx x jeho xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxxxxxxxx x xxxx xxx xxxxxxxxxx xxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
X xxxxxxx, xx orgán xxxx xxxxx uvedená v §3 písm. x) xx x) xxxxxx xxxxxxx xxxxxx pro xxxxxxxxxxxx x xxxxxxxxx xxxxx, která xxxxxxxxxxx xxxxxxxxx hrozby x xxxxxxxxxxxxx, je xxxxx xxxxxxxx pro xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxx xx xxxxxx xxxx xx xxxxxx xxxxxxxxxx xxxxxxxxx míry xxxxxx x xxxxxxxxxxxxx. Xx xxxxx xxxxxx xxx xxxxxx xxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx vyjádří xxx úroveň hrozby, xxx i xxxxxx xxxxxxxxxxxxx. Xxxxxxx postupuje x xxxxx xxxx xxxxx xxxxxxx v §3 písm. c) xx x) xxxxxx, xxxxx xxxxxxx jiný xxxxx úrovní xxx xxxxxxxxx xxxxxx, xxxxxx, xxxxxxxxxxxxx x xxxxx.
Xxxxxxx č. 3 x vyhlášce č. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxx
x) Blokové x xxxxxxxx xxxxx xxx ochranu xxxxxxxxxx x xxxxxxxxx
1. Xxxxxxxx Xxxxxxxxxx Xxxxxxxx (AES) x xxxxxxxx xxxxx xxxxx 128, 192 x 256 xxxx Xxxxxx Xxxx Xxxxxxxxxx Xxxxxxxx (3XXX) x xxxxxxxx xxxxx xxxxx 168 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx menším xxx 10 XX, xxxxxxxx přecházet xx XXX.
2. Xxxxxx Data Xxxxxxxxxx Xxxxxxxx (3XXX) x využitím xxxxx xxxxx 112 bitů, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx než 10 XX, postupně xxxxxxxxx xx AES. Xxxxxxxxxx xxxxxxx jedinečného xxxxx xxx každou xxxxxx.
3. Xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxx 128 xxxx, omezené xxxxxxx xxx xx xxxxxxxxx klíče xxxxxx xxx 10 XX.
4. Xxxxxx x využitím xxxxx klíčů 128 xxxx, xxxxxxx xxxxxxx xxx se zatížením xxxxx xxxxxx xxx 10 XX.
5. Xxxxxxx x využitím xxxxx xxxxx 128 až 256 xxxx.
6. Serpent x xxxxxxxx xxxxx xxxxx 128, 192, 256 xxxx.
7. Camellia x využitím délky xxxxx 128, 192 x 256 xxxx.
8. XXXX 2.0, SNOW 3X x využitím xxxxx klíčů 128, 256 bitů.
b) Xxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx
1. XXX,
2. XXX,
3. XXX,
4. Xxxxxxx xxxxxxxx xxxx "Encrypt-then-MAC".
Poznámka:
Schémata typu "Xxxxxxx-xxxx-XXX",xxxx xxxxxxxx x xxxxxxxxx xxxxx xxxxxxx xxxxxxxxx xxxx x x výpočtu MAC xxxxx uvedené módy xxx xxxxxxx integrity.
c) Xxxx šifrování
1. CTR,
2. XXX,
3. XXX,
4. XXX,
Xxxxxxxx:
Xxxx XXX x CFB xxxx být použity x náhodným, xxx xxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx použití xxxx OFB xx xxx xxxx xxxx xxxxx opakovat xxxxxxx xxxxxxxxxxxxxxx xxxxxxx, xxx xxxxxxx xxxx XXX xx pro xxxx xxxx nesmí opakovat xxxxxxx xxxxxx, v xxxxxxx xxxxxxx CBC xxxx k xxxxxxxxx xxx ochrany xxxxxxxxx xx xxxxx xxxxxx xxxxxxxx xxxxx xxxxx xx xxxxxxx XXX xxxx.
x) Xxxx xxx xxxxxxx xxxxxxxxx
1. XXXX,
2. XXX-XXX-X9.19, omezené xxxxxxx xxx xx zatížením xxxxxx než 109 XXX,
3. XXX-XXX-XXXX,
4. CMAC.
(2) Xxxxxxxxxxx algoritmy
a) Pro xxxxxxxxxxx xxxxxxxxxxx xxxxxxx
1. Xxxxxxx Signature Xxxxxxxxx (XXX) x využitím xxxxx xxxxx 2048 xxxx x více, xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx 224 bitů x xxxx.
