Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
VYHLÁŠKA
ze xxx 15. xxxxxxxx 2014
x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x x stanovení xxxxxxxxxxx xxxxxx v xxxxxxx kybernetické xxxxxxxxxxx (xxxxxxxx x kybernetické xxxxxxxxxxx)
Xxxxxxx xxxxxxxxxxxx úřad xxxxxxx xxxxx §28 xxxx. 2 zákona x. 181/2014 Xx., x xxxxxxxxxxxx xxxxxxxxxxx x x xxxxx xxxxxxxxxxxxx zákonů (zákon x kybernetické xxxxxxxxxxx), (xxxx jen "xxxxx") x provedení §6 xxxx. a) až x), §8 xxxx. 4, §13 odst. 4 x §16 xxxx. 6 zákona.
ČÁST XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxxx vyhláškou xx xxxxxxx xxxxx a xxxxxxxxx bezpečnostní dokumentace xxx informační systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxx xxxxxxxxxx systém, xxxxx bezpečnostních xxxxxxxx, xxxxxx xxxxxx xxxxxxxx, xxxx a xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních incidentů, xxxxxxxxxxx x způsob xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx oznámení x provedení xxxxxxxxxxx xxxxxxxx a xxxx xxxxxxxx x xxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxx formu.
§2
Vymezení xxxxx
X xxxx xxxxxxxx xx xxxxxx
x) xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx systému xxxxxx orgánu a xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxxxxxx xx xxxxxxxx x rizikům informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného informačního xxxxxxx, xxxxx stanoví xxxxxx xxxxxxxx, zavádění, xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx x zlepšování xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx aktivum x xxxxxxxx aktivum,
c) primárním xxxxxxx xxxxxxxxx nebo xxxxxx, kterou xxxxxxxxxx xxxx poskytuje xxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx aktivum, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xx na xxxxxxx, xxxxxxx, xxxxxx xxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx systému,
e) xxxxxxxxxx aktivem xxxxxxxxx xxxxxxxx, komunikační xxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému a xxxxxxx, ve xxxxxxx xxxx tyto systémy xxxxxxxx,
x) xxxxxxx možnost, xx xxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxxx aktiva,
g) hodnocením xxxxx proces, při xxxx xx xxxxxxxx xxxxxxxxxx xxxxx x xxxxxx xxxxxxxxxx úroveň,
h) xxxxxxx xxxxx činnost xxxxxxxxxx xxxxxxxxx xxxxx, xxxxx x xxxxxxxx xxxxxxxx ke xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx x xxxxxx x xxxxxxxxx x přezkoumání xxxxx,
x) hrozbou xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxx kybernetického xxxxxxxxxxxxxx incidentu, xxxxxx xxxxxxxxx může být xxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxx xxxxx xxxxx aktiva xxxx bezpečnostního xxxxxxxx, xxxxx může xxx xxxxxxxx xxxxxx nebo xxxx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxx xxxxxx zbývající xx uplatnění xxxxxxxxxxxxxx xxxxxxxx, jehož xxxxxx xxxxxxxx xxxxxxxxx pro xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxx soubor zásad x pravidel, xxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxx xxxxxxx x xxxxxx uvedenou x §3 písm. x) až e) xxxxxx,
x) xxxxxxxx xxxxxx xxxxxxx xxxxx pověřená xxxxxxx xxxx xxxxxx xxxxxxxx x §3 xxxx. x) až x) zákona x xxxxxxxxx xxxxxxx, xxxxxxx x bezpečnosti aktiva,
n) xxxxxxxxxx fyzická xxxx xxxxxxxxx osoba xxxxx xxxxx veřejné xxxx, xxxxx xxxxxxx primární xxxxxx,
x) xxxxxxxxxxxxxxx fyzická xxxxx xxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxx, xxxxxx, použití, údržbu x xxxxxxxxxx xxxxxxxxxxx xxxxxx.
ČÁST DRUHÁ
BEZPEČNOSTNÍ XXXXXXXX
XXXXX X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx řízení xxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx v xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) stanoví x xxxxxxx xx xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xx kterém xxxx, xxxxxxx xxxxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxx se xxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx,
x) xxxx xxxxxx xxxxx §4 odst. 1,
x) xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx hlavní xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx xx vztahu x xxxxxx xxxxxxxxxxx xxxxxxxxx a na xxxxxxx bezpečnostních potřeb x výsledků xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxx xxxxxxxxx xxxxx §5 x zavede xxxxxxxxx xxxxxxxxxxxx opatření,
d) xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx opatření,
e) xxxxxxxxxxx xxxxxxxx x xxxxxxxx bezpečnostní xxxxxxxx xxxxx §5,
f) zajistí xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx podle §15, x xx nejméně xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxxxx systému xxxxxx xxxxxxxxxxx informací, xxxxx obsahuje xxxxxxxxx xxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxx, xxxxxxxxx výsledků xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx na systém xxxxxx xxxxxxxxxxx xxxxxxxxx, x to xxxxxxx xxxxxx xxxxx,
x) xxxxxxxxxxx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xx základě xxxxxxxx auditů kybernetické xxxxxxxxxxx, xxxxxxxx vyhodnocení xxxxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx x x xxxxxxxxxxx x xxxxxxxxxxx nebo xxxxxxxxxxx xxxxxxx x
x) xxxx xxxxxx x zdroje xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxx xxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. e) zákona x xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxx xxxxxx podle §4 odst. 2,
x) xxxxxxx a xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, xxxxx xxxxxxxx hlavní xxxxxx, xxxx, xxxxxxxxxxxx potřeby, xxxxx a xxxxxxxxxx xx xxxxxx x xxxxxx bezpečnosti xxxxxxxxx x xx základě xxxxxxxxxxxxxx xxxxxx x xxxxxxxx hodnocení xxxxx xxxxxxx bezpečnostní xxxxxxxx x dalších oblastech xxxxx §5, a xxxxxx xxxxxxxxx bezpečnostní xxxxxxxx x
x) provádí xxxxxxxxxxx xxxxxx x xxxxxxxxx xxxxx x xxxxx, xxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx rizik x plánu rozvoje xxxxxxxxxxxxxx xxxxxxxx, x xx xxxxxxx xxxxxx xx xxx roky xxxx x xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx.
§4
Xxxxxx xxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx x xxxxx xxxxxx rizik
a) xxxxxxx xxxxxxxx pro xxxxxxxxxxxx x hodnocení xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx rizik xxxxxx stanovení xxxxxxxx xxx přijatelnost rizik,
b) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxx, xxxxx xxxxx do xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxx §8 x rozsahu přílohy č. 1 x xxxx xxxxxxxx x xxxxxxx zapracuje xx xxxxxx o xxxxxxxxx xxxxx a xxxxx,
x) identifikuje xxxxxx, xxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxxxxx, xxxxxxx xxxxx xxxxxx xx xxxxxx, xxxxxxx xxxx xxxxxx xxxxxxxxx x xxxxxxx podle přílohy č. 2 k xxxx xxxxxxxx, určí a xxxxxxx xxxxxxxxxx rizika x xxxxxxxx zprávu x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x výsledků xxxxxxxxx xxxxx prohlášení x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxx bezpečnostních xxxxxxxx,
x) zpracuje x xxxxxx plán xxxxxxxx xxxxx, který obsahuje xxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, technické, lidské x informační zdroje, xxxxxx xxxxxx xxxxxxxx x xxxxx xxxxx xxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxxx odkladu reaktivní x xxxxxxxx xxxxxxxx xxxxxx Xxxxxxxx bezpečnostním xxxxxx (xxxx xxx "Xxxx") v xxxxxxxxx xxxxx a x xxxxxxx, xx xxxxxxxxx xxxxx xxxxxxxxxxxxx o xxxx xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx reaktivního xxxx xxxxxxxxxx opatření xxxxxxxx stanovená xxxxxxxx xxx xxxxxxxxxxxx xxxxx, xxxxxx xxxx xxxxxxxx xxxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. e) xxxxxx x rámci xxxxxx xxxxx
x) xxxxxxx xxxxxxxx pro identifikaci x hodnocení xxxxx x xxx xxxxxxxxxxxx x hodnocení xxxxx xxxxxx xxxxxxxxx xxxxxxxx xxx přijatelnost rizik,
b) xxxxxxxxxxxx a hodnotí xxxxxxxxxx xxxxxxxxxx xxxxx, xxxxx xxxxx xx xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, podle §8 minimálně x xxxxxxx přílohy č. 1 x xxxx vyhlášce x xxxxxxx xxxxxxxxx xx xxxxxx x hodnocení xxxxx a xxxxx,
x) xxxxxxxxxxxx xxxxxx, při xxxxxxx zohlední xxxxxx x zranitelnosti, xxxxxxx xxxxx dopady xx xxxxxxxx xxxxxx, xxxxxxx xxxx xxxxxx xxxxxxxxx x xxxxxxx podle přílohy č. 2 x xxxx xxxxxxxx x xxxxxxxx xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx opatření,
e) xxxxxxxx x xxxxxx plán xxxxxxxx xxxxx, xxxxx xxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx bezpečnostních xxxxxxxx xxx xxxxxxxx rizik, xxxxxxxx finanční, xxxxxxxxx, xxxxxx x xxxxxxxxxx xxxxxx, termíny xxxxxx xxxxxxxx x popis xxxxx mezi xxxxxxxxxxxxxxxx xxxxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx a
f) xxxxxxxx bez xxxxxxxxxx xxxxxxx reaktivní x xxxxxxxx opatření xxxxxx Xxxxxx v xxxxxxxxx xxxxx x x xxxxxxx, že hodnocení xxxxx xxxxxxxxxxxxx x xxxx zranitelnosti xxxxxxx x realizací reaktivního xxxx ochranného opatření xxxxxxxx xxxxxxxxx kritéria xxx přijatelnost xxxxx, xxxxxx xxxx xxxxxxxx xxxxx.
(3) Xxxxxx xxxxx xxxx být zajištěno x xxxxxx způsoby, xxx xxx xx xxxxxxxxx x odstavcích 1 a 2, xxxxx xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx e) xxxxxx xxxxxxxxx, xx používá xxxxxxxx zajišťující xxxxxxx xxxx xxxxx úroveň xxxxxx xxxxx.
(4) Xxxxx x xxxxx uvedená x §3 písm. x) xx e) xxxxxx xxx hodnocení xxxxx zvažuje xxxxxxx xxxx xxxxxx
x) porušení xxxxxxxxxxxx politiky, xxxxxxxxx xxxxxxxxxxxxx činností, xxxxxxxx xxxxxxxxx ze xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx anebo xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxxx xxxxxxx xxxxx,
x) užívání xxxxxxxxxxxx vybavení x xxxxxxx x xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx xxxx x komunikační xxxx,
x) xxxxxxxx xxx (například xxxx, spyware, xxxxxxx xxxx),
x) xxxxxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx významného informačního xxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxx xxxxxxx,
x) zneužití xxxx xxxxxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxx působící xxxxxx x
x) odcizení nebo xxxxxxxxx aktiva.
(5) Xxxxx x osoba uvedená x §3 xxxx. x) xx x) xxxxxx při xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxx zranitelnosti
a) xxxxxxxxxxxx xxxxxxx vnějšího xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxxxxx údržba xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxxxx nastavení xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx xxx xxxxxxxxxxxxxx x xxxxxxxx negativních xxxxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx monitorování xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx x neschopnost xxxxxxx xxxxxx xxxxxxxx xxxx xxxxxxx způsoby chování x
x) xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxx nejednoznačné xxxxxxxx xxxx a xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxxxxxxxx xxxx.
(6) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxx hodnocení xxxxx xxxx xxxxxxx xxxx xxxxxx
x) porušení xxxxxxxxxxxx politiky, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx ze strany xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) pochybení xx xxxxxx xxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx prostředků, xxxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxx,
x) nedostatek zaměstnanců x xxxxxxxxx odbornou xxxxxx,
x) cílený xxxxxxxxxxxx xxxx pomocí xxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxx x
x) xxxxxxxx xxxxxxxxxxxxx technických xxxxxx xxx.
(7) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x x) zákona xxx hodnocení xxxxx xxxx xxxxxxx xxxx xxxxxxxxxxxxx
x) nedostatečná ochrana xxxxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,
x) nedostatečná xxxx xxxxxxxxx xxxxxxxx a
d) xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxxx.
§5
Xxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 písm. x) x x) xxxxxx stanoví bezpečnostní xxxxxxxx x xxxxxxxxx
x) xxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxx,
x) xxxxxx vztahů x xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx xxxxxxxx zdrojů,
f) xxxxxx xxxxxxx x xxxxxxxxxx,
x) řízení xxxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x xxxxxx,
x) xxxxxxxx xxxxxxxxx x xxxxxx informací,
k) xxxxxx xxxxxxxxxxx zranitelností,
l) xxxxxxxx xxxxxxxxx mobilních zařízení,
m) xxxxxxxxxxx a xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx,
x) xxxxxxx osobních xxxxx,
x) fyzická xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxxx škodlivým xxxxx,
x) xxxxxxxx a xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) využití a xxxxxx xxxxxxxx xxx xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. e) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxx,
x) xxxxxx xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx lidských xxxxxx,
x) řízení provozu x xxxxxxxxxx,
x) řízení xxxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxx,
x) zálohování x xxxxxx,
x) xxxxxxxxxxx a xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx,
x) xxxxxxx xxxxxxxx údajů,
l) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxx škodlivým xxxxx x
x) xxxxxxxx x xxxxxxxxx nástroje xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx x xxxxx uvedená x §3 xxxx. x) až x) xxxxxx pravidelně hodnotí xxxxxxxx bezpečnostní xxxxxxxx x xxxxxxxxxxx ji.
§6
Xxxxxxxxxxx xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx xxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, x rámci xxxxx xxxx xxxxx pro xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxx role x jejich xxxxx x povinnosti související x informačním systémem xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx infrastruktury xxxx xxxxxxxxx xxxxxxxxxxx systémem.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx určí xxxxxxxxxxxx role
a) manažer xxxxxxxxxxxx bezpečnosti,
b) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) auditor xxxxxxxxxxxx xxxxxxxxxxx a
d) xxxxxx xxxxxx podle §2 písm. m).
(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. e) určí xxxxxxxxxxxx xxxx xxxxxxxxx xxxxx odstavce 2.
(4) Xxxxxxx xxxxxxxxxxxx bezpečnosti xx xxxxx, xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, která xx xxx tuto xxxxxxx xxxxxxxxx x xxxxxxx odbornou způsobilost xxxxx s xxxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxx xxxxxxx xxx xxx.
(5) Xxxxxxxxx kybernetické xxxxxxxxxxx xx xxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxxx bezpečnostních xxxxxxxx, xxxxx xx pro xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xx xxxx xxxxxxx xxx xxx.
(6) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx provádějící xxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xx xxx tuto xxxxxxx vyškolena x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x prováděním xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx dobu xxxxxxx xxx xxx. Auditor xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxxxxx x xxxxx jeho xxxx je xxxxxxx xx výkonu rolí xxxxxxxxx x xxxxxxxx 2 xxxx. x), x) nebo x).
(7) Xxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx je xxxxxxxxxxxx skupina xxxxxxx xxxxxxx, které xxxx xxxxxxxx xxxxxxxx řízením x xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, anebo se xxxxxxxx xxxxxxxx na xxxxxx x koordinaci xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx těchto xxxxxxx.
(8) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx odborné xxxxxxx xxxx, které zastávají xxxxxxxxxxxx xxxx x xxxxxxx s xxxxxx xxxxxxx xxxxxxxxxxxxxx povědomí xxxxx §9 xxxx. 1 xxxx. x).
§7
Stanovení xxxxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až e) xxxxxx xxxxxx xxxxxxxx xxx dodavatele, která xxxxxxxxxx potřeby xxxxxx xxxxxxxxxxx xxxxxxxxx, x xxxxxxxx xx x xxxxxxxxxx xxxx xxxxxx xxxx, xxxxx xx xxxxxxxx na rozvoji, xxxxxxx xxxx zajištění xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx informačního xxxxxxx. Xxxxxx xxxxxxxx xxxxxxxxxx xx xxxxxxx, provozu xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxxxxxx xxxxxxxxxxx xxxxx a xxxxx xxxxxxx v §3 xxxx. c) xx x) xxxxxx xxxxxxxx, jejíž xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx u dodavatelů xxxxxxxxx v xxxxxxxx 1 xxxx
x) xxxx xxxxxxxxx smlouvy provádí xxxxxxxxx xxxxx xxxxx přílohy č. 2 x této xxxxxxxx, xxxxx xxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxx x xxxxxx služeb, xxxxx xxxxxxx způsoby x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření x xxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx za xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx opatření, x
x) xxxxxxx pravidelné hodnocení xxxxx x pravidelnou xxxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx u xxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxx nebo xx xxxxxx s xxxxxxxxxxx zajistí xxxxxx xxxxxxxxxx.
§8
Xxxxxx aktiv
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx v rámci xxxxxx xxxxx
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxx,
x) xxxx xxxxxxx xxxxx, kteří xxxx xxxxxxxxx xx xxxxxxxx xxxxxx, x
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx aktiv x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x zařadí xx xx xxxxxxxxxxxx úrovní xxxxxxxxx x rozsahu xxxxx přílohy č. 1 x xxxx xxxxxxxx.
(2) Při xxxxxxxxx důležitosti xxxxxxxxxx xxxxx xx xxxxx xxxxxxxxx xxxxxxxx
x) rozsah x xxxxxxxxxx xxxxxxxx xxxxx nebo xxxxxxxxxx xxxxxxxxx,
x) xxxxxx dotčených xxxxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx x kontrolních xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, xxxxxxxxxx xxxx ekonomických xxxxx,
x) xxxxx xxxxxxxx ztráty,
f) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx xxxxxx x xxxxx xxxxxxx v §3 xxxx. c) xx x) xxxxxx,
x) xxxxxx spojené s xxxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x
x) xxxxxx na xxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx dobré xxxxxxx.
(3) Xxxxx x osoba xxxxxxx x §3 xxxx. c) a x) xxxxxx xxxx
x) xxxxxxxxxxxx a eviduje xxxxxxxx xxxxxx,
x) určí xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xx xxxxxxxx aktiva, a
c) xxxx xxxxx xxxx xxxxxxxxxx x podpůrnými xxxxxx x hodnotí xxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.
(4) Xxxxx a xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx xxxx
x) stanoví pravidla xxxxxxx, nutná xxx xxxxxxxxxxx jednotlivých úrovní xxxxx tím, xx
1. xxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxx pravidla pro xxxxxxxxxx a xxxxxxxx x aktivy xxxxx xxxxxx xxxxx, xxxxxx xxxxxxxx xxx bezpečné xxxxxxxxxxxx xxxxxxx x xxxxxxx přenášení xxxxx x
3. xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx aktiv,
b) xxxxxx pravidla xxxxxxx xxxxxxxxxxxx úrovni aktiv x
x) určí způsoby xxx spolehlivé xxxxxxx xxxx ničení xxxxxxxxxxx xxxxxx dat s xxxxxxx na xxxxxx xxxxx.
§9
Bezpečnost xxxxxxxx xxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) až x) xxxxxx v xxxxx řízení xxxxxxxxxxx xxxxxxxx zdrojů
a) xxxxxxx xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxx, xxxxx a xxxxxx potřebných školení x xxxx osoby xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx x xxxxx xxxxxxx,
x) x souladu x xxxxxx xxxxxxx bezpečnostního xxxxxxxx zajistí xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx bezpečnostní xxxx x xxxxxx xxxxxxxxxxxx a x xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) xxxxxxx kontrolu xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxx uživatelů, xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) xxxxxxx vrácení xxxxxxxxx xxxxx a xxxxxxxx přístupových oprávnění xxx xxxxxxxx xxxxxxxxx xxxxxx s xxxxxxxxx, xxxxxxxxxxxxxx nebo osobami xxxxxxxxxxxxx bezpečnostní xxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx vede x xxxxxxx podle xxxxxxxx 1 přehledy, xxxxx xxxxxxxx předmět xxxxxxx a seznam xxxx, které xxxxxxx xxxxxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxx xxxxxxxx xxx xxxxxx xxxx, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx role, xxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxx x xxxxxxx činností xxxxxxxxx x xxxxxxxxxxxxx bezpečnostního xxxxxxxx,
x) určí pravidla x postupy pro xxxxxx případů xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx postavení xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
§10
Řízení provozu a xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx x xxxxx xxxxxx xxxxxxx x komunikací xxxxxx technických nástrojů xxxxxxxxx v §21 xx 23 xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx události, xxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxx x na xxxxxxxx xxxxxxxxxx reaguje x xxxxxxx x §13.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x rámci xxxxxx xxxxxxx x xxxxxxxxxx xxxx xxxxxxxxx bezpečný xxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xx xxxxx xxxxxx xxxxxxx provozní xxxxxxxx x xxxxxxx.
(3) Provozní xxxxxxxx a postupy xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxxxxxx
x) xxxxx x xxxxxxxxxx xxxx zastávajících xxxxxxxxxxxx xxxx, administrátorů x xxxxxxxxx,
x) xxxxxxx xxx xxxxxxxx x ukončení xxxxx xxxxxxx, pro xxxxxxx xxxx xxxxxxxx xxxxx xxxxxxx xx xxxxxxx x xxx xxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxxxxx jevů,
c) xxxxxxx pro sledování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxx ochranu xxxxxxxx x xxxxxxxx x těchto xxxxxxxxxx,
x) xxxxxxx na xxxxxxxxx xxxxx, xxxxx xxxx xxxxxx xxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxxx xxxxxxxxxxx nebo xxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxxxx provozních xxxx x
x) postupy xxx xxxxxxxxx, xxxxxxxxx x řízení xxxxxxxx xxxxxxxx a xxxxxxxxxxx xxxxxx.
(4) Řízení xxxxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxxxxx x provádění xxxxxxxxxxxx xxxxxxxxxx x prověřování xxxxxxxxxxxxx xxxxxxxxxxx xxxxx.
(5) Xxxxxx xxxxxxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) a x) xxxxxx xxxxxxx v
a) xxxxxxxxx oddělení xxxxxxxxxx, xxxxxxxxxxx a xxxxxxxxxxx xxxxxxxxx,
x) řešení xxxxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx xxx, xx orgán x xxxxx uvedená x §3 xxxx. x) a d) xxxxxx
1. xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xx zavedená xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxx xxxxxxxxx xxxxxx x xxx zbytečného xxxxxxx xx oznámí Xxxxx x
2. xxxxxxx xxxxxx xxxxxxxx provedení xxxxxxxxxxx opatření, xxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxx, x určí xxxxxx xxxx xxxx xxxxxxxxx.
(6) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx x xxxxx xxxxxx xxxxxxxxxx
x) xxxxxxxxx xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx xxxx x xxxxxxxxxx xxxxxxxxxxxxx xxxxxx podle §17,
x) xxxx xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxxxxx, xxxxx xxxx přenášeny xxxxxxxxxxxxx xxxxxx,
x) provádí xxxxxx x předávání xxxxxxxxx xx základě pravidel xxxxxxxxxxx právními předpisy xx současného xxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxx pravidla dokumentuje x
x) x xxxxxxx xx xxxxxxxxxxx aktiv xxxxxxx xxxxxx x xxxxxxxxx informací xx xxxxxxx xxxxxxxxx xxxxx, xxxxxxx součástí je xxxxxxxxxx o bezpečnosti xxxxxxxxx.
§11
Xxxxxx přístupu x xxxxxxxx xxxxxxx uživatelů
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx na xxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxx potřeb xxxx xxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačnímu xxxxxxx xxxxxxxx informační infrastruktury x významnému informačnímu xxxxxxx x xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 písm. x) xx e) zákona xxxxxx xxxxxxxx, xxxxx xxxxxx x xxxxxxxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx pro xxxxxxxxxx uživatelů x xxxxxxxxxxxxxx informačního systému xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx systému kritické xxxxxxxxxx infrastruktury a xxxxxxxxxx informačního systému xxxxx §18 x 19, x xxxxx xxxxx xx zneužití xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxx v rámci xxxxxx přístupu
a) přidělí xxxxxxxxxxxxx aplikacím samostatný xxxxxxxxxxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxx,
x) přiděluje x xxxxxxx přístupová xxxxxxxxx v xxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx přístupových xxxxxxxxx včetně rozdělení xxxxxxxxxxxx uživatelů v xxxxxxxxxxxx xxxxxxxxx nebo xxxxxx,
x) xxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx podle §18 x xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §19 a
f) xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx pro bezpečné xxxxxxxxx mobilních xxxxxxxx, xxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxx a xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxxxxxxxxxx.
§12
Xxxxxxxx, vývoj x xxxxxx
(1) Orgán x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxxxxx bezpečnostní požadavky xx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxx, vývojem x údržbou a xxxxxx xx xx xxxxxxxx akvizice, xxxxxx x údržby systému.
(2) Xxxxx a osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxxxxxxx, hodnotí a xxxx xxxxxx xxxxxxxxxxx x xxxxxxxx, xxxxxxx x údržbou xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx; xxx xxxxxxx xxxxxxxxx a řízení xxxxx xx xxxxxxxx xxxxx §4 odst. 1 xxxx. x) xxxxxxx xxxxxxx,
x) zajistí xxxxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxx x
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx před jejich xxxxxxxxx do xxxxxxx.
§13
Zvládání kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx, xxxxx xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx u xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významného xxxxxxxxxxxx xxxxxxx xx strany xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x x xxxxxxxxxx vede xxxxxxx,
x) xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxx oznámených kybernetických xxxxxxxxxxxxxx událostí x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx nástroji xxxxx §21 xx 23, xxxxxxx xxxxxx xxxxxxxxxxx x identifikuje xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx incidentů, xxxxxxx xxxxxxxx xxx xxxxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx, xxxxxxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx xxxxx §32 x zajistí xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního incidentu,
d) xxxxxxxx a xxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx, xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xx xxxxxxx xxxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxx opakování xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x
x) dokumentuje xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
§14
Xxxxxx kontinuity činností
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) až x) xxxxxx v xxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxxx
x) xxxxx x xxxxxxxxxx xxxxxxx xxxxx, xxxxxxxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx xxxx,
x) xxxx xxxxxx xxxxxxxxxx činností xxxxxx xxxxxx
1. minimální xxxxxx xxxxxxxxxxxxx xxxxxx, xxxxx xx xxxxxxxxxx xxx xxxxxxx, xxxxxx x xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému,
2. xxxx xxxxxxxx xxxxx, xxxxx které xxxx xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx obnovena xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx, x
3. xxxx xxxxxxxx xxx xxxx xxxxxxx, xx xxxxxxx xxxxx xxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu, x
x) xxxxxxxxx řízení kontinuity xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxx podle xxxxxxx x).
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx dále
a) xxxxxxxxx x dokumentuje možné xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx xxxxxx související x ohrožením kontinuity xxxxxxxx,
x) stanoví, xxxxxxxxxxx x xxxxxxxxxx testuje xxxxx kontinuity činností xxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx kybernetickému bezpečnostnímu xxxxxxxxx a využívá xxxxxxx xxx xxxxxxxxxxx xxxxxx dostupnosti xxxxx §26 a
d) xxxxxxx x xxxxxxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx podle §13 x 14 xxxxxx, ve xxxxxxx xxxxxxxx
1. xxxxxxxx xxxxxxxxx xxxxx provedení xxxxxxxx,
2. xxxx xxxxxxxxx bezpečnostních xxxxxxxx x
3. xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§15
Xxxxxxxx a xxxxx xxxxxxxx informační xxxxxxxxxxxxxx x významných informačních xxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx x xxxxx kontroly x xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx informačních xxxxxxx (xxxx xxx "xxxxx xxxxxxxxxxxx xxxxxxxxxxx")
x) xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx x právními xxxxxxxx, xxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx x smluvními xxxxxxx vztahujícími se x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury a xxxxxxxxxx informačnímu systému x xxxx xxxxxxxx xxx xxxx xxxxxxxxxxx x
x) provádí a xxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x výsledky těchto xxxxxxx zohlední x xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxx xxxxxxxx xxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx zajišťuje xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti xxxxxx x odbornou xxxxxxxxxxx xxxxx §6 xxxx. 6, xxxxx xxxxxxx xxxxxxxxx x xxxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x d) zákona xxxx pro informační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxx technických xxxxxxxxxx xxxxxx automatizovaných nástrojů x xxxxxx xxxxxxx xxxxxxxxxxx a xxxxxxx xx zjištěné zranitelnosti.
HLAVA XX
XXXXXXXXX XXXXXXXX
§16
Xxxxxxx xxxxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx v §3 písm. x) xx x) xxxxxx x xxxxx xxxxxxx xxxxxxxxxxx
x) přijme xxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxxxx do xxxxxxxxxx xxxxxxx, kde xxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxx xxxxxxxx opatření x xxxxxxxx xxxxxxxxx x xxxxxxx xx xxxxxxxxxx xxxxxxx, xxx xxxx uchovány informace x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx systému, x
x) xxxxxxxxx xxxxxxxxx, xxxxxxx xxxx zneužití xxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 písm. x) x x) xxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxx bezpečnosti
a) xxx xxxxxxxxx xxxxxxx xx xxxxxx objektů a
b) xxx xxxxxxxxx ochrany x xxxxx xxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxx prostor, xx xxxxxxx xxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx.
(3) Xxxxxxxxxx fyzické xxxxxxxxxxx jsou xxxxxxx
x) xxxxxxxxxx zábranné xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx,
x) prostředky xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxx událostí,
e) xxxxxxx xxx xxxxxxxx vstupu,
f) xxxxxxxx xxxxxxx,
x) xxxxxxxx xxx xxxxxxxxx xxxxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxx.
§17
Xxxxxxx xxx ochranu xxxxxxxxx xxxxxxxxxxxxx xxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxx xxxxxxx xxxxxxxxx rozhraní xxxxxx xxxxxxxxxxx xxxx, xxxxx xxxx xxx xxxxxxx xxxxxx xxxx xxxxx, x vnitřní xxxxxxxxxxx sítě, xxxxx xx xxx xxxxxxx xxxxxx nebo xxxxx, xxxxxx
x) řízení xxxxxxxxxx xxxxxxxx xxxx xxxxxx x xxxxxxx xxxx,
x) xxxxxxxxxx zejména xxxxxxxx xxxxxxxxxxxxxxxxxx zón xxxx xxxxxxxxxxx xxxx sítě xxxxxxxxxxx ke zvýšení xxxxxxxxxxx aplikací xxxxxxxxxx x xxxxxx xxxx x k zamezení xxxxx komunikace xxxxxxx xxxx x vnější xxxx,
x) xxxxxxxxxxxxxx xxxxxxxxxx (§25) pro xxxxxxxx xxxxxxx, vzdálenou xxxxxx xxxx pro xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxxx nebo blokování xxxxxxxxxxx dat, které xxxxxxxxxxxx xxxxxxxxxx xx xxxxxxx integrity komunikační xxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. c) x d) zákona xxxx xxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxx komunikační xxxx, xxxxx xxxxxxx její xxxxxxxxxx.
§18
Xxxxxxx pro xxxxxxxxx xxxxxxxx xxxxxxxxx
(1) Orgán x osoba xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxxxx xxxxxxxx xxx ověření identity xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x významného xxxxxxxxxxxx systému.
(2) Nástroj xxx ověřování xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxx xxxxxxxxx xxxxxx xxxxxxx v xxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxx xxxxxxxxxxx xxxxxxx.
(3) Xxxxxxx xxx xxxxxxxxx identity uživatelů, xxxxx xxxxxxx xxxxxxxxxxx xxxxx heslem, xxxxxxxxx
x) xxxxxxxxx délku hesla xxx xxxxx,
x) xxxxxxxxx xxxxxxxxx xxxxx xxx, xx xxxxx xxxx xxxxxxxxx alespoň 3 x xxxxxxxxxxxxx xxxx xxxxxxxxx
1. xxxxxxx xxxxx xxxxx xxxxxxx,
2. nejméně xxxxx xxxx xxxxxxx,
3. xxxxxxx xxxxx xxxxxxx, xxxx
4. nejméně xxxxx xxxxxxxxx xxxx xxxxxxx xx xxxxxxxxx uvedených x bodech 1 xx 3,
c) maximální xxxx xxx xxxxxxxx xxxxxx hesla nepřesahující xxx xxx; tento xxxxxxxxx xxxx vyžadován xxx samostatné xxxxxxxxxxxxxx xxxxxxxx.
(4) Orgán x xxxxx xxxxxxx v §3 xxxx. c) x x) zákona xxxx
x) xxxxxxx xxxxxxx xxx xxxxxxx identity, xxxxx
1. xxxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxx a xxxxxxxx xxxx xxxx xxxxx xxxxxxx xxxxxxxxx během xxxxxxxxxxx období, xxxxx xxxx xxx xxxxxxx 24 xxxxx, x
2. xxxxxxx xxxxxxxx xxxxxxx xxxxxxxx po xxxxxx xxxx xxxxxxxxxx x
x) xxxxxxx nástroj pro xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx. X případě, že xxxxx xxxxxxx využívá xxxxxxxxxxx xxxxxx, zajistí xxxxxxxxx xxxxxxxxx délky xxxxx xxxxxxx xxxxx xxx dodržení požadavků xxxxx xxxxxxxx 3 xxxx. b) a x).
(5) Nástroj pro xxxxxxxxx xxxxxxxx xxxxxxxxx xxxx být zajištěn x xxxxxx xxxxxxx, xxx xxxx jsou xxxxxxxxx x odstavcích 3 xx 5, xxxxx xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxxxxxxx, xx používá xxxxxxxx zajišťující stejnou xxxx xxxxx úroveň xxxxxxxxx xxxxx.
§19
Xxxxxxx xxx řízení xxxxxxxxxxxx oprávnění
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx xxxxxxx xxxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxx, kterým xxxxxxx xxxxxx xxxxxxxxx
x) xxx xxxxxxx x jednotlivým xxxxxxxxx x datům x
x) xxx xxxxx xxx, xxx zápis xxx a pro xxxxx xxxxxxxxx.
(2) Orgán x osoba xxxxxxx x §3 xxxx. x) a d) xxxxxx xxxx xxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, který xxxxxxxxxxx použití přístupových xxxxxxxxx x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx.
§20
Nástroj xxx xxxxxxx xxxx xxxxxxxxx xxxxx
Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxx řízení xxxxx xxxxxxxxx s xxxxxxxxx škodlivého kódu xxxxxxx nástroj pro xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx škodlivým xxxxx, xxxxx xxxxxxx xxxxxxx x xxxxxx kontrolu
a) xxxxxxxxxx mezi xxxxxxx xxxx x xxxxxx xxxx,
x) xxxxxxx a xxxxxxxxx xxxxxxxx xxxxxxx x
x) xxxxxxxxxx xxxxxx,
xxxxxxx xxxxxxx xxxxxxxxxxx x xxxxxxx aktualizaci xxxxxxxx xxx ochranu před xxxxxxxxx xxxxx, xxxx xxxxxxx a xxxxxxxx.
§21
Xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x významných xxxxxxxxxxxx systémů, xxxxxx xxxxxxxxx a administrátorů
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) až x) xxxxxx používá xxxxxxx xxx zaznamenávání xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx zajistí
a) sběr xxxxxxxxx x xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxx xxxxxxxx, xxxxx x xxx, xxxxxxxxxxxx technického xxxxxx, xxxxx činnost zaznamenalo, xxxxxxxxxxxx xxxxxxx x xxxxx xxxxxxxx a xxxxxxxxx nebo xxxxxxxxxxx xxxxxxxx x
x) xxxxxxx xxxxxxxxx informací před xxxxxxxxxxxx čtením nebo xxxxxx.
(2) Orgán x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx xxxx xxxxxx nástroje xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxxxxxx a odhlášení xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxx ke xxxxx přístupových xxxxxxxxx,
x) xxxxxxxxxxx činností x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxx xxxxxxxxx činnosti xxxxxxxxx,
x) xxxxxxxx x ukončení xxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx systému,
f) xxxxxxxxxxx xxxxxxx nebo chybová xxxxxxx xxxxxxxxxxx aktiv,
g) xxxxxxxx x záznamům x xxxxxxxxxx, xxxxxx x xxxxxxxxxx se xxxxxxx x xxxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx xxx zaznamenávání xxxxxxxx x
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxx xxxxxx xxxxx xxxxx, xxxxx xxxxxx x xxxxxxxxxx.
(3) Xxxxx x xxxxx uvedená x §3 písm. x) a d) xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx podle xxxxxxxx 2 uchovává nejméně xx xxxx 3 xxxxxx.
(4) Orgán a xxxxx xxxxxxx x §3 xxxx. c) xx e) zákona xxxxxxxxx xxxxxxx xxxxxx xx 24 xxxxx xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxx xxxxxxxxx do informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx.
§22
Xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) až x) zákona používá xxxxxxx pro detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx vychází xx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx a který xxxxxxx ověření, xxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxx a xxxxxx xxxx.
(2) Orgán x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx dále xxxxxxx xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxxxx zajistí xxxxxxx, xxxxxxxx a xxxxxxxx xxxxxxxxxxx xxxxxxxxxx
x) v xxxxx xxxxxxx xxxxxxxxxxx xxxx x
x) xxxxxxx xxxxxxxxx xx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§23
Nástroj pro xxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x d) xxxxxx používá nástroj xxx sběr x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, který x souladu x xxxxxxxxxxxxxx potřebami x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx
x) xxxxxxxxxxx xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx z xxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxx určené xxxxxxxxxxxx xxxx o xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx krit é xxxxxxxxxx xxxxxxxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx identifikace kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxx xxxxxxxx určených xxxxxxxxxxxxxx rolí.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx dále xxxxxxx
x) xxxxxxxxxxx xxxxxxxxxxx nastavení xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x včasné xxxxxxxx, xxx byly xxxxxxxxx xxxxxxx nesprávného xxxxxxxxxxx xxxxxxxx xxxx případy xxxxxxxxx xxxxxxxx, x
x) xxxxxxxxx informací, které xxxx xxxxxxxxxx xxxxxxxxx xxx xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx.
§24
Xxxxxxxxx xxxxxxxxxx
(1) Orgán x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx přístupné x xxxxxx xxxx, x xx xxxx xxxxxx xxxxxxxx do xxxxxxx x xx xxxxx xxxxxxx xxxxx xxxxxxxxxxxxxx xxxxxxxxxx.
(2) Orgán x osoba xxxxxxx x §3 písm. x) x x) xxxxxx xxxx v xxxxx aplikační xxxxxxxxxxx xxxxxxx trvalou ochranu
a) xxxxxxxx x xxxxxxxxx xxxxxxxxxx x xxxxxx xxxx xxxx neoprávněnou xxxxxxxx, popřením xxxxxxxxxxx xxxxxxxx, kompromitací xxxx xxxxxxxxxxxxxxx xxxxxx a
b) xxxxxxxxx xxxx xxxxxx xxxxxxxxxxxx, xxxxxxxxxx směrováním, xxxxxxxxxxxxxxx xxxxxx předávaného xxxxxxxx xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxxxxxx duplikováním xxxx xxxxxxxxxx.
§25
Xxxxxxxxxxxxxx prostředky
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx
x) xxx používání xxxxxxxxxxxxxx ochrany stanoví
1. xxxxxx xxxxxxx s xxxxxxx na xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx x
2. pravidla xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx xxx přenosu xx xxxxxxxxxxxxx xxxxxx xxxx xxx uložení xx xxxxxxx zařízení nebo xxxxxxxxxxx technické xxxxxx xxx x
x) v xxxxxxx x bezpečnostními xxxxxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx ochranu důvěrnosti x xxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxx xxx x průkaznou xxxxxxxxxxxx xxxxx xx xxxxxxxxx xxxxxxxx.
(2) Orgán x xxxxx uvedená x §3 písm. x) x d) zákona xxxx
x) stanoví xxx xxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxx xxxxx, xxxxx zajistí xxxxxxxxxx, xxxxxxxxxx, xxxxxxxx, xxxxxxxxx, xxxxx, ničení, xxxxxxxx x audit xxxxx, x
x) xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxx; x xxxxxxx nesouladu s xxxxxxxxxxx xxxxxxxxx na xxxxxxxxxxxxxx algoritmy xxxxxxxxx x příloze č. 3 k xxxx xxxxxxxx xxxx xxxxxx xxxxxxx x xxxxx xxxxxxxxxx.
§26
Nástroj xxx zajišťování xxxxxx dostupnosti
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx používá xxxxxxx xxx zajišťování xxxxxx xxxxxxxxxxx informací.
(2) Orgán x xxxxx uvedená x §3 písm. x) x x) xxxxxx xxxxxxx xxxxxxx xxx xxxxxxxxxxx úrovně xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxx
x) dostupnost xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxx splnění xxxx řízení xxxxxxxxxx xxxxxxxx,
x) odolnost xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx vůči xxxxxxxxxxxxx xxxxxxxxxxxxx incidentům, které xx mohly xxxxxx xxxxxxxxxx, x
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx
1. využitím xxxxxxxxxx x xxxxxx xxxxxx a
2. zajištěním xxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxx xxxx.
§27
Xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx systémů
Orgán a xxxxx xxxxxxx x §3 xxxx. x) x x) zákona xxx bezpečnost průmyslových x xxxxxxxx xxxxxxx, xxxxx xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxx xxxxxx xxxxxxxx, používá xxxxxxxx, které zajistí
a) xxxxxxx xxxxxxxxx přístupu x síti x xxxxxxxxx průmyslových a xxxxxxxx xxxxxxx,
x) omezení xxxxxxxxx x xxxxxxxxxx xxxxxxxx k xxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxx,
x) xxxxxxx jednotlivých xxxxxxxxxxx xxxxx xxxxxxxxxxxx x řídicích systémů xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxx systémů xx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu.
XXXXX XXX
XXXXXXXXXXXX XXXXXXXXXXX
§28
Xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) zákona xxxx x aktualizuje xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxx xxxxx §5 xxxx. 1,
x) xxxxxx x xxxxxx xxxxxxxxxxxx bezpečnosti xxxxx §3 xxxx. 1 písm. x),
x) xxxxxx z xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx §3 xxxx. 1 xxxx. x),
x) xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x pro xxxxxxxxxxxx x hodnocení xxxxx,
x) xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxxxx o xxxxxxxxxxxxxxxx,
x) plán xxxxxxxx xxxxx,
x) xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx bezpečnostních incidentů xxxxx §13 xxxx. x),
x) strategii xxxxxx xxxxxxxxxx činností xxxxx §14 odst. 1 xxxx. c) x
x) xxxxxxx právních předpisů, xxxxxxxxx xxxxxxxx a xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxx §15 odst. 1 xxxx. x).
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxx x xxxxxxxxxxx bezpečnostní xxxxxxxxxxx, xxxxx xxxxxxxx
x) xxxxxxxxxxxx politiku xxxxx §5 xxxx. 2,
x) xxxxxxxx xxx identifikaci x xxxxxxxxx xxxxx x pro xxxxxxxxxxxx x xxxxxxxxx rizik xxxxx §4 xxxx. 2 písm. x),
x) xxxxxx o hodnocení xxxxx x xxxxx xxxxx §4 odst. 2 xxxx. x) x c),
d) xxxxxxxxxx x xxxxxxxxxxxxxxxx xxxxx §4 odst. 2 xxxx. x),
x) xxxx xxxxxxxx xxxxx xxxxx §4 odst. 2 xxxx. x),
x) plán xxxxxxx xxxxxxxxxxxxxx povědomí xxxxx §9 xxxx. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle §13 xxxx. e),
h) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxx §14 odst. 1 xxxx. x) x
x) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx závazků xxxxx §15 xxxx. 1 xxxx. x).
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx vede xxxxxxxxxxxx dokumentaci xxx, xxx záznamy x xxxxxxxxxxx xxxxxxxxxx byly xxxxx, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx x xxx xx daly snadno xxxxxxxx. Opatření xxxxxxxx x xxxxxxxxxxxx, uložení, xxxxxxx, vyhledání, době xxxxxxxxx x uspořádání xxxxxxx x provedených xxxxxxxxxx dokumentuje.
(4) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxx x příloze č. 4 x xxxx xxxxxxxx.
§29
Xxxxxxxxx xxxxxxxxxxx
Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona, xxxxx informační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxx xxxxxxxxxx xxxxxx xx xxxxx zahrnut xx rozsahu xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx byl xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx xxxxx1) akreditovaným xxxxxxxxxxxxx xxxxxxx, x která xxxx dokumenty obsahující
a) xxxxx rozsahu systému xxxxxx xxxxxxxxxxx informací,
b) xxxxxxxxxx politiky a xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxx xxxxxx hodnocení xxxxx a xxxxxx x xxxxxxxxx xxxxx,
x) xxxxxxxxxx x aplikovatelnosti,
e) xxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxx1),
x) xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxx x
x) xxxxxx z xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxx příslušných xxxxxxx x nápravě xxxxxxxxxx neshod x xxxxxxxxxx xxxxxx,
xxxxxxx xxxxxxxxx xx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx zákona x této xxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX BEZPEČNOSTNÍ XXXXXXXX
§30
Xxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
(1) Podle xxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx do xxxxxxxxxxxxx typů
a) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobený xxxxxxxxxxxxx xxxxxx xxxx xxxxx xxxxxxxx vedoucí x průniku do xxxxxxx xxxx k xxxxxxx dostupnosti služeb,
b) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx škodlivým xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxx technických xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx porušením xxxxxxxxxxxxx xxxxxxxx,
x) kybernetický xxxxxxxxxxxx xxxxxxxx spojený x xxxxxxxx trvale xxxxxxxxxx xxxxxx a
f) xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx.
(2) Xxxxx xxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx do xxxxxxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx narušení xxxxxxxxxxx xxxxx, xxxx
x) xxxxxxxxxxxx bezpečnostní incident xxxxxxxxxxx xxxxxxxxx dopadů xxxxxxxxx x xxxxxxxxx x) až x).
§31
Kategorie xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxx potřeby xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxx kybernetické bezpečnostní xxxxxxxxx dělí do xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - xxxxx xxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx xxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx služeb nebo xxxxx. Xxxx řešení xxxxxxxx neprodlené zásahy xxxxxxx x xxx, xx musí xxx xxxxx dostupnými prostředky xxxxxxxxx dalšímu xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxx.
x) Xxxxxxxxx XX - xxxxxxx kybernetický bezpečnostní xxxxxxxx, xxx xxxxxx xx xxxxxxxx bezpečnost xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x xxx, xx xxxx xxx xxxxxxxx prostředky zabráněno xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx škod.
c) Kategorie X - méně xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xxxxxxx x xxxx xxxxxxxxxx xxxxxxxx bezpečnosti xxxxxxxxxxxxx služeb xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxx xxxxxxx x xxx, xx xxxx být xxxxxxxx xxxxxxxxxx omezeno xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
(2) Xxxxx x osoba xxxxxxx x §3 písm. x) až x) xxxxxx xxx kategorizaci xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx odstavce 1 xxxxxxxx
x) důležitost xxxxxxxxx aktiv xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx významného informačního xxxxxxx,
x) dopady xx xxxxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxx poskytované xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x
x) xxxxxxxxxxxxx škody x xxxxx dopady.
§32
Xxxxx x náležitosti xxxxxxx kybernetických bezpečnostních xxxxxxxxx
(1) Orgán x xxxxx xxxxxxx v §3 xxxx. c) xx e) zákona xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx
x) x xxxxxxxxxxxx xxxxxx prostřednictvím
1. elektronického xxxxxxxxx xxxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
2. xxxxxx na xxxxxx xxxxxxxxxxxx xxxxx Xxxxx xxxxxx pro xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxxxxxx na xxxxxxxxxxxxx stránkách Úřadu,
3. xxxxxx zprávy xx xxxxxx xxxxxxxx Xxxxx, xxxx
4. xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx, xxxxx
x) x xxxxxxxx podobě na xxxxxx Národního xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, zveřejněné xx internetových stránkách Xxxxx.
(2) Xxxxxxx x xxxxxxxx xxxxxx xx xxxxxx pouze x xxxxxxxxx, xxx nelze xxxxxx xxxxx ze xxxxxxx uvedených x xxxxxxxx 1 xxxx. x).
(3) Náležitosti hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx uvedeny x příloze č. 5 x xxxx xxxxxxxx.
XXXX ČTVRTÁ
REAKTIVNÍ XXXXXXXX X KONTAKTNÍ XXXXX
§33
Xxxxxxxxx xxxxxxxx
Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) xx x) zákona xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx x jeho xxxxxxxx xx xxxxxxxxx, xxxxx xxxx xx uveden x příloze č. 6 k xxxx xxxxxxxx.
§34
Xxxxxxxxx údaje
Orgán x xxxxx xxxxxxx v §3 xxxxxx oznamuje xxxxxxxxx xxxxx xx xxxxxxxxx, jehož xxxx xx uveden x příloze č. 7 x této xxxxxxxx. Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxxxxx kontaktní xxxxx xxxxxx uvedenou x §32 xxxx. 1 xxxx. x).
XXXX XXXX
XXXXXXXX
§35
Xxxx vyhláška xxxxxx účinnosti xxxx 1. xxxxx 2015.
Xxxxxxx:
Xxx. Xxxxxxxx x. x.
Příloha č. 1 x vyhlášce x. 316/2014 Sb.
Hodnocení x xxxxxx xxxxxxxxxxx xxxxx
Xxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxx xxxxxxx stupnice x xxxxxxx xxxxxxxx. Xxxxx nebo osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx může xxxxxxxx xxxxxxx počet xxxxxx pro hodnocení xxxxxxxxxxx xxxxx, než xxxx xx xxxxxx x xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx xx používaným xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx x stupnicemi x úrovněmi xxx xxxxxxxxx důležitosti xxxxx, xxxxx jsou xxxxxxx x xxxx příloze.
V xxxxxxx použití tří xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xx xxxxxxxxx xxxxxxx xxx xxxxxx xxxxx x střední, xxxx xxxxxx xxxxxx x kritická.
Stupnice pro xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxx jsou xxxxxxx xxxxxxxxx xxxx xxxx určena ke xxxxxxxxxx (např. xx xxxxxxx xxxxxx č. 106/1999 Sb., x xxxxxxxxx xxxxxxxx x xxxxxxxxxx, ve xxxxx xxxxxxxxxx xxxxxxxx). Xxxxxxxx důvěrnosti xxxxx xxxxxxxxxx oprávněné xxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx. |
Xxxx vyžadována xxxxx ochrana. |
|
Střední |
Aktiva xxxxxx xxxxxxx xxxxxxxxx x xxxxx know-how orgánu x osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx, xxxxxxx xxxxx xxxx vyžadována žádným xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx pro řízení xxxxxxxx. |
|
Xxxxxx |
Xxxxxx xxxxxx veřejně xxxxxxxxx x jejich xxxxxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxx, jinými xxxxxxxx xxxx smluvními xxxxxxxxxx (xxxx. obchodní xxxxxxxxx xxxxx xxxxxx č. 89/2012 Sb., xxxxxxxx xxxxxxx, xxxxxx xxxxx xxxxx xxxxxx č. 101/2000 Sb., x xxxxxxx xxxxxxxx údajů, xx xxxxx xxxxxxxxxx xxxxxxxx). |
Xxx xxxxxxx xxxxxxxxxx xxxx využívány prostředky, xxxxx xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx informací xxxxxx xxxxxxxxxxx sítí xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x vyžadují xxxxxxxxxxxxx xxxx xxxxxxx xxx rámec xxxxxxxxx xxxxxxxxx (např. xxxxxxxxxxx xxxxxxxx tajemství, xxxxxxx xxxxxx xxxxx). |
Xxx xxxxxxx xxxxxxxxxx je xxxxxxxxxx xxxxxxxx xxxx, xxxxx x xxxxxxx xxxxxxxxxxx, x xxxxxx xxxxxxx xxxxxxxxxxx zneužití aktiv xx strany administrátorů. Xxxxxxx informací jsou xxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
Xxxxxxxx xxx hodnocení xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx a osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx xxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx xxxx k poškození xxxxxxxxxxx xxxxx orgánu x xxxxx xxxxxxx v §3 xxxx. c) xx e) xxxxxx x může xx xxxxxxxx méně xxxxxxxxx xxxxxx na xxxxxxxx xxxxxx. |
Xxx xxxxxxx integrity xxxx využívány xxxxxxxxxx xxxxxxxx (xxxx. omezení xxxxxxxxxxxx xxxx xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx vyžaduje ochranu x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxxxx xxxx k xxxxxxxxx xxxxxxxxxxx xxxxx orgánu x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx x xxxxxxxxxxx xxxxxx na xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx speciální xxxxxxxxxx, xxxxx dovolují xxxxxxxx historii provedených xxxx a zaznamenat xxxxxxxx osoby xxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx sítěmi xx zajištěna xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx vyžaduje xxxxxxx z xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx x xxxxx xxxxxxx xxxxxxxxx oprávněných xxxxx xxxxxx a xxxxx uvedené x §3 xxxx. x) xx e) xxxxxx x xxxxxxx a xxxxx xxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx prostředky xxxxxxxxxxx xxxxxxxxxxxx osoby xxxxxxxxxxx xxxxx (např. xxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx). |
Xxxxxxxx xxx hodnocení xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxx x x xxxxxxx výpadku xx xxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx pro xxxxxxx (xxx xx 1 týdne). |
Pro xxxxxxx xxxxxxxxxxx je xxxxxxxxxxx xxxxxxxxxx zálohování. |
|
Střední |
Narušení xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx xxxx pracovního xxx, xxxxxxxxxxxxx výpadek xxxx x možnému xxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) až e) xxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx x obnovy. |
|
Vysoká |
Narušení xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx xxxx xxxxxxxx hodin. Jakýkoli xxxxxxx xx xxxxx xxxxx xxxxxxxxxx, xxxxxxx xxxx x xxxxxxx xxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx. Xxxxxx xxxx xxxxxxxxxx xxxx velmi důležitá. |
Pro xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx poskytování xxxxxx xxxx xxx xxxxxxxxx xxxxxx xxxxxxx xxxx xxxxxxx technických xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx dostupnosti xxxxxx xxxx přípustné x x xxxxxxxxxx xxxxxxxxxxxx (x xxxx několika xxxxx) xxxx x xxxxxxx ohrožení xxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) až x) xxxxxx. Aktiva xxxx xxxxxxxxxx jako xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx záložní xxxxxxx x xxxxxx poskytování xxxxxx xx xxxxxxxxxx x xxxxxxxxxxxxxx. |
Xxxxxxx x. 2 x xxxxxxxx č. 316/2014 Sb.
Hodnocení xxxxx
Xxxxxxxxx xxxxx xx xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxx dopad, xxxxxx x zranitelnost.
Pro hodnocení xxxxx xxx xxxxxx xxxxxxx tuto funkci
riziko = xxxxx x xxxxxx x zranitelnost.
Jednoznačné xxxxxx xxxxxx xxx xxxxxx xxxxxx xx xxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx rizika
|
Stupnice xxx xxxxxxxxx dopadů |
|
|
Úroveň |
Popis |
|
Nízký |
Dopad xx x xxxxxxxx xxxxxxx xxxxxx x xxxxxx xxxxxxx x xxxxx xxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxx x) 10 xxxxxxxxx xxxx x xxxxxxxxx xxxxxxxxxxxxx xx xxxx delší než 24 xxxxx nebo b) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xx 5 000 000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx nebo xxxxxx xxxxxxxxx zásahu xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx nejvýše 250 xxxx. |
|
Xxxxxxx |
Xxxxx je xxxxxxxxx xxxxxxx x v xxxxxxxx časovém xxxxxx. Xxxxxx xxxxxxxxxx škod xx xxxxxxxx x rozmezí a) xx 10 xxxxxxx xxxx xx 11 xx 100 xxxx x xxxxxxxxx xxxxxxxxxxxxx xx dobu delší xxx 24 hodin xxxx x) finanční xxxx xxxxxxxxxx ztráty od 5&xxxx;000&xxxx;000 Xx do 50&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx dopad xx xxxxxxxxx s rozsáhlým xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx od 251 xx 2&xxxx;500 xxxx. |
|
Xxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx, xxx trvalý xxxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx se xxxxxxxx x xxxxxxx x) od 11 xx 100 xxxxxxx nebo xx 101 xx 1 000 xxxx x xxxxxxxxx xxxxxxxxxxxxx po xxxx xxxxx než 24 xxxxx nebo b) xxxxxxxx xxxx xxxxxxxxxx xxxxxx od 50&xxxx;000&xxxx;000 Xx do 500&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx x rozsáhlým xxxxxxxx xxxxxxxxxx xxxxxx nebo xxxxxx závažného xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xx 2 501 xx 25 000 osob. |
|
Kritický |
Dopad xx xxxxxx xxxxxxxx, xxxxxx x xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx se xxxxxxxx x xxxxxxx x) 10 a xxxx xxxxxxx x 1 001 a xxxx xxxx s xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx ztráty xxxxxxxxxxx 500&xxxx;000&xxxx;000 Kč xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx s xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxx xxx 25 000 xxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx neexistuje nebo xx xxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx realizace hrozby xxxx častější než xxxxxx za 5 xxx. |
|
Xxxxxxx |
Xxxxxx xx xxxx xxxxxxxxxxxxx až pravděpodobná. Xxxxxxxxxxxxx realizace xxxxxx xx v rozpětí xx 1 xxxx xx 5 xxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx x rozpětí xx 1 xxxxxx do 1 xxxx. |
|
Xxxxxxxx |
Xxxxxx je xxxxx pravděpodobná xx xxxxxxxx xxxxx. Xxxxxxxxxxxxx xxxxxxxxx hrozby je xxxxxxxx než xxxxxx xx xxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx xxxx xx xxxxxxxx xxxxxxxxxxxxx xxxx pravděpodobné. Xxxxxxxx xxxxxxxx bezpečnostní xxxxxxxx, xxxxx xxxx xxxxxxx včas xxxxxxxxx xxxxx xxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxxxxxx xx xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Existují kvalitní xxxxxxxxxxxx opatření, jejichž xxxxxxxx je xxxxxxxxxx xxxxxxxxxxxx. Xxxxxxxxx bezpečnostních xxxxxxxx včas xxxxxxxxx xxxxx xxxxxxx xxxx xxxxxxxx pokusy x xxxxxxxxx opatření xx xxxxxxx. Xxxxxx xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx xx pravděpodobná xx xxxxx pravděpodobná. Xxxxxxxxxxxx opatření xxxxxxxx, xxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx x xxxx xxxxxxxxxx xxxxxxxxxxxx. Jsou xxxxx xxxxx úspěšné xxxxxx o xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx xx xx víceméně xxxxx xxxxxxxx. Bezpečnostní xxxxxxxx xxxxxx xxxxxxxxxxx anebo xx jejich xxxxxxxx xxxxxx omezena. Xxxxxxxxx xxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx. Xxxx xxxxx xxxxxxx xxxxxx překonání xxxxxxxxxxxxxx opatření. |
|
Stupnice xxx xxxxxxxxx xxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx xx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx xxxxxxx xxxx náročnými xxxxxxxxxx xxxx x xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xx riziko xxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxx xxxxxxxxxxx x musí být xxxxxxxx systematické kroky x xxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxxxxxxxx x xxxx xxx xxxxxxxxxx xxxxxxxx xxxxx x xxxx odstranění. |
V xxxxxxx, xx orgán xxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx metodu xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx, která xxxxxxxxxxx xxxxxxxxx hrozby a xxxxxxxxxxxxx, je možné xxxxxxxx xxx hodnocení xxxxxx a xxxxxxxxxxxxx xxxxxxx. Sloučení xxxxxxx xx nemělo xxxx xx ztrátě xxxxxxxxxx xxxxxxxxx míry xxxxxx x xxxxxxxxxxxxx. Xx xxxxx xxxxxx xxx xxxxxx xxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx vyjádří xxx úroveň xxxxxx, xxx i úroveň xxxxxxxxxxxxx. Obdobně postupuje x xxxxx xxxx xxxxx xxxxxxx x §3 písm. x) xx x) zákona, xxxxx xxxxxxx jiný xxxxx xxxxxx xxx xxxxxxxxx xxxxxx, hrozeb, xxxxxxxxxxxxx x rizik.
Xxxxxxx č. 3 x vyhlášce x. 316/2014 Sb.
Minimální požadavky xx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx algoritmy
a) Blokové x xxxxxxxx xxxxx xxx ochranu xxxxxxxxxx x xxxxxxxxx
1. Advanced Xxxxxxxxxx Xxxxxxxx (XXX) x využitím xxxxx xxxxx 128, 192 x 256 xxxx Xxxxxx Xxxx Encryption Xxxxxxxx (3DES) x xxxxxxxx délky klíčů 168 xxxx, omezené xxxxxxx jen se xxxxxxxxx klíče xxxxxx xxx 10 GB, xxxxxxxx přecházet xx XXX.
2. Triple Data Xxxxxxxxxx Xxxxxxxx (3DES) x využitím xxxxx xxxxx 112 xxxx, xxxxxxx použití xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX, postupně xxxxxxxxx xx AES. Xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx xxx každou xxxxxx.
3. Xxxxxxxx x využitím xxxxxxxxx xxxxx xxxxx 128 xxxx, xxxxxxx xxxxxxx jen se xxxxxxxxx xxxxx xxxxxx xxx 10 XX.
4. Xxxxxx x xxxxxxxx xxxxx klíčů 128 xxxx, omezené xxxxxxx xxx se xxxxxxxxx xxxxx xxxxxx xxx 10 XX.
5. Xxxxxxx x xxxxxxxx xxxxx xxxxx 128 xx 256 bitů.
6. Xxxxxxx x xxxxxxxx xxxxx xxxxx 128, 192, 256 xxxx.
7. Camellia x využitím délky xxxxx 128, 192 x 256 xxxx.
8. XXXX 2.0, XXXX 3X x xxxxxxxx xxxxx xxxxx 128, 256 xxxx.
x) Xxxx xxxxxxxxx x ochranou xxxxxxxxx
1. CCM,
2. XXX,
3. XXX,
4. Složená xxxxxxxx xxxx "Encrypt-then-MAC".
Poznámka:
Schémata xxxx "Xxxxxxx-xxxx-XXX",xxxx xxxxxxxx x xxxxxxxxx xxxxx uvedené xxxxxxxxx xxxx x x xxxxxxx MAC xxxxx xxxxxxx xxxx xxx xxxxxxx integrity.
c) Xxxx xxxxxxxxx
1. CTR,
2. XXX,
3. XXX,
4. CFB,
Poznámka:
Módy XXX x CFB xxxx xxx xxxxxxx x náhodným, xxx xxxxxxxx nepředpověditelným xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxxx xxxx XXX xx xxx xxxx xxxx xxxxx opakovat xxxxxxx xxxxxxxxxxxxxxx vektoru, xxx xxxxxxx módu XXX xx xxx xxxx xxxx nesmí opakovat xxxxxxx xxxxxx, x xxxxxxx xxxxxxx XXX xxxx x šifrování xxx xxxxxxx xxxxxxxxx xx xxxxx xxxxxx xxxxxxxx xxxxx xxxxx xx padding XXX xxxx.
x) Módy xxx xxxxxxx xxxxxxxxx
1. HMAC,
2. XXX-XXX-X9.19, omezené použití xxx se xxxxxxxxx xxxxxx xxx 109 XXX,
3. XXX-XXX-XXXX,
4. CMAC.
(2) Xxxxxxxxxxx xxxxxxxxx
x) Pro xxxxxxxxxxx xxxxxxxxxxx podpisu
1. Xxxxxxx Xxxxxxxxx Xxxxxxxxx (XXX) s využitím xxxxx klíčů 2048 xxxx x xxxx, xxxxx xxxxxxxxx cyklické xxxxxxxx 224 bitů x xxxx.
2. Xxxxxxxx Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxxxxx (XX-XXX) s xxxxxxxx xxxxx xxxxx 224 xxxx x xxxx.
3. Xxxxxx-Xxxxxx-Xxxxxxx Xxxxxxxxxxxx Xxxxxxxxx Xxxxxx (XXX-XXX) x využitím délky xxxxx 2048 bitů x více.
b) Pro xxxxxxx xxxxx xx xxxxx x xxxxxxxxx xxxxx
1. Xxxxxx-Xxxxxxx (DH) x xxxxxxxx délky xxxxx 2048 xxxx x xxxx, xxxxx xxxxxxxxx xxxxxxx xxxxxxxx 224 xxxx a xxxx.
2. Elliptic Xxxxx Xxxxxx-Xxxxxxx (ECDH) x xxxxxxxx xxxxx xxxxx 224 xxxx x xxxx.
3. Xxxxxxxx Curve Xxxxxxxxxx Xxxxxxxxxx Xxxxxx - Xxx Encapculation Xxxxxxxxx (XXXXX-XXX) x xxxxxxxx xxxxx xxxxx 256 xxxx a xxxx.
4. Provably Secure Xxxxxxxx Curve - Xxx Encapculation Mechanism (XXXX-XXX) x xxxxxxxx xxxxx klíčů 256 xxxx xxxx.
5. Asymetrie Xxxxxxx xxx Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) x xxxxxxxx délky xxxxx 256 xxxx x více.
6. Xxxxxx Xxxxxx Xxxxxxx - Xxxxxxx Xxxxxxxxx Encryption Xxxxxxx (XXX-XXXX) s xxxxxxxx délky klíčů 2048 a xxxx.
7. Xxxxxx Shamir Adleman - Xxx Encapculation Xxxxxxxxx (XXX-XXX) x xxxxxxxx xxxxx klíčů 2048 a více.
(3) Xxxxxxxxx hash xxxxxx
x) XXX-2
1. XXX-224,
2. SHA-256,
3. XXX-384,
4. XXX-512,
5. XXX-512/224,
6. XXX-512/256.
x) XXX-3
1. XXX3-224,
2. XXX3-256,
3. XXX3-384,
4. SHA3-512,
5. XXXXX-128,
6. SHAKE-256.
c) Xxxxxxx xxxxxxxx xxxxxx
1. Whirpool,
2. XXXXXX-160,
3. SHA 1 x xxxxxxxx použitím.
Poznámka x. 1:
SHA-1 xx xxxxx xxxxxxxx xxx xxxxxxxxxx xxxxxx digitálních xxxxxxx, xxxxxxxx razítek, xxxxxxxxx xxxx aplikace xxxxxxxxxx nekolizní XXX-1.
Xxxxxxxx x. 2:
XXX-1 lze xxxxxxxx xxxxx xxx xxxxxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxx, xxxxxxxxxx x ověřování HMAC-SHA1, xxxxxx xxx xxxxxxxxxx xxxxx x pseudonáhodné xxxxxxxxxx.
Příloha x. 4 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxxx bezpečnostní xxxxxxxxxxx
Xxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxx bezpečnostní xxxxxxxxxxx. Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx dokumentů xxxxxxxx xxxxxx, xxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxx pokrývají, xxxxxxx xxxxxxx struktury xxxxxxxxx xxxxxx závazné x xx xx xxxxxx xxxx osobě xxxxxxx x §3 písm. x) až e) xxxxxx, xxxx xxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx použije. Xxxxxxxxx xx x xxxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxx xxxx xxxxx xx xxxxxxx xxxxxxxxx.
X. Xxxxxxxxx xxxxxxxxxxxx xxxxxxxx
(1) Xxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx*
[§5 xxxx. 1 písm. x), §5 odst. 2 xxxx. a)]
a) Xxxx, xxxxxxxx x xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx a xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxx xxxxxxxxxxx.
x) Pravidla x postupy xxx xxxxxx zdrojů x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Pravidla x xxxxxxx xxx přezkoumání xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Pravidla x xxxxxxx xxx nápravná xxxxxxxx a zlepšování xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx**
[§5 odst. 1 xxxx. b), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxxxxxxxxx xxxx x xxxxxx xxxx a xxxxxxxxxx,
1. xxxxx a povinnosti xxxxxxxx xxxxxxxxxxxx bezpečnosti,
2. xxxxx x povinnosti xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
3. xxxxx a povinnosti xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
4. xxxxx x xxxxxxxxxx xxxxxxx aktiv,
5. xxxxx x povinnosti výboru xxx řízení xxxxxxxxxxxx xxxxxxxxxxx.
x) Požadavky xx xxxxxxxx výkonu xxxxxxxx xxxxxxxxxxxx bezpečnostních rolí.
(3) Xxxxxxxx řízení xxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. c)]
a) Xxxxxxxx x xxxxxxxx xxx výběr xxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxx xxxxxxxxxx.
x) Xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxx x způsobů x xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx x x xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx.
x) Xxxxxxxx xxx provádění xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx pro hodnocení xxxxxxxxxx.
(4) Xxxxxxxx xxxxxxxxxxx xxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. určení a xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx včetně určení xxxxxx xxxxxxx,
2. hodnocení xxxxxxxxxxx primárních aktiv x xxxxxxxx xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx.
x) Xxxxxxxxxxxx, hodnocení a xxxxxxxx podpůrných aktiv
1. xxxxxx a evidence xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx určení xxxxxx xxxxxxx,
2. určení xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx aktivy.
c) Xxxxxxxx xxxxxxx jednotlivých úrovní xxxxx
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx úrovní xxxxx,
2. xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx aktiv xxxxx úrovní xxxxx,
3. xxxxxxxxx xxxxxxx používání xxxxx.
x) Xxxxxxx spolehlivého xxxxxxx nebo ničení xxxxxxxxxxx nosičů xxx.
(5) Xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx**
[§5 xxxx. 1 xxxx. e), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx a xxxxxxx xxxx hodnocení
1. xxxxxxx x xxxxx xxxxxxx uživatelů,
2. xxxxxxx x xxxxx poučení xxxxxxx xxxxx,
3. xxxxxxx x formy xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx x xxxxx poučení xxxxxxx xxxx zastávajících bezpečnostní xxxx.
x) Xxxxxxxxxxxx školení xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxx případů xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxxxxxx vztahu xxxx xxxxx xxxxxxxx xxxxxx.
1. vrácení svěřených xxxxx a xxxxxxxx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxx,
2. změna xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxx xxxxxx.
(6) Xxxxxxxx xxxxxx provozu x xxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx.
x) Xxxxxxx bezpečného provozu.
c) Xxxxxxxxx x standardy xxxxxxxxxx xxxxxxx.
x) Řízení xxxxxxxxxxx xxxxxxxxxxxxx.
x) Xxxxxxxx x omezení xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x bezpečnostních xxxxx.
(7) Xxxxxxxx xxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxx/xxxxxxx znát (xxxx xx xxxx).
x) Xxxxxxxxx xx xxxxxx xxxxxxxx.
x) Xxxxxxx cyklus řízení xxxxxxxx.
x) Řízení xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx uživatelů x xxxxxxxxxxxx skupinách.
(8) Xxxxxxxx xxxxxxxxxx xxxxxxx uživatelů*
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. h)]
a) Xxxxxxxx pro xxxxxxxx xxxxxxxxx x xxxxxx.
x) Xxxxxxxx použití xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx pošty a xxxxxxxx xx xxxxxxxx.
x) Xxxxxxxx xxxxxxxx přístup.
e) Xxxxxxxx xxxxxxx xx xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx xx xxxxxx x xxxxxxxx xxxxxxxxx.
(9) Politika xxxxxxxxxx x xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxxx xx xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx x postupy zálohování.
c) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxx x obnovy.
(10) Xxxxxxxx bezpečného xxxxxxxxx x xxxxxx xxxxxxxxx**
[§5 xxxx. 1 písm. x)]
x) Pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Způsoby xxxxxxx elektronické xxxxxx xxxxxxxxx.
x) Pravidla xxx xxxxxxxxx xxxxxxxxxxxxxx ochrany.
(11) Xxxxxxxx řízení xxxxxxxxxxx xxxxxxxxxxxxx**
[§5 odst. 1 xxxx. x)]
x) Xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) Pravidla x xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) Xxxxxxxx x postupy xxxxxxxxx oprav programového xxxxxxxx,
x) Xxxxxxxx a xxxxxxx nasazení oprav xxxxxxxxxxxx xxxxxxxx.
(12) Politika xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx*
[§5 xxxx. 1 xxxx. 1)]
x) Xxxxxxxx x postupy xxx xxxxxxxx používání xxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxx a xxxxx xxxxxxx v §3 xxxx. c) x x) xxxxxx xxxxxxxxxxx.
(13) Xxxxxxxx poskytování a xxxxxxxx xxxxxxx programového xxxxxxxx a xxxxxxxxx*
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx a xxxxxxx xxxxxxxx programového xxxxxxxx x jeho xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
(14) Xxxxxxxx xxxxxxxxxxxx ukládání x xxxxxxxxx xxxxxxxxx*
[§5 odst. x písm. n)]
a) Xxxxxxxx a xxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxx.
x) Ochrana xxxxxxxxxxxxx xxxxxxxxx x xxxxxxx.
x) Xxxxxxxx xxxxxxxx x xxxxxxxxxxxx dokumentům a xxxxxxxx.
(15) Xxxxxxxx ochrany xxxxxxxx xxxxx*
[§5 odst. x písm. o), §5 odst. 2 xxxx. x)]
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx osobních xxxxx.
x) Xxxxx přijatých x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx osobních xxxxx.
x) Xxxxx xxxxxxxxx x provedených xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
(16) Xxxxxxxx xxxxxxx xxxxxxxxxxx**
[§5 odst. x písm. x)]
x) Xxxxxxxx pro xxxxxxx xxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx vstupu xxxx.
x) Xxxxxxxx pro ochranu xxxxxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxx bezpečnosti.
(17) Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx sítě**
[§5 xxxx. 1 písm. x)]
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxx.
x) Xxxxxx xxxx x povinností xx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxxx v xxxxx xxxx.
x) Pravidla x xxxxxxx pro xxxxxxx xxxxxxxxxx přístupu k xxxx.
x) Pravidla x xxxxxxx pro xxxxxxxxxxxx xxxx x vyhodnocování xxxxxxxxxx záznamů.
(18) Politika xxxxxxx xxxx škodlivým xxxxx*
[§5 xxxx. x xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxx x xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx ochranu xxxxxxxxxx xxxxxx.
(19) Politika xxxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí**
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. n)]
a) Xxxxxxxx a postupy xxxxxxxx xxxxxxxx xxx xxxxxxx kybernetických bezpečnostních xxxxxxxx.
x) Provozní xxxxxxx xxx xxxxxxxxxxxxx x xxxxxxxxx na detekované xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
(20) Xxxxxxxx xxxxxxx x xxxxxx xxxxxxxx pro xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx**
[§5 xxxx. 1 písm. x)]
x) Xxxxxxxx x xxxxxxx xxx evidenci x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x postupy xxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx optimální xxxxxxxxx bezpečnostních xxxxxxxxxx xxxxxxxx xxx xxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí.
(21) Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxx x xxxxxxx xx xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxx informací
1. xxx přenosu xx xxxxxxxxxxxxx xxxxxx,
2. při xxxxxxx xx mobilní xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxx xxx,
x) Xxxxxx xxxxxx xxxxx.
XX. Xxxxxxxxx xxxxx xxxxxxxxxxx
(1) Xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx**
[§28 xxxx. 1 písm. x)]
x) Xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx xxxx xxxxxxxx x xxxx, xxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx.
x) Xxxxx x místo, xxx xxxx prováděny xxxxxxxx xxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxx z xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(2) Xxxxxx z xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 písm. x)]
x) Xxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx přezkoumání systému xxxxxx bezpečnosti xxxxxxxxx,
x) Xxxxxxxxxxxx xxxx x xxxxxxxxx, které mohou xxx xxxx na xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Zpětná vazba x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x xxxxxxxx xxxxxxxx,
2. xxxxxxxx xxxxxxxxxxxx x xxxxxx,
3. výsledky xxxxxx,
4. xxxxxxxx cílů bezpečnosti,
d) Xxxxxxxx hodnocení rizik x stav plánu xxxxxxxx rizik.
e) Xxxxxxxxxxxx xxxxxxxx pro neustálé xxxxxxxxxx.
x) Doporučení xxxxxxxxxx xxxxxxxxxx, stanovení xxxxxxxx x xxxx xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
(3) Xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x pro identifikaci x xxxxxxxxx rizik*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxx,
2. xxxxxx stupnice xxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxx,
3. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.
x) Xxxxxx stupnice xxx xxxxxxxxx rizik
1. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxxx,
2. určení xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxx,
3. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxxxxxxxxxx,
4. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxx,
x) Xxxxxx x přístupy xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxx přijatelných xxxxx.
(4) Xxxxxx o hodnocení xxxxx x xxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. c)]
a) Xxxxxxx xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx aktiv,
2. xxxxxx xxxxxxx xxxxxxxxxx aktiv,
3. xxxxxxxxx primárních aktiv x hlediska xxxxxxxxxx, xxxxxxxxx a dostupnosti.
b) Xxxxxxx xxxxxxxxxx xxxxx (xxxxxxx xxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) xxxxxx)
1. xxxxxxxxxxxx x popis xxxxxxxxxx xxxxx,
2. xxxxxx garantů xxxxxxxxxx aktiv,
3. xxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx,
x) Xxxxxxxxxxxxxx x hodnocení xxxxx
1. posouzení xxxxxxx xxxxxx na xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx zranitelností, xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
4. xxxxxxxxx úrovně xxxxxx, xxxxxxxxx xxxx úrovně x xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
5. xxxxxx x schválení přijatelných xxxxx.
x) Zvládání xxxxx
1. xxxxx způsobu xxxxxxxx xxxxx,
2. xxxxx xxxxxxxx x xxxxxx xxxxxxxxx.
(5) Xxxxxxxxxx o xxxxxxxxxxxxxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxx xxxxxx x xxxxxx vazby xx xxxxxxxxxxxxxx xxxxxx.
x) Přehled xxxxxxxxxx xxxxxxxxxxxxxx opatření.
(6) Xxxx xxxxxxxx xxxxx**
[§28 xxxx. 1 písm. x), §28 xxxx. 2 písm. e)]
a) Xxxxx a xxxx xxxxxxxxx xxxxxxxxxxxxxx opatření xxx zvládání xxxxx.
x) Xxxxxxxx zdroje xxx xxxxxxxxxx xxxxxxxxxxxx opatření xxx zvládání xxxxx.
x) Xxxxx xxxxxxxxxxx jednotlivá xxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Způsoby xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
(7) Plán xxxxxxx xxxxxxxxxxxxxx xxxxxxxx*
[§28 xxxx. 1 písm. x), §28 odst. 2 xxxx. x)]
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxxxx.
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxx xxxxx (neplatí xxx orgány x xxxxx xxxxxxx x §3 xxxx. e) xxxxxx).
x) Obsah x xxxxxxx xxxxxxx xxxxxxxxxxxxxx (xxxxxxx xxx xxxxxx x xxxxx uvedené x §3 xxxx. x) xxxxxx).
x) Obsah x xxxxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxx x xxxxxxx poučení xxxxxx xxxxxxxxxxx.
x) Xxxxx x xxxxxxx hodnocení xxxxx.
(8) Xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 písm. x), §28 odst. 2 xxxx. x)]
x) Xxxxxxxxxx xxxxxxxxx kybernetického bezpečnostního xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxx x zvládání xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx systému xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx pro vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(9) Strategie xxxxxx kontinuity činností**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxx xxxxxx kontinuity xxxxxxxx
1. xxxxxxxxx úroveň xxxxxxxxxxxxx xxxxxx,
2. doba xxxxxxxx xxxxx,
3. bod xxxxxxxx xxxxx.
x) Xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxx xxxxxxxxxx.
x) Xxxxxxx hodnocení xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxx rizik.
e) Xxxxxx x xxxxx xxxxxxxxxx xxxxx xxxxxxxxxx.
x) Xxxxxxx pro xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxxxx xxxxxxxxxxxxx úřadem.
(10) Xxxxxxx xxxxxx xxxxxxxxx právních xxxxxxxx, vnitřních předpisů x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx předpisů.
b) Xxxxxxx xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx závazků.
Poznámka:
* Očekávaná xxxxxxxxx xxxxxxxxx xx xx xxxxxx xxxxxxx xxxxx xxxxxxxx uvedené x příloze č. 1: Hodnocení x xxxxxx xxxxx.
** Xxxxxxxxx xxxxxxxxx dokumentu xx xx úrovni xxxxxx xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx x úroveň xxxxx.
Příloha x. 5 x vyhlášce č. 316/2014 Xx.
Xxxxxxxx hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx č. 6 x vyhlášce x. 316/2014 Sb.
Formulář xxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Příloha x. 7 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxxxx
Xxxxxx xxxxxxx č. 316/2014 Xx. nabyl xxxxxxxxx dnem 1.1.2015.
Xx xxx uzávěrky xxxxxx xxxxxxx xxxxx xxxxx xx xxxxxxxxx.
Xxxxxx předpis x. 316/2014 Sb. xxx xxxxxx xxxxxxx xxxxxxxxx č. 82/2018 Sb. x xxxxxxxxx xx 28.5.2018.
Znění xxxxxxxxxxxx právních xxxxx xxxxxx právních xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx xx xxxx netýká xxxxxxxxx xxxxx shora uvedeného xxxxxxxx xxxxxxxx.
1) XXX/XXX 27001:2013, xxxxxxxx ČSN ISO/IEC 27001:2014