Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
VYHLÁŠKA
ze dne 15. xxxxxxxx 2014
o bezpečnostních xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, reaktivních opatřeních x o xxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x kybernetické xxxxxxxxxxx)
Xxxxxxx xxxxxxxxxxxx xxxx xxxxxxx xxxxx §28 xxxx. 2 xxxxxx x. 181/2014 Xx., x kybernetické xxxxxxxxxxx x x xxxxx xxxxxxxxxxxxx xxxxxx (xxxxx x kybernetické xxxxxxxxxxx), (xxxx xxx "zákon") x xxxxxxxxx §6 xxxx. a) xx x), §8 odst. 4, §13 odst. 4 x §16 xxxx. 6 xxxxxx.
XXXX XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxxx xxxxxxxxx se xxxxxxx obsah x xxxxxxxxx xxxxxxxxxxxx dokumentace xxx xxxxxxxxxx systém xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx, xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxx jejich zavedení, xxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů, xxxxxxxxxxx a xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx, xxxxxxxxxxx xxxxxxxx x xxxxxxxxx reaktivního xxxxxxxx x xxxx xxxxxxxx x vzor xxxxxxxx kontaktních xxxxx x jeho formu.
§2
Vymezení xxxxx
X xxxx xxxxxxxx xx xxxxxx
x) xxxxxxxx řízení xxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx xxxxxx xxxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona xxxxxxxx na přístupu x rizikům xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx informačního xxxxxxx, xxxxx xxxxxxx xxxxxx xxxxxxxx, xxxxxxxx, xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx x zlepšování xxxxxxxxxxx xxxxxxxxx,
x) aktivem xxxxxxxx xxxxxxx x xxxxxxxx aktivum,
c) primárním xxxxxxx xxxxxxxxx xxxx xxxxxx, kterou zpracovává xxxx poskytuje xxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxxxx aktivem xxxxxxxxx xxxxxxx, zaměstnanci x dodavatelé podílející xx xx xxxxxxx, xxxxxxx, xxxxxx xxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxxxxxx xxxxxxx technické xxxxxxxx, komunikační prostředky x xxxxxxxxxx vybavení xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx, xx kterých xxxx xxxx xxxxxxx xxxxxxxx,
x) rizikem xxxxxxx, xx určitá xxxxxx xxxxxxx zranitelnosti informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného informačního xxxxxxx x způsobí xxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxx xxxxxx, při xxxx xx určována xxxxxxxxxx xxxxx a xxxxxx xxxxxxxxxx úroveň,
h) xxxxxxx xxxxx xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx, xxxxx a xxxxxxxx xxxxxxxx xx xxxxxxxx xxxxx, sdílení xxxxxxxxx x xxxxxx x xxxxxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxx potencionální xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxx nebo xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, jejímž xxxxxxxxx xxxx xxx xxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxx xxxxx xxxxx xxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxx xxxxxxxx jednou xxxx xxxx xxxxxxxx,
x) přijatelným xxxxxxx xxxxxx zbývající xx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, jehož xxxxxx xxxxxxxx kritériím xxx xxxxxxxxxxxx xxxxx,
x) bezpečnostní xxxxxxxxx xxxxxx zásad x xxxxxxxx, xxxxx xxxxxx způsob xxxxxxxxx xxxxxxx aktiv xxxxxxx x xxxxxx xxxxxxxx x §3 xxxx. x) xx x) xxxxxx,
x) xxxxxxxx xxxxxx xxxxxxx xxxxx xxxxxxxx xxxxxxx xxxx osobou xxxxxxxx v §3 xxxx. x) xx x) xxxxxx k xxxxxxxxx xxxxxxx, použití x xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx fyzická xxxx xxxxxxxxx xxxxx xxxxx xxxxx xxxxxxx xxxx, xxxxx xxxxxxx primární xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxx xxxxx xxxxxxxx garantem xxxxxx xxxxxxxxxxx xxxxxx, xxxxxx, xxxxxxx, údržbu x xxxxxxxxxx xxxxxxxxxxx xxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx řízení xxxxxxxxxxx xxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx v xxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx
x) xxxxxxx x xxxxxxx xx xxxxxx x xxxxxxxxxxx bezpečnost xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xx kterém xxxx, xxxxxxx xxxxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxx se xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx,
x) xxxx rizika xxxxx §4 xxxx. 1,
x) xxxxxxx x xxxxxxx bezpečnostní xxxxxxxx x xxxxxxx xxxxxxx xxxxxx bezpečnosti informací, xxxxx obsahuje xxxxxx xxxxxx, cíle, xxxxxxxxxxxx xxxxxxx, xxxxx a xxxxxxxxxx xx xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxx x xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx bezpečnostní xxxxxxxx x dalších xxxxxxxxx podle §5 x xxxxxx xxxxxxxxx xxxxxxxxxxxx opatření,
d) monitoruje xxxxxxxx bezpečnostních xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxx politiky xxxxx §5,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §15, x xx nejméně xxxxxx ročně,
g) xxxxxxx xxxxxxxxxxx účinnosti xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx včetně xxxxxx xxxxxxxxx rizik, xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx a xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxxxx kybernetických bezpečnostních xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx informací, x to xxxxxxx xxxxxx xxxxx,
x) xxxxxxxxxxx xxxxxx xxxxxx bezpečnosti xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xx základě xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx, výsledků vyhodnocení xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx informací a x souvislosti x xxxxxxxxxxx xxxx plánovanými xxxxxxx x
x) xxxx xxxxxx x zdroje xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx činnosti xxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x řízením xxxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) zákona x rámci xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxx xxxxxx podle §4 odst. 2,
x) xxxxxxx x schválí xxxxxxxxxxxx politiku v xxxxxxx systému xxxxxx xxxxxxxxxxx informací, xxxxx xxxxxxxx xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx a povinnosti xx xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxx x xx xxxxxxx xxxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxx rizik xxxxxxx bezpečnostní politiku x xxxxxxx xxxxxxxxx xxxxx §5, a xxxxxx xxxxxxxxx bezpečnostní xxxxxxxx x
x) provádí xxxxxxxxxxx xxxxxx x xxxxxxxxx xxxxx x xxxxx, xxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx rizik x plánu rozvoje xxxxxxxxxxxxxx povědomí, a xx nejméně xxxxxx xx tři xxxx xxxx x xxxxxxxxxxx x xxxxxxxxxxx nebo xxxxxxxxxxx změnami.
§4
Řízení xxxxx
(1) Orgán x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx x rámci xxxxxx xxxxx
x) stanoví xxxxxxxx xxx xxxxxxxxxxxx x hodnocení xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx xxxxxxxx xxx přijatelnost rizik,
b) xxxxxxxxxxxx a xxxxxxx xxxxxxxxxx xxxxx, xxxxx xxxxx xx xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxx §8 x rozsahu přílohy č. 1 x xxxx vyhlášce x výstupy xxxxxxxxx xx xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxxxxxx rizika, xxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxxxxx, xxxxxxx xxxxx xxxxxx xx aktiva, hodnotí xxxx xxxxxx xxxxxxxxx x xxxxxxx podle přílohy č. 2 k této xxxxxxxx, určí a xxxxxxx přijatelná xxxxxx x zpracuje xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx rizik prohlášení x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx přehled xxxxxxxxx x xxxxxxxxxx bezpečnostních xxxxxxxx,
x) xxxxxxxx a xxxxxx plán xxxxxxxx xxxxx, xxxxx xxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxxxx opatření pro xxxxxxxx xxxxx, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x informační zdroje, xxxxxx xxxxxx xxxxxxxx x xxxxx xxxxx xxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxx xxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx (xxxx xxx "Xxxx") x xxxxxxxxx xxxxx a x xxxxxxx, xx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxx zranitelnosti xxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx ochranného xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx xxx přijatelnost rizik, xxxxxx xxxx xxxxxxxx xxxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) xxxxxx x rámci xxxxxx xxxxx
x) stanoví xxxxxxxx xxx identifikaci x xxxxxxxxx aktiv x xxx xxxxxxxxxxxx x xxxxxxxxx rizik xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxx, xxxxx xxxxx do xxxxxxx xxxxxxx řízení xxxxxxxxxxx informací, xxxxx §8 xxxxxxxxx v xxxxxxx přílohy č. 1 k xxxx xxxxxxxx x xxxxxxx xxxxxxxxx do xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxxxxxx xxxxxx, při xxxxxxx zohlední xxxxxx x xxxxxxxxxxxxx, xxxxxxx xxxxx dopady xx xxxxxxxx xxxxxx, hodnotí xxxx xxxxxx xxxxxxxxx x xxxxxxx xxxxx přílohy č. 2 x xxxx xxxxxxxx x xxxxxxxx xxxxxx x xxxxxxxxx xxxxx a rizik,
d) xxxxxxxx xx základě xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx obsahuje xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx opatření,
e) zpracuje x xxxxxx xxxx xxxxxxxx xxxxx, xxxxx xxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx zvládání rizik, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx bezpečnostních opatření xxx zvládání xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxxx jejich xxxxxxxx a xxxxx xxxxx mezi identifikovanými xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxx bez xxxxxxxxxx xxxxxxx xxxxxxxxx a xxxxxxxx opatření xxxxxx Xxxxxx x hodnocení xxxxx x v xxxxxxx, xx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxx x realizací reaktivního xxxx ochranného opatření xxxxxxxx stanovená kritéria xxx přijatelnost rizik, xxxxxx xxxx zvládání xxxxx.
(3) Xxxxxx rizik xxxx xxx xxxxxxxxx x xxxxxx způsoby, xxx jak je xxxxxxxxx x xxxxxxxxxx 1 x 2, xxxxx xxxxx x xxxxx uvedená v §3 xxxx. x) xx e) zákona xxxxxxxxx, xx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx vyšší xxxxxx xxxxxx rizik.
(4) Xxxxx x osoba uvedená x §3 xxxx. x) xx x) xxxxxx při xxxxxxxxx xxxxx zvažuje zejména xxxx xxxxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx ze xxxxxx xxxxxxxxx x administrátorů,
b) xxxxxxxxx xxxx selhání xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
x) zneužití xxxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx x licenčními xxxxxxxxxx,
x) kybernetický xxxx x xxxxxxxxxxx xxxx,
x) xxxxxxxx kód (xxxxxxxxx xxxx, xxxxxxx, trojské xxxx),
x) nedostatky xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) narušení xxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx poskytování xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx dodávek xxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxx působící xxxxxx x
x) xxxxxxxx xxxx xxxxxxxxx aktiva.
(5) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx xxx xxxxxxxxx xxxxx zvažuje xxxxxxx xxxx xxxxxxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx xxxxxxxx perimetru,
b) xxxxxxxxxxxx bezpečnostní povědomí xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
x) nevhodné xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) nedostatečné xxxxxxx xxx xxxxxxxxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx,
x) xxxxxxxxxxxx monitorování xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxx xxxx xxxxxxx způsoby chování x
x) nedostatečné xxxxxxxxx xxxxxxxxxxxxxx pravidel, xxxxxxxx xxxx xxxxxxxxxxxxx vymezení xxxx x povinností xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxxxxxxxx xxxx.
(6) Orgán x xxxxx uvedená x §3 písm. x) a x) xxxxxx xxx xxxxxxxxx xxxxx xxxx zvažuje xxxx xxxxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, provedení xxxxxxxxxxxxx xxxxxxxx, zneužití xxxxxxxxx ze strany xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xx xxxxxx xxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxx, sabotáž,
d) xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx komunikací, xxxxxxx elektrické xxxxxxx xxxx xxxxxx důležitých xxxxxx,
x) xxxxxxxxxx zaměstnanců x potřebnou odbornou xxxxxx,
x) xxxxxx xxxxxxxxxxxx xxxx pomocí xxxxxxxxxx xxxxxxxxxxx, použití xxxxxxxxxxx xxxxxxx a
g) zneužití xxxxxxxxxxxxx xxxxxxxxxxx nosičů xxx.
(7) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) zákona xxx xxxxxxxxx rizik xxxx zvažuje xxxx xxxxxxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxx xxxxxxxxx kontroly x
x) xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx strany xxxxxxxxxxx.
§5
Xxxxxxxxxxxx xxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 písm. x) a x) xxxxxx stanoví xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxx,
x) xxxxxx vztahů x xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx lidských xxxxxx,
x) xxxxxx provozu a xxxxxxxxxx,
x) xxxxxx xxxxxxxx,
x) xxxxxxxx chování uživatelů,
i) xxxxxxxxxx a obnova,
j) xxxxxxxx xxxxxxxxx x xxxxxx informací,
k) xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx,
x) bezpečné xxxxxxxxx xxxxxxxxx zařízení,
m) xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx x archivace xxxxxxxxx,
x) xxxxxxx osobních xxxxx,
x) xxxxxxx bezpečnost,
q) xxxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxxx před xxxxxxxxx xxxxx,
x) nasazení x xxxxxxxxx nástroje xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx,
x) xxxxxxx a xxxxxx xxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x
x) xxxxxxxxx kryptografické xxxxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. e) xxxxxx stanoví bezpečnostní xxxxxxxx v xxxxxxxxx
x) xxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxx,
x) xxxxxx xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxxx,
x) xxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx a xxxxxx,
x) xxxxxxxxxxx x xxxxxxxx licencí xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx,
x) xxxxxxx xxxxxxxx údajů,
l) xxxxxxxxx kryptografické xxxxxxx,
x) xxxxxxx xxxx škodlivým xxxxx x
x) xxxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxx kybernetických xxxxxxxxxxxxxx událostí.
(3) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx x aktualizuje xx.
§6
Organizační xxxxxxxxxx
(1) Orgán x osoba xxxxxxx x §3 písm. x) xx e) xxxxxx xxxxxx organizaci xxxxxx xxxxxxxxxxx xxxxxxxxx, x xxxxx xxxxx xxxx xxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxx role x jejich práva x povinnosti související x xxxxxxxxxxx systémem xxxxxxxx informační infrastruktury, xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxx xxxxxxxxxxx xxxxxxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x x) zákona xxxx xxxxxxxxxxxx xxxx
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) auditor xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxx aktiva xxxxx §2 xxxx. x).
(3) Xxxxx x osoba xxxxxxx x §3 xxxx. e) určí xxxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxx 2.
(4) Xxxxxxx kybernetické xxxxxxxxxxx xx xxxxx, xxxxxxxxx xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx, která xx xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx způsobilost xxxxx s xxxxxxx xxxxxxxxxxx xxxxxxxxx po xxxx xxxxxxx tří xxx.
(5) Xxxxxxxxx kybernetické xxxxxxxxxxx je xxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxxx bezpečnostních opatření, xxxxx xx pro xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xx xxxx nejméně xxx xxx.
(6) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx provádějící xxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xx pro xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx způsobilost xxxxx s prováděním xxxxxx kybernetické xxxxxxxxxxx xx xxxx xxxxxxx xxx xxx. Xxxxxxx xxxxxxxxxxxx bezpečnosti xxxxxxxx xxxxx xxxx xxxxxxxxx x xxxxx jeho xxxx xx xxxxxxx xx xxxxxx xxxx xxxxxxxxx v xxxxxxxx 2 písm. x), x) xxxx x).
(7) Xxxxx pro řízení xxxxxxxxxxxx xxxxxxxxxxx je xxxxxxxxxxxx skupina tvořená xxxxxxx, xxxxx xxxx xxxxxxxx celkovým xxxxxxx x xxxxxxxx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx se xxxxxxxx xxxxxxxx xx xxxxxx x koordinaci xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx.
(8) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxxxxx odborné školení xxxx, které zastávají xxxxxxxxxxxx xxxx x xxxxxxx s plánem xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 xxxx. x).
§7
Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxxxx
(1) Orgán x osoba uvedená x §3 xxxx. x) xx x) xxxxxx zavede xxxxxxxx xxx xxxxxxxxxx, xxxxx xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, a xxxxxxxx je u xxxxxxxxxx nebo xxxxxx xxxx, xxxxx xx xxxxxxxx xx xxxxxxx, xxxxxxx nebo zajištění xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xxxxxx xxxxxxxx xxxxxxxxxx xx xxxxxxx, xxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx nebo významného xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx orgán x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx xxxxxxxx, jejíž xxxxxxxx xx xxxxxxxxxx o xxxxxxxxxxx xxxxxxxxx.
(2) Orgán x osoba xxxxxxx x §3 xxxx. x) a d) xxxxxx u dodavatelů xxxxxxxxx x odstavci 1 xxxx
x) před xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx rizik xxxxx přílohy č. 2 k xxxx xxxxxxxx, xxxxx jsou xxxxxxx s podstatnými xxxxxxxxx,
x) xxxxxxx xxxxxxx x xxxxxx služeb, xxxxx xxxxxxx způsoby x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, x
x) xxxxxxx xxxxxxxxxx hodnocení xxxxx a xxxxxxxxxxx xxxxxxxx zavedených bezpečnostních xxxxxxxx x poskytovaných xxxxxx a xxxxxxxx xxxxxxxxxx odstraňuje xxxx xx xxxxxx s xxxxxxxxxxx zajistí jejich xxxxxxxxxx.
§8
Xxxxxx xxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx x xxxxx xxxxxx aktiv
a) xxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxx,
x) xxxx xxxxxxx xxxxx, kteří jsou xxxxxxxxx za primární xxxxxx, x
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx a dostupnosti x xxxxxx xx xx xxxxxxxxxxxx úrovní xxxxxxxxx v xxxxxxx xxxxx přílohy č. 1 k xxxx vyhlášce.
(2) Při xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx xx třeba xxxxxxxxx xxxxxxxx
x) xxxxxx x xxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxxxxx,
x) rozsah dotčených xxxxxxxx povinností nebo xxxxxx závazků,
c) rozsah xxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, obchodních xxxx ekonomických xxxxx,
x) xxxxx finanční xxxxxx,
x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx xxxxxx x xxxxx uvedené x §3 písm. x) xx e) zákona,
g) xxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx a
h) xxxxxx xx zachování xxxxxxx jména xxxx xxxxxxx dobré pověsti.
(3) Xxxxx a osoba xxxxxxx x §3 xxxx. c) x x) zákona dále
a) xxxxxxxxxxxx a xxxxxxx xxxxxxxx xxxxxx,
x) určí xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx za xxxxxxxx xxxxxx, a
c) xxxx vazby xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx x hodnotí xxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxx a xxxxxxxxxx xxxxxx.
(4) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxx
x) xxxxxxx pravidla xxxxxxx, xxxxx xxx xxxxxxxxxxx jednotlivých xxxxxx xxxxx xxx, že
1. xxxx způsoby rozlišování xxxxxxxxxxxx xxxxxx aktiv,
2. xxxxxxx pravidla xxx xxxxxxxxxx x xxxxxxxx x aktivy xxxxx xxxxxx aktiv, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx sdílení x xxxxxxx xxxxxxxxx aktiv x
3. xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx aktiv,
b) xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx aktiv x
x) xxxx xxxxxxx xxx xxxxxxxxxx xxxxxxx xxxx xxxxxx technických xxxxxx xxx x xxxxxxx na úroveň xxxxx.
§9
Bezpečnost xxxxxxxx xxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) až x) xxxxxx v xxxxx xxxxxx bezpečnosti xxxxxxxx zdrojů
a) xxxxxxx xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxx, xxxxx x xxxxxx xxxxxxxxxx školení x určí xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx x xxxxx xxxxxxx,
x) x xxxxxxx x xxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx, administrátorů a xxxx zastávajících xxxxxxxxxxxx xxxx x xxxxxx xxxxxxxxxxxx x o xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx bezpečnostní xxxxxxxx xx xxxxxx uživatelů, xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx role x
x) xxxxxxx vrácení xxxxxxxxx aktiv x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx smluvního xxxxxx x xxxxxxxxx, xxxxxxxxxxxxxx xxxx osobami xxxxxxxxxxxxx xxxxxxxxxxxx role.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxx x školení podle xxxxxxxx 1 přehledy, xxxxx xxxxxxxx xxxxxxx xxxxxxx x seznam xxxx, xxxxx školení xxxxxxxxxxx.
(3) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) stanoví pravidla xxx xxxxxx xxxx, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx xxxx, xxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxxxxx školení a xxxxxxx xxxxxxxx spojených x prohlubováním xxxxxxxxxxxxxx xxxxxxxx,
x) určí xxxxxxxx x xxxxxxx xxx xxxxxx případů xxxxxxxx xxxxxxxxxxx bezpečnostních xxxxxxxx xx xxxxxx uživatelů, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní xxxx x
x) zajistí xxxxx xxxxxxxxxxxx xxxxxxxxx při xxxxx xxxxxxxxx uživatelů, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
§10
Xxxxxx xxxxxxx x xxxxxxxxxx
(1) Orgán x xxxxx uvedená v §3 xxxx. x) xx x) zákona x xxxxx xxxxxx xxxxxxx x xxxxxxxxxx xxxxxx technických nástrojů xxxxxxxxx x §21 xx 23 xxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxxxxxxxxx vyhodnocuje získané xxxxxxxxx a na xxxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxx s §13.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx x rámci řízení xxxxxxx a xxxxxxxxxx xxxx zajišťuje xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xx xxxxx účelem xxxxxxx xxxxxxxx pravidla x xxxxxxx.
(3) Provozní xxxxxxxx a xxxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx obsahují
a) xxxxx x xxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx a xxxxxxxxx,
x) postupy xxx xxxxxxxx x ukončení xxxxx xxxxxxx, xxx xxxxxxx nebo obnovení xxxxx systému xx xxxxxxx x xxx xxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxxxxx jevů,
c) xxxxxxx pro xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxx xxxxxxx xxxxxxxx k xxxxxxxx x xxxxxx xxxxxxxxxx,
x) xxxxxxx xx xxxxxxxxx xxxxx, xxxxx jsou xxxxxx xxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxxx xxxxxxxxxxx nebo xxxxxxxxxxx xxxxxx,
x) postupy xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxx x
x) postupy xxx xxxxxxxxx, plánování x xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxx.
(4) Xxxxxx provozu xxxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x prověřování xxxxxxxxxxxxx xxxxxxxxxxx xxxxx.
(5) Xxxxxx xxxxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxxxxx x
x) xxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx a xxxxxxxxxxx xxxxxxxxx,
x) xxxxxx reaktivních xxxxxxxx xxxxxxxx Úřadem xxx, xx xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx
1. xxxxxxx očekávané xxxxxx xxxxxxxxxxx opatření xx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xx zavedená xxxxxxxxxxxx opatření, vyhodnotí xxxxx xxxxxxxxx xxxxxx x xxx xxxxxxxxxx xxxxxxx xx oznámí Xxxxx x
2. xxxxxxx xxxxxx xxxxxxxx provedení xxxxxxxxxxx opatření, xxxxx xxxxxxxxxxxx možné xxxxxxxxx xxxxxx, x určí xxxxxx xxxx xxxx xxxxxxxxx.
(6) Orgán a xxxxx xxxxxxx x §3 písm. c) x x) xxxxxx x xxxxx xxxxxx xxxxxxxxxx
x) xxxxxxxxx bezpečnost x xxxxxxxxx komunikačních xxxx x xxxxxxxxxx xxxxxxxxxxxxx xxxxxx podle §17,
x) xxxx xxxxxxxx x postupy xxx xxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx,
x) xxxxxxx výměnu x xxxxxxxxx xxxxxxxxx xx základě pravidel xxxxxxxxxxx xxxxxxxx xxxxxxxx xx xxxxxxxxxx zajištění xxxxxxxxxxx xxxxxxxxx x xxxx xxxxxxxx xxxxxxxxxxx x
x) s xxxxxxx xx klasifikaci aktiv xxxxxxx výměnu a xxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxx xxxxx, xxxxxxx xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx.
§11
Řízení přístupu x xxxxxxxx xxxxxxx xxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) až x) zákona na xxxxxxx xxxxxxxxxx a xxxxxxxxxxxxxx potřeb xxxx xxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačnímu xxxxxxx x xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxxx xxxxxxxx, xxxxx xxxxxx k xxxxxxxxx xxxxxxx xxxxx, které xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx informačního xxxxxxx xxxxx §18 x 19, x která xxxxx ve xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(3) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx xxxx x xxxxx xxxxxx xxxxxxxx
x) xxxxxxx xxxxxxxxxxxxx aplikacím xxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxx,
x) přiděluje x xxxxxxx přístupová xxxxxxxxx x souladu x politikou řízení xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx v xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxx,
x) využívá nástroj xxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx §18 x xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §19 a
f) xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx zařízení, xxxxxxx orgán x xxxxx xxxxxxx x §3 xxxx. c) x d) xxxxxx xxxxxxxxxxx.
§12
Xxxxxxxx, vývoj x xxxxxx
(1) Orgán a xxxxx xxxxxxx x §3 písm. x) xx x) zákona xxxxxxx xxxxxxxxxxxx xxxxxxxxx xx změny informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx spojené s xxxxxx xxxxxxxx, xxxxxxx x xxxxxxx x xxxxxx je xx xxxxxxxx akvizice, vývoje x údržby xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxx
x) xxxxxxxxxxxx, xxxxxxx a xxxx rizika xxxxxxxxxxx x xxxxxxxx, xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx xxxx komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx; xxx postupy xxxxxxxxx a xxxxxx xxxxx xx xxxxxxxx xxxxx §4 xxxx. 1 xxxx. a) xxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxxx vývojového xxxxxxxxx x zajistí xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxx x
x) xxxxxxx bezpečnostní xxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx před xxxxxx xxxxxxxxx do provozu.
§13
Xxxxxxxx kybernetických bezpečnostních xxxxxxxx x xxxxxxxxx
Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxx xxxxxxxx xxxxxxxxxxxxxx událostí a xxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx, xxxxx xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx u informačního xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx ze xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx xxxx x x xxxxxxxxxx vede záznamy,
b) xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxx oznámených xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx §21 xx 23, provádí xxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxx xxx xxxxxxxxx x xxxxxxxx dopadu xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu, xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxx §32 x xxxxxxx xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx analýzu xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu,
d) xxxxxxxx a xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxx účinnost xxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx a na xxxxxxx xxxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxx opatření x xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
§14
Xxxxxx xxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxx xxxxxx xxxxxxxxxx xxxxxxxx stanoví
a) xxxxx x povinnosti xxxxxxx xxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) cíle xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx, xxxxx xx xxxxxxxxxx xxx xxxxxxx, xxxxxx a xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx systému,
2. xxxx xxxxxxxx xxxxx, xxxxx které xxxx xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx obnovena minimální xxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx, x
3. xxxx xxxxxxxx dat xxxx xxxxxxx, ke xxxxxxx budou xxxxxxxx xxxx po xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu, x
x) xxxxxxxxx řízení xxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx cílů xxxxx xxxxxxx x).
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx dále
a) xxxxxxxxx x dokumentuje xxxxx xxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx x posoudí xxxxx rizika xxxxxxxxxxx x ohrožením xxxxxxxxxx xxxxxxxx,
x) xxxxxxx, xxxxxxxxxxx x pravidelně testuje xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx kybernetickému xxxxxxxxxxxxxx xxxxxxxxx x využívá xxxxxxx pro xxxxxxxxxxx xxxxxx xxxxxxxxxxx podle §26 x
x) xxxxxxx x xxxxxxxxxxx postupy xxx xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx podle §13 x 14 xxxxxx, xx xxxxxxx xxxxxxxx
1. xxxxxxxx xxxxxxxxx xxxxx provedení xxxxxxxx,
2. xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
3. vyhodnocení xxxxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx x xxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.
§15
Xxxxxxxx a xxxxx xxxxxxxx informační infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx x xxxxx xxxxxxxx x xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačních xxxxxxx (xxxx xxx "audit xxxxxxxxxxxx xxxxxxxxxxx")
x) xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx x smluvními xxxxxxx xxxxxxxxxxxx xx x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury a xxxxxxxxxx informačnímu xxxxxxx x určí xxxxxxxx xxx jeho prosazování x
x) provádí x xxxxxxxxxxx xxxxxxxxxx kontroly xxxxxxxxxx bezpečnostní xxxxxxxx x xxxxxxxx těchto xxxxxxx xxxxxxxx x xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx rizik.
(2) Xxxxx x osoba uvedená x §3 xxxx. x) x x) xxxxxx xxxxxxxxx provedení xxxxxx kybernetické bezpečnosti xxxxxx s xxxxxxxx xxxxxxxxxxx xxxxx §6 xxxx. 6, xxxxx xxxxxxx správnost a xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx v §3 písm. x) x x) xxxxxx xxxx xxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxx x xxxxxxx xx xxxxxxxx zranitelnosti.
XXXXX XX
XXXXXXXXX XXXXXXXX
§16
Xxxxxxx xxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 písm. c) xx e) xxxxxx x xxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxx vstupu do xxxxxxxxxx xxxxxxx, kde xxxx xxxxxxxxxxxx xxxxxxxxx x umístěna technická xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx x zásahům xx xxxxxxxxxx xxxxxxx, kde xxxx xxxxxxxx xxxxxxxxx x umístěna xxxxxxxxx xxxxxx xxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x
x) předchází poškození, xxxxxxx xxxx zneužití xxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného informačního xxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx xxxx uplatňuje xxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxx xxxxxxxxx ochrany xx xxxxxx xxxxxxx x
x) xxx xxxxxxxxx xxxxxxx x xxxxx xxxxxxx xxxxxxxxxx zvýšené xxxxxxxxxxx xxxxxxxxxx xxxxxxx, xx xxxxxxx xxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.
(3) Xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxx zejména
a) xxxxxxxxxx zábranné xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx zabezpečovací xxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxx působení projevů xxxxxxxxx událostí,
e) xxxxxxx xxx xxxxxxxx xxxxxx,
x) xxxxxxxx systémy,
g) xxxxxxxx xxx zajištění ochrany xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx napájení x
x) xxxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxx.
§17
Xxxxxxx pro ochranu xxxxxxxxx komunikačních sítí
(1) Xxxxx a osoba xxxxxxx v §3 xxxx. x) až x) xxxxxx pro xxxxxxx xxxxxxxxx rozhraní xxxxxx komunikační sítě, xxxxx xxxx pod xxxxxxx orgánu xxxx xxxxx, x xxxxxxx xxxxxxxxxxx xxxx, xxxxx xx xxx správou xxxxxx nebo osoby, xxxxxx
x) řízení xxxxxxxxxx xxxxxxxx xxxx xxxxxx x vnitřní xxxx,
x) xxxxxxxxxx xxxxxxx použitím xxxxxxxxxxxxxxxxxx xxx xxxx xxxxxxxxxxx xxxx xxxx xxxxxxxxxxx xx xxxxxxx xxxxxxxxxxx aplikací dostupných x vnější xxxx x k xxxxxxxx xxxxx komunikace xxxxxxx xxxx s vnější xxxx,
x) xxxxxxxxxxxxxx xxxxxxxxxx (§25) pro xxxxxxxx xxxxxxx, xxxxxxxxx správu xxxx pro xxxxxxx xxxxxx bezdrátových technologií x
x) xxxxxxxx pro xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxx, xxxxx xxxxxxxxxxxx požadavkům xx xxxxxxx integrity xxxxxxxxxxx xxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxx xxxxxxx xxxxxxxx xxx ochranu xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxx, xxxxx xxxxxxx xxxx xxxxxxxxxx.
§18
Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx xxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významného xxxxxxxxxxxx systému.
(2) Xxxxxxx xxx xxxxxxxxx identity xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxx xxxxxxxxx jejich xxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x významném xxxxxxxxxxx xxxxxxx.
(3) Xxxxxxx xxx xxxxxxxxx xxxxxxxx uživatelů, xxxxx používá xxxxxxxxxxx xxxxx xxxxxx, xxxxxxxxx
x) xxxxxxxxx xxxxx xxxxx xxx znaků,
b) xxxxxxxxx xxxxxxxxx xxxxx xxx, xx xxxxx bude xxxxxxxxx xxxxxxx 3 x xxxxxxxxxxxxx xxxx xxxxxxxxx
1. nejméně jedno xxxxx xxxxxxx,
2. xxxxxxx xxxxx xxxx xxxxxxx,
3. xxxxxxx jednu číslici, xxxx
4. nejméně xxxxx xxxxxxxxx znak xxxxxxx xx xxxxxxxxx xxxxxxxxx x xxxxxx 1 xx 3,
x) xxxxxxxxx xxxx xxx xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxxx xxx xxx; xxxxx xxxxxxxxx xxxx vyžadován xxx xxxxxxxxxx identifikátory xxxxxxxx.
(4) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxx
x) xxxxxxx nástroj xxx xxxxxxx xxxxxxxx, xxxxx
1. xxxxxx xxxxxxxxxx xxxxxxxxx dříve xxxxxxxxxxx xxxxx x neumožní xxxx xxxx xxxxx xxxxxxx uživatele během xxxxxxxxxxx období, které xxxx být xxxxxxx 24 xxxxx, a
2. xxxxxxx opětovné xxxxxxx xxxxxxxx xx xxxxxx xxxx xxxxxxxxxx a
b) xxxxxxx xxxxxxx pro xxxxxxxxx xxxxxxxx administrátorů. X xxxxxxx, že xxxxx nástroj xxxxxxx xxxxxxxxxxx heslem, xxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxx znaků xxx xxxxxxxx požadavků xxxxx xxxxxxxx 3 xxxx. x) x x).
(5) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxx být xxxxxxxx x xxxxxx způsoby, xxx jaké xxxx xxxxxxxxx x odstavcích 3 xx 5, xxxxx orgán x xxxxx xxxxxxx v §3 xxxx. x) xx e) xxxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx vyšší xxxxxx xxxxxxxxx hesla.
§19
Xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx používá xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx xxxxxx oprávnění
a) xxx xxxxxxx x jednotlivým xxxxxxxxx x xxxxx x
x) xxx čtení xxx, pro xxxxx xxx a pro xxxxx oprávnění.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxx xxxxxxx xxxxxxx xxx řízení xxxxxxxxxxxx oprávnění, který xxxxxxxxxxx použití xxxxxxxxxxxx xxxxxxxxx v xxxxxxx x bezpečnostními potřebami x xxxxxxxx xxxxxxxxx xxxxx.
§20
Xxxxxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxx
Xxxxx x xxxxx uvedená x §3 xxxx. x) až x) xxxxxx pro xxxxxx xxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxx pro xxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx systému xxxx xxxxxxxxx kódem, xxxxx zajistí xxxxxxx x stálou xxxxxxxx
x) xxxxxxxxxx xxxx vnitřní xxxx a xxxxxx xxxx,
x) serverů x xxxxxxxxx xxxxxxxx xxxxxxx x
x) pracovních xxxxxx,
xxxxxxx xxxxxxx pravidelnou a xxxxxxx aktualizaci xxxxxxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxx, xxxx xxxxxxx x xxxxxxxx.
§21
Nástroj xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, jejich xxxxxxxxx a xxxxxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx používá xxxxxxx xxx zaznamenávání xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx systému, xxxxx zajistí
a) xxxx xxxxxxxxx x provozních x bezpečnostních xxxxxxxxxx, xxxxxxx xxx xxxxxxxx, xxxxx x čas, xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, xxxxx xxxxxxx xxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx x xxxxx xxxxxxxx a xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx x
x) ochranu xxxxxxxxx informací před xxxxxxxxxxxx xxxxxx nebo xxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 písm. c) xx x) xxxxxx xxxx xxxxxx nástroje xxx xxxxxxxxxxxxx činnosti xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a významného xxxxxxxxxxxx systému zaznamenává
a) xxxxxxxxxx x odhlášení xxxxxxxxx a administrátorů,
b) xxxxxxxx xxxxxxxxx administrátory,
c) xxxxxxxx xxxxxxx xx xxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x xxxxxxxx nedostatku xxxxxxxxxxxx xxxxxxxxx a xxxxx xxxxxxxxx činnosti xxxxxxxxx,
x) xxxxxxxx a xxxxxxxx xxxxxxxx technických xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a významného xxxxxxxxxxxx systému,
f) xxxxxxxxxxx xxxxxxx xxxx xxxxxxx xxxxxxx xxxxxxxxxxx aktiv,
g) xxxxxxxx x xxxxxxxx x činnostech, xxxxxx x manipulaci xx xxxxxxx x činnostech x xxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx x
x) použití xxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxx včetně xxxxx xxxxx, které xxxxxx x xxxxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxxxxx činností xxxxxxxxxxx podle xxxxxxxx 2 xxxxxxxx xxxxxxx xx xxxx 3 xxxxxx.
(4) Orgán x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxxxxxx xxxxxxx xxxxxx xx 24 xxxxx xxxxxxxxxxxxx jednotného systémového xxxx xxxxxxxxxxx xxxxx xxxxxxxxx do xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx.
§22
Xxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxx a osoba xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxxxx vychází xx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx x xxxxx xxxxxxx xxxxxxx, xxxxxxxx x případně zablokování xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx sítí x xxxxxx xxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxx xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí, xxxxx xxxxxxx ověření, xxxxxxxx a xxxxxxxx xxxxxxxxxxx xxxxxxxxxx
x) v xxxxx xxxxxxx xxxxxxxxxxx xxxx a
b) xxxxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.
§23
Xxxxxxx pro xxxx x vyhodnocení kybernetických xxxxxxxxxxxxxx událostí
(1) Orgán x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxxxxx nástroj xxx xxxx x xxxxxxxx xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí, xxxxx x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx
x) xxxxxxxxxxx xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx z xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury,
b) poskytování xxxxxxxxx xxx xxxxxx xxxxxxxxxxxx role x xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxxx x informačním xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikačním xxxxxxx krit x xxxxxxxxxx infrastruktury x
x) xxxxxxxxxxx xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx s xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů, včetně xxxxxxxx varování určených xxxxxxxxxxxxxx xxxx.
(2) Orgán x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx dále zajistí
a) xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxx xxxxxxxx, xxx byly xxxxxxxxx xxxxxxx nesprávného xxxxxxxxxxx xxxxxxxx nebo případy xxxxxxxxx varování, x
x) xxxxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxxxx xxxxxxxxx xxx xxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx, xxx optimální xxxxxxxxx bezpečnostních xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx.
§24
Aplikační xxxxxxxxxx
(1) Orgán x xxxxx uvedená x §3 písm. x) xx x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxxxx x xxxxxx sítě, x xx xxxx xxxxxx xxxxxxxx xx xxxxxxx x xx xxxxx xxxxxxx změně xxxxxxxxxxxxxx xxxxxxxxxx.
(2) Orgán x osoba xxxxxxx x §3 písm. x) x d) xxxxxx xxxx x xxxxx aplikační xxxxxxxxxxx xxxxxxx trvalou xxxxxxx
x) xxxxxxxx a xxxxxxxxx xxxxxxxxxx x vnější xxxx xxxx neoprávněnou xxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxxxxxxx nebo xxxxxxxxxxxxxxx změnou a
b) xxxxxxxxx před xxxxxx xxxxxxxxxxxx, xxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxxx změnou xxxxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxxxxxxxx nebo xxxxxxxxxx.
§25
Kryptografické prostředky
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx
x) xxx xxxxxxxxx xxxxxxxxxxxxxx ochrany stanoví
1. xxxxxx ochrany x xxxxxxx na xxx x xxxx kryptografického xxxxxxxxx a
2. pravidla xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx nebo xxx uložení xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxx x
x) x xxxxxxx x bezpečnostními xxxxxxxxx x xxxxxxxx xxxxxxxxx rizik používá xxxxxxxxxxxxxx prostředky, xxxxx xxxxxxx ochranu xxxxxxxxxx x integrity xxxxxxxxxxx xxxx xxxxxxxxxx xxx x průkaznou xxxxxxxxxxxx xxxxx xx xxxxxxxxx xxxxxxxx.
(2) Xxxxx a xxxxx uvedená x §3 xxxx. c) x x) xxxxxx xxxx
x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxx xxxxx, xxxxx xxxxxxx xxxxxxxxxx, xxxxxxxxxx, xxxxxxxx, xxxxxxxxx, xxxxx, xxxxxx, kontrolu x xxxxx klíčů, x
x) xxxxxxx odolné xxxxxxxxxxxxxx algoritmy x xxxxxxxxxxxxxx xxxxx; x xxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxx x příloze č. 3 x xxxx vyhlášce xxxx xxxxxx xxxxxxx x xxxxx nesouladem.
§26
Xxxxxxx xxx xxxxxxxxxxx xxxxxx dostupnosti
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) až e) xxxxxx v xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx hodnocení xxxxx xxxxxxx xxxxxxx xxx xxxxxxxxxxx úrovně xxxxxxxxxxx informací.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxxxxx xxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxx
x) xxxxxxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx pro xxxxxxx xxxx xxxxxx kontinuity xxxxxxxx,
x) odolnost xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x komunikačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentům, xxxxx xx mohly xxxxxx xxxxxxxxxx, a
c) zálohování xxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx
1. xxxxxxxx xxxxxxxxxx x xxxxxx xxxxxx x
2. zajištěním xxxxxxxxxx technických aktiv x xxxxxxx čase.
§27
Bezpečnost xxxxxxxxxxxx a xxxxxxxx xxxxxxx
Xxxxx a xxxxx uvedená x §3 xxxx. c) x x) xxxxxx xxx bezpečnost xxxxxxxxxxxx x xxxxxxxx xxxxxxx, xxxxx xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx anebo xxxx xxxxxx součástí, xxxxxxx xxxxxxxx, které xxxxxxx
x) xxxxxxx xxxxxxxxx xxxxxxxx x xxxx x xxxxxxxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxx,
x) omezení xxxxxxxxx a xxxxxxxxxx xxxxxxxx k síti xxxxxxxxxxxx x xxxxxxxx xxxxxxx,
x) ochranu xxxxxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx x xxxxxxxx systémů xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx průmyslových a xxxxxxxx systémů xx xxxxxxxxxxxxx bezpečnostním xxxxxxxxx.
XXXXX III
BEZPEČNOSTNÍ DOKUMENTACE
§28
Bezpečnostní xxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 písm. c) x x) xxxxxx xxxx x xxxxxxxxxxx xxxxxxxxxxxx dokumentaci, xxxxx xxxxxxxx
x) bezpečnostní xxxxxxxx xxxxx §5 xxxx. 1,
x) zprávy z xxxxxx kybernetické bezpečnosti xxxxx §3 odst. 1 xxxx. x),
x) xxxxxx x přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx §3 xxxx. 1 xxxx. x),
x) xxxxxxxx xxx xxxxxxxxxxxx a xxxxxxxxx xxxxx x pro xxxxxxxxxxxx x hodnocení xxxxx,
x) zprávu x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxxxx x xxxxxxxxxxxxxxxx,
x) xxxx xxxxxxxx xxxxx,
x) plán rozvoje xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 odst. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xxxxx §13 xxxx. x),
x) xxxxxxxxx řízení xxxxxxxxxx xxxxxxxx xxxxx §14 odst. 1 xxxx. c) x
x) xxxxxxx právních předpisů, xxxxxxxxx xxxxxxxx x xxxxxx předpisů x xxxxxxxxx závazků podle §15 xxxx. 1 xxxx. x).
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx obsahuje
a) xxxxxxxxxxxx xxxxxxxx xxxxx §5 xxxx. 2,
x) xxxxxxxx pro identifikaci x xxxxxxxxx aktiv x pro xxxxxxxxxxxx x hodnocení xxxxx xxxxx §4 xxxx. 2 xxxx. a),
c) xxxxxx x xxxxxxxxx xxxxx x rizik xxxxx §4 odst. 2 písm. b) x x),
x) prohlášení x aplikovatelnosti podle §4 xxxx. 2 xxxx. d),
e) plán xxxxxxxx xxxxx xxxxx §4 odst. 2 xxxx. x),
x) xxxx xxxxxxx xxxxxxxxxxxxxx povědomí xxxxx §9 xxxx. 1 písm. x),
x) xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. e),
h) strategii xxxxxx xxxxxxxxxx xxxxxxxx xxxxx §14 xxxx. 1 xxxx. c) x
x) přehled xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxx §15 odst. 1 xxxx. x).
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxx xxxxxxxxxxxx xxxxxxxxxxx xxx, xxx xxxxxxx o xxxxxxxxxxx xxxxxxxxxx byly xxxxx, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx x aby xx xxxx snadno xxxxxxxx. Xxxxxxxx xxxxxxxx x xxxxxxxxxxxx, xxxxxxx, xxxxxxx, xxxxxxxxx, době xxxxxxxxx x xxxxxxxxxx xxxxxxx x provedených xxxxxxxxxx xxxxxxxxxxx.
(4) Doporučená xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxx v příloze č. 4 k xxxx xxxxxxxx.
§29
Prokázání xxxxxxxxxxx
Xxxxx a xxxxx uvedená v §3 xxxx. x) xx e) zákona, xxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxx informační xxxxxx xx zcela xxxxxxx xx xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxx certifikován xxxxx xxxxxxxxx technické xxxxx1) xxxxxxxxxxxxx certifikačním xxxxxxx, a xxxxx xxxx xxxxxxxxx obsahující
a) xxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx x xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxx metody hodnocení xxxxx x zprávu x hodnocení rizik,
d) xxxxxxxxxx x xxxxxxxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx splňující xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxx1),
x) záznam x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxx x
x) zprávu z xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxxx neshod x xxxxxxxxxx normou,
splňuje xxxxxxxxx xx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx x této xxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX BEZPEČNOSTNÍ XXXXXXXX
§30
Xxxx kybernetických bezpečnostních xxxxxxxxx
(1) Xxxxx xxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobený xxxxxxxxxxxxx útokem xxxx xxxxx xxxxxxxx xxxxxxx x průniku xx xxxxxxx nebo x xxxxxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx opatření,
e) kybernetický xxxxxxxxxxxx xxxxxxxx spojený x xxxxxxxx xxxxxx xxxxxxxxxx xxxxxx a
f) xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx způsobené xxxxxxxxxxxxx xxxxxx.
(2) Podle xxxxxx xxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx xxxxxxxxx do xxxxxxxxxxxxx typů
a) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx narušení xxxxxxxxxxx xxxxx, nebo
d) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx v písmenech x) až x).
§31
Kategorie kybernetických bezpečnostních xxxxxxxxx
(1) Pro xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxx kybernetické bezpečnostní xxxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx přímo a xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx služeb xxxx xxxxx. Xxxx řešení xxxxxxxx xxxxxxxxxx zásahy xxxxxxx x xxx, xx xxxx být xxxxx dostupnými xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace xxxxxxxxx x potenciálních xxxx.
x) Xxxxxxxxx XX - xxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx xxxxxxxx bezpečnost xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx s tím, xx xxxx být xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx šíření kybernetického xxxxxxxxx včetně xxxxxxxxxxxx xxxxxxxxx xxxx.
x) Kategorie X - xxxx xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, při xxxxxx xxxxxxx x xxxx xxxxxxxxxx xxxxxxxx bezpečnosti xxxxxxxxxxxxx služeb nebo xxxxx. Jeho xxxxxx xxxxxxxx xxxxxx xxxxxxx x xxx, xx xxxx xxx vhodnými xxxxxxxxxx xxxxxxx další xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxxxxx xxxxxxxxx škod.
(2) Xxxxx x osoba uvedená x §3 písm. x) xx x) xxxxxx xxx kategorizaci xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx
x) xxxxxxxxxx xxxxxxxxx xxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx služby informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) dopady na xxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx systémy xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxxxx systémy x
x) xxxxxxxxxxxxx xxxxx x xxxxx dopady.
§32
Xxxxx x náležitosti xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxxxx kybernetický xxxxxxxxxxxx xxxxxxxx
x) v xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxx
1. xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
2. xxxxxx na adresu xxxxxxxxxxxx xxxxx Xxxxx xxxxxx pro xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, zveřejněné xx xxxxxxxxxxxxx xxxxxxxxx Úřadu,
3. xxxxxx xxxxxx do xxxxxx xxxxxxxx Xxxxx, xxxx
4. xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx, jehož xxxxx xx zveřejněn xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx, xxxxx
x) v xxxxxxxx podobě xx xxxxxx Národního xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxx x xxxxxxxx xxxxxx se xxxxxx xxxxx x xxxxxxxxx, kdy xxxxx xxxxxx xxxxx xx xxxxxxx uvedených x xxxxxxxx 1 písm. x).
(3) Xxxxxxxxxxx hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxx uvedeny x příloze č. 5 k xxxx xxxxxxxx.
XXXX XXXXXX
XXXXXXXXX XXXXXXXX X KONTAKTNÍ XXXXX
§33
Xxxxxxxxx xxxxxxxx
Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) xx x) zákona xxxxxx xxxxxxxxx reaktivního xxxxxxxx x xxxx výsledek xx xxxxxxxxx, xxxxx xxxx xx xxxxxx x příloze č. 6 k xxxx xxxxxxxx.
§34
Xxxxxxxxx xxxxx
Xxxxx a xxxxx xxxxxxx x §3 xxxxxx oznamuje xxxxxxxxx xxxxx xx xxxxxxxxx, xxxxx xxxx xx xxxxxx v příloze č. 7 x xxxx xxxxxxxx. Xxxxx a xxxxx uvedená x §3 xxxx. c) xx x) xxxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxx x §32 xxxx. 1 xxxx. x).
ČÁST XXXX
XXXXXXXX
§35
Xxxx vyhláška xxxxxx účinnosti dnem 1. xxxxx 2015.
Xxxxxxx:
Xxx. Xxxxxxxx v. r.
Příloha x. 1 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx a xxxxxx důležitosti xxxxx
Xxx xxxxxxxxx důležitosti aktiv xxxx xxxxxxx xxxxxxxx x čtyřech xxxxxxxx. Xxxxx xxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxx xxxxxxxx odlišný počet xxxxxx xxx xxxxxxxxx xxxxxxxxxxx aktiv, než xxxx je uveden x xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx xx xxxxxxxxxx xxxxxxxx hodnocení xxxxxxxxxxx xxxxx x xxxxxxxxxx x xxxxxxxx pro xxxxxxxxx důležitosti xxxxx, xxxxx jsou xxxxxxx x xxxx příloze.
V xxxxxxx použití tří xxxxxx hodnocení xxxxxxxxxxx xxxxx xx xxxxxxxxx xxxxxxx xxx xxxxxx xxxxx x střední, xxxx xxxxxx xxxxxx x xxxxxxxx.
Xxxxxxxx pro xxxxxxxxx důvěrnosti
|
Úroveň |
Popis |
Ochrana |
|
Nízká |
Aktiva jsou xxxxxxx xxxxxxxxx xxxx xxxx xxxxxx xx xxxxxxxxxx (xxxx. xx xxxxxxx zákona č. 106/1999 Sb., x xxxxxxxxx xxxxxxxx x xxxxxxxxxx, xx xxxxx xxxxxxxxxx předpisů). Xxxxxxxx xxxxxxxxxx aktiv xxxxxxxxxx xxxxxxxxx zájmy xxxxxx x osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx. |
Xxxx vyžadována xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxx xxxx-xxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx, xxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxx nebo xxxxxxxx xxxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxx xxxx využívány xxxxxxxxxx xxx řízení xxxxxxxx. |
|
Xxxxxx |
Xxxxxx nejsou veřejně xxxxxxxxx x xxxxxx xxxxxxx xx vyžadována xxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx (např. xxxxxxxx xxxxxxxxx xxxxx xxxxxx č. 89/2012 Sb., xxxxxxxx xxxxxxx, xxxxxx údaje xxxxx xxxxxx č. 101/2000 Sb., o xxxxxxx xxxxxxxx xxxxx, xx xxxxx xxxxxxxxxx xxxxxxxx). |
Xxx xxxxxxx důvěrnosti xxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxx x zaznamenávání xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxx jsou xxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx x vyžadují xxxxxxxxxxxxx xxxx xxxxxxx xxx xxxxx xxxxxxxxx xxxxxxxxx (xxxx. xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxx xxxxx). |
Xxx xxxxxxx xxxxxxxxxx xx požadována xxxxxxxx xxxx, které x xxxxxxx xxxxxxxxxxx, x metody ochrany xxxxxxxxxxx xxxxxxxx xxxxx xx strany xxxxxxxxxxxxxx. Xxxxxxx informací xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxxxxxxx xxx hodnocení xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx x hlediska integrity. Xxxxxxxx integrity xxxxxx xxxxxxxxxx oprávněné xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona. |
Není xxxxxxxxxx xxxxx ochrana. |
|
Střední |
Aktivum xxxx xxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx aktiva může xxxx k xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx x xxxx xx xxxxxxxx méně xxxxxxxxx xxxxxx na primární xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx (např. omezení xxxxxxxxxxxx xxxx xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx vyžaduje ochranu x hlediska xxxxxxxxx. Xxxxxxxx xxxxxxxxx aktiva xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx orgánu x xxxxx uvedené x §3 písm. x) až x) xxxxxx x podstatnými xxxxxx na primární xxxxxx. |
Xxx xxxxxxx integrity xxxx využívány speciální xxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx a zaznamenat xxxxxxxx xxxxx xxxxxxxxxxx xxxxx. Xxxxxxx integrity xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx sítěmi xx xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx prostředků. |
|
Kritická |
Aktivum vyžaduje xxxxxxx x xxxxxxxx xxxxxxxxx. Narušení integrity xxxx k xxxxx xxxxxxx xxxxxxxxx oprávněných xxxxx xxxxxx x xxxxx uvedené x §3 xxxx. x) xx x) zákona x přímými x xxxxx xxxxxxx dopady na xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány xxxxxxxxx xxxxxxxxxx jednoznačné xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (xxxx. xxxxxx xxxxxxxxxxx digitálního xxxxxxx). |
Xxxxxxxx xxx xxxxxxxxx dostupnosti
|
Úroveň |
Popis |
Ochrana |
|
Nízká |
Narušení xxxxxxxxxxx aktiva xxxx xxxxxxxx x x xxxxxxx výpadku je xxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx pro xxxxxxx (xxx xx 1 xxxxx). |
Xxx xxxxxxx xxxxxxxxxxx xx postačující xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx nemělo xxxxxxxxx dobu xxxxxxxxxx xxx, dlouhodobější výpadek xxxx k xxxxxxx xxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva by xxxxxx překročit xxxx xxxxxxxx xxxxx. Xxxxxxxx xxxxxxx xx xxxxx xxxxx neprodleně, xxxxxxx xxxx x xxxxxxx xxxxxxxx xxxxx xxxxxx x osoby xxxxxxx x §3 písm. x) až e) xxxxxx. Xxxxxx xxxx považována xxxx xxxxx důležitá. |
Pro xxxxxxx dostupnosti xxxx xxxxxxxxx xxxxxxx systémy x xxxxxx poskytování xxxxxx xxxx být xxxxxxxxx xxxxxx xxxxxxx xxxx xxxxxxx technických xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx dostupnosti aktiva xxxx xxxxxxxxx a x xxxxxxxxxx xxxxxxxxxxxx (x xxxx xxxxxxxx xxxxx) xxxx x xxxxxxx ohrožení zájmů orgánu x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx. Xxxxxx xxxx xxxxxxxxxx jako xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx je xxxxxxxxxx x automatizovaná. |
Xxxxxxx č. 2 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx xxxxx
Xxxxxxxxx xxxxx xx xxxxxxxxx xxxx xxxxxx, kterou xxxxxxxxx xxxxx, hrozba x zranitelnost.
Pro hodnocení xxxxx xxx použít xxxxxxx xxxx xxxxxx
xxxxxx = xxxxx x xxxxxx x