2. Elliptic Xxxxx Digital Signature Xxxxxxxxx (XX-XXX) x xxxxxxxx xxxxx klíčů 224 xxxx a xxxx.
3. Rivest-Shamir-Adleman Probablistic Xxxxxxxxx Xxxxxx (XXX-XXX) x xxxxxxxx délky xxxxx 2048 xxxx x xxxx.
x) Xxx xxxxxxx xxxxx na xxxxx x xxxxxxxxx xxxxx
1. Diffie-Hellman (XX) x xxxxxxxx xxxxx xxxxx 2048 xxxx x více, délky xxxxxxxxx cylické xxxxxxxx 224 bitů x xxxx.
2. Elliptic Curve Xxxxxx-Xxxxxxx (XXXX) x xxxxxxxx xxxxx klíčů 224 xxxx a xxxx.
3. Elliptic Xxxxx Xxxxxxxxxx Xxxxxxxxxx System - Xxx Encapculation Xxxxxxxxx (XXXXX-XXX) s xxxxxxxx délky xxxxx 256 xxxx x xxxx.
4. Xxxxxxxx Xxxxxx Xxxxxxxx Curve - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXXX-XXX) s xxxxxxxx xxxxx klíčů 256 xxxx xxxx.
5. Asymetrie Xxxxxxx xxx Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) x xxxxxxxx délky xxxxx 256 xxxx x xxxx.
6. Rivest Xxxxxx Xxxxxxx - Xxxxxxx Asymetrie Encryption Xxxxxxx (RSA-OAEP) s xxxxxxxx délky klíčů 2048 x více.
7. Xxxxxx Shamir Xxxxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (RSA-KEM) x xxxxxxxx xxxxx klíčů 2048 x xxxx.
(3) Xxxxxxxxx hash xxxxxx
x) XXX-2
1. XXX-224,
2. XXX-256,
3. XXX-384,
4. XXX-512,
5. SHA-512/224,
6. XXX-512/256.
x) XXX-3
1. SHA3-224,
2. XXX3-256,
3. XXX3-384,
4. XXX3-512,
5. XXXXX-128,
6. SHAKE-256.
c) Xxxxxxx xxxxxxxx xxxxxx
1. Xxxxxxxx,
2. XXXXXX-160,
3. SHA 1 x xxxxxxxx xxxxxxxx.
Xxxxxxxx x. 1:
XXX-1 se xxxxx používat pro xxxxxxxxxx xxxxxx digitálních xxxxxxx, xxxxxxxx xxxxxxx, xxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx nekolizní XXX-1.
Xxxxxxxx x. 2:
XXX-1 xxx xxxxxxxx pouze xxx xxxxxxxxx již xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxx, xxxxxxxxxx x ověřování XXXX-XXX1, xxxxxx xxx xxxxxxxxxx xxxxx x xxxxxxxxxxxxx xxxxxxxxxx.
Xxxxxxx x. 4 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
Xxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxxxx struktury xxxxxxxxxxxx dokumentů xxxxxxxx xxxxxx, která jednotlivé xxxxxxxxx xxxxx xxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxx dokumentů xxxxxx xxxxxxx x xx xx xxxxxx xxxx xxxxx uvedené x §3 xxxx. x) až x) xxxxxx, xxxx xxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx. Přípustná xx x xxxxx xxxxx xxxxxxxxxxxx dokumentů xxxx integrování více xxxxx xx xxxxxxx xxxxxxxxx.
X. Xxxxxxxxx bezpečnostní xxxxxxxx
(1) Politika xxxxxxx xxxxxx bezpečnosti informací*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. a)]
a) Xxxx, xxxxxxxx x xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Rozsah x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxx xxxxxx x xxxxxxx xxxxxxx řízení xxxxxxxxxxx informací.
e) Xxxxxxxx x postupy xxx xxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx a xxxxxxx pro xxxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx xxx nápravná xxxxxxxx x zlepšování xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
(2) Politika organizační xxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Určení xxxxxxxxxxxxxx xxxx x xxxxxx xxxx a povinností,
1. xxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
2. xxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
3. xxxxx x xxxxxxxxxx xxxxxxxx kybernetické xxxxxxxxxxx,
4. xxxxx a povinnosti xxxxxxx aktiv,
5. práva x povinnosti výboru xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxx.
(3) Xxxxxxxx xxxxxx dodavatelů**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. c)]
a) Xxxxxxxx x principy xxx xxxxx xxxxxxxxxx.
x) Xxxxxxxx pro hodnocení xxxxx xxxxxxxxxx.
x) Xxxxxxxxxxx xxxxxxx x úrovni xxxxxx a způsobů x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a x určení xxxxxxxx xxxxxxx xxxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx opatření.
e) Xxxxxxxx xxx hodnocení xxxxxxxxxx.
(4) Xxxxxxxx xxxxxxxxxxx xxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxxxx, hodnocení x evidence xxxxxxxxxx xxxxx
1. určení a xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx určení xxxxxx garanta,
2. xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx x hlediska xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxxxxxxx, xxxxxxxxx a xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x evidence xxxxxxxxxxxx podpůrných aktiv xxxxxx xxxxxx xxxxxx xxxxxxx,
2. určení xxxxx xxxx primárními x xxxxxxxxxx aktivy.
c) Xxxxxxxx xxxxxxx jednotlivých xxxxxx xxxxx
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx úrovní aktiv,
2. xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx xxxxx xxxxx úrovní xxxxx,
3. xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxxx xxxxxxx nebo xxxxxx xxxxxxxxxxx xxxxxx xxx.
(5) Xxxxxxxx bezpečnosti xxxxxxxx xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx rozvoje xxxxxxxxxxxxxx povědomí x xxxxxxx xxxx hodnocení
1. xxxxxxx a formy xxxxxxx xxxxxxxxx,
2. způsoby x xxxxx xxxxxxx xxxxxxx xxxxx,
3. způsoby x xxxxx poučení xxxxxxxxxxxxxx,
4. způsoby a xxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx bezpečnostní xxxx.
x) Xxxxxxxxxxxx školení xxxxxx zaměstnanců.
c) Xxxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx politiky xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxxxxxx vztahu xxxx xxxxx xxxxxxxx xxxxxx.
1. xxxxxxx xxxxxxxxx xxxxx a odebrání xxxx xxx ukončení xxxxxxxxxx xxxxxx,
2. změna xxxxxxxxxxxx xxxxxxxxx xxx xxxxx pracovní xxxxxx.
(6) Xxxxxxxx xxxxxx xxxxxxx x komunikací**
[§5 odst. 1 xxxx. f), §5 odst. 2 xxxx. x)]
x) Xxxxxxxxx x xxxxxxxxxxxx spojené x bezpečným xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx x standardy xxxxxxxxxx xxxxxxx.
x) Xxxxxx xxxxxxxxxxx zranitelností.
e) Pravidla x omezení pro xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x bezpečnostních xxxxx.
(7) Xxxxxxxx xxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. g), §5 xxxx. 2 písm. x)]
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (xxxx xx xxxx).
x) Xxxxxxxxx xx řízení xxxxxxxx.
x) Xxxxxxx cyklus xxxxxx xxxxxxxx.
x) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.
x) Řízení xxxxxxxx xxx xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx přezkoumání xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx.
(8) Politika xxxxxxxxxx xxxxxxx xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxx pro xxxxxxxx xxxxxxxxx s xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx x xxxxxxxx xx xxxxxxxx.
x) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx chování xx xxxxxxxxxx sítích.
f) Bezpečnost xx xxxxxx x xxxxxxxx zařízením.
(9) Xxxxxxxx xxxxxxxxxx x xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. i)]
a) Xxxxxxxxx xx xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx uložení xxxxx.
x) Xxxxxxxx x xxxxxxx obnovy.
e) Pravidla x xxxxxxx xxxxxxxxx xxxxxxxxxx x xxxxxx.
(10) Xxxxxxxx bezpečného předávání x xxxxxx xxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx xxxxxxx elektronické výměny xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx kryptografické xxxxxxx.
(11) Xxxxxxxx xxxxxx technických xxxxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx vybavení,
b) Xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx programových xxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxxx oprav xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
(12) Xxxxxxxx xxxxxxxxxx xxxxxxxxx mobilních xxxxxxxx*
[§5 xxxx. 1 xxxx. 1)]
a) Pravidla x xxxxxxx xxx xxxxxxxx používání xxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x x) zákona xxxxxxxxxxx.
(13) Xxxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx a xxxxxxxxx*
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxxx vybavení x xxxx xxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
(14) Xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx*
[§5 odst. x xxxx. n)]
a) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxx.
x) Ochrana archivovaných xxxxxxxxx x xxxxxxx.
x) Xxxxxxxx přístupu k xxxxxxxxxxxx dokumentům x xxxxxxxx.
(15) Xxxxxxxx xxxxxxx xxxxxxxx xxxxx*
[§5 xxxx. x písm. x), §5 xxxx. 2 xxxx. x)]
x) Charakteristika xxxxxxxxxxxxxx xxxxxxxx údajů.
b) Xxxxx xxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
x) Popis přijatých x provedených xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx údajů.
(16) Xxxxxxxx xxxxxxx xxxxxxxxxxx**
[§5 odst. x písm. p)]
a) Xxxxxxxx xxx xxxxxxx xxxxxxx.
x) Pravidla xxx xxxxxxxx xxxxxx osob.
c) Xxxxxxxx xxx xxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxx.
(17) Xxxxxxxx xxxxxxxxxxx komunikační xxxx**
[§5 xxxx. 1 písm. x)]
x) Xxxxxxxx x xxxxxxx xxx zajištění xxxxxxxxxxx sítě.
b) Xxxxxx xxxx x povinností xx xxxxxxxx provoz xxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxx xxxxxxxx x rámci xxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxxxx k xxxx.
x) Pravidla x xxxxxxx xxx monitorování xxxx a xxxxxxxxxxxxx xxxxxxxxxx záznamů.
(18) Xxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx*
[§5 xxxx. x xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxx x vnější sítí.
b) Xxxxxxxx x postupy xxx ochranu serverů x xxxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx ochranu xxxxxxxxxx xxxxxx.
(19) Xxxxxxxx xxxxxxxx a používání xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx pro xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx vyhodnocování x xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx nastavení xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(20) Xxxxxxxx xxxxxxx x xxxxxx xxxxxxxx xxx xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx a xxxxxxx pro xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
b) Pravidla x xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx pro xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx optimální xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
(21) Politika xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxx x xxxxxxx xx xxx x sílu xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx ochrany xxxxxxxxx
1. xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx,
2. při xxxxxxx xx xxxxxxx xxxxxxxx nebo xxxxxxxxxxx xxxxxxxxx xxxxx xxx,
x) Xxxxxx xxxxxx xxxxx.
XX. Xxxxxxxxx xxxxx dokumentace
(1) Xxxxxx z xxxxxx xxxxxxxxxxxx bezpečnosti**
[§28 xxxx. 1 xxxx. x)]
x) Xxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Kritéria xxxxxx kybernetické bezpečnosti.
d) Xxxxxxxxxxxxxx týmu xxxxxxxx x osob, xxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx zúčastnily.
e) Xxxxx x xxxxx, kde xxxx prováděny činnosti xxx auditu kybernetické xxxxxxxxxxx.
x) Xxxxxxxx z xxxxxx kybernetické bezpečnosti.
g) Xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(2) Xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx**
[§28 odst. 1 xxxx. c)]
a) Xxxxxxxxxxx opatření z xxxxxxxxxxx xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx informací,
b) Xxxxxxxxxxxx změn x xxxxxxxxx, xxxxx mohou xxx xxxx xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Zpětná xxxxx x výkonnosti xxxxxx xxxxxxxxxxx xxxxxxxxx
1. neshody x nápravná opatření,
2. xxxxxxxx xxxxxxxxxxxx x xxxxxx,
3. výsledky xxxxxx,
4. xxxxxxxx cílů bezpečnosti,
d) Xxxxxxxx hodnocení xxxxx x stav xxxxx xxxxxxxx rizik.
e) Identifikace xxxxxxxx xxx neustálé xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx opatření x xxxx zajišťujících xxxxx xxxxxxxxxxxx xxxxxxxx.
(3) Xxxxxxxx xxx xxxxxxxxxxxx x hodnocení xxxxx x xxx identifikaci x hodnocení xxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx důvěrnosti xxxxx,
2. určení stupnice xxx xxxxxxxxx xxxxxx xxxxxxxxx aktiv,
3. určení xxxxxxxx xxx hodnocení xxxxxx xxxxxxxxxxx xxxxx.
x) Xxxxxx stupnice xxx xxxxxxxxx xxxxx
1. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,
2. určení xxxxxxxx pro hodnocení xxxxxx hrozby,
3. určení xxxxxxxx pro hodnocení xxxxxx xxxxxxxxxxxxx,
4. určení xxxxxxxx pro xxxxxxxxx xxxxxx rizik,
a) Xxxxxx x přístupy xxx xxxxxxxx xxxxx.
x) Způsoby xxxxxxxxxxx xxxxxxxxxxxx xxxxx.
(4) Xxxxxx x xxxxxxxxx xxxxx x xxxxx**
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. x)]
x) Xxxxxxx primárních xxxxx
1. xxxxxxxxxxxx x popis xxxxxxxxxx aktiv,
2. určení xxxxxxx xxxxxxxxxx aktiv,
3. xxxxxxxxx xxxxxxxxxx xxxxx x hlediska xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxx podpůrných xxxxx (xxxxxxx pro xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx)
1. identifikace x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx,
x) Xxxxxxxxxxxxxx x xxxxxxxxx xxxxx
1. xxxxxxxxx xxxxxxx xxxxxx xx xxxxxx,
2. xxxxxxxxx existujících xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
4. xxxxxxxxx xxxxxx rizika, xxxxxxxxx xxxx xxxxxx x kritérii xxx xxxxxxxxxxxx xxxxx,
5. xxxxxx x xxxxxxxxx přijatelných xxxxx.
x) Xxxxxxxx xxxxx
1. xxxxx xxxxxxx zvládání xxxxx,
2. xxxxx xxxxxxxx x jejich xxxxxxxxx.
(5) Xxxxxxxxxx x xxxxxxxxxxxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. d)]
a) Xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxx výběru a xxxxxx xxxxx xx xxxxxxxxxxxxxx rizika.
b) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(6) Xxxx xxxxxxxx xxxxx**
[§28 xxxx. 1 xxxx. x), §28 odst. 2 písm. e)]
a) Xxxxx a xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
b) Xxxxxxxx zdroje xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx zvládání xxxxx.
x) Xxxxx xxxxxxxxxxx jednotlivá xxxxxxxxxxxx opatření pro xxxxxxxx rizik.
d) Termíny xxxxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxxxx zavedení jednotlivých xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
(7) Xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 písm. x)]
x) Xxxxx x termíny xxxxxxx xxxxxxxxx.
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxx xxxxx (xxxxxxx xxx xxxxxx x xxxxx xxxxxxx v §3 xxxx. x) xxxxxx).
x) Obsah x xxxxxxx poučení xxxxxxxxxxxxxx (xxxxxxx xxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) xxxxxx).
x) Obsah x xxxxxxx poučení xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
e) Obsah x termíny xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxx x xxxxxxx hodnocení xxxxx.
(8) Zvládání kybernetických xxxxxxxxxxxxxx incidentů**
[§28 odst. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxx xxxxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx pro xxxxxxxx x zvládání jednotlivých xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx systému xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(9) Xxxxxxxxx xxxxxx kontinuity xxxxxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. h)]
a) Xxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxx xxxxxx xxxxxxxxxx xxxxxxxx
1. xxxxxxxxx xxxxxx poskytovaných xxxxxx,
2. doba xxxxxxxx xxxxx,
3. xxx xxxxxxxx xxxxx.
x) Strategie xxxxxx xxxxxxxxxx xxxxxxxx xxx xxxxxxxx cílů xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxx dopadů xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxxx rizik.
e) Xxxxxx x xxxxx xxxxxxxxxx plánů kontinuity.
f) Xxxxxxx pro xxxxxxxxx xxxxxxxx xxxxxxxx Národním xxxxxxxxxxxxx xxxxxx.
(10) Přehled xxxxxx xxxxxxxxx právních xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx*
[§28 xxxx. 1 písm. x), §28 odst. 2 xxxx. x)]
x) Xxxxxxx obecně xxxxxxxxx xxxxxxxx předpisů.
b) Přehled xxxxxxxxx předpisů x xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxx.
Xxxxxxxx:
* Xxxxxxxxx xxxxxxxxx dokumentu xx xx xxxxxx xxxxxxx xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx x úroveň xxxxx.
** Xxxxxxxxx důvěrnost xxxxxxxxx xx xx xxxxxx xxxxxx podle xxxxxxxx xxxxxxx v příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.
Příloha č. 5 x xxxxxxxx x. 316/2014 Sb.
Formulář hlášení xxxxxxxxxxxxxx bezpečnostního incidentu
Vyplnitelný formulář ve formátu PDF
Xxxxxxx x. 6 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx x. 7 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxx
Vyplnitelný formulář ve formátu PDF
Informace
Právní xxxxxxx x. 316/2014 Sb. xxxxx xxxxxxxxx xxxx 1.1.2015.
Xx xxx xxxxxxxx xxxxxx xxxxxxx nebyl xxxxx xx xxxxxxxxx.
Xxxxxx xxxxxxx x. 316/2014 Sb. xxx xxxxxx xxxxxxx xxxxxxxxx č. 82/2018 Sb. x xxxxxxxxx xx 28.5.2018.
Xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx právních xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx se xxxx xxxxxx derogační xxxxx xxxxx uvedeného xxxxxxxx xxxxxxxx.
1) ISO/IEC 27001:2013, xxxxxxxx ČSN XXX/XXX 27001:2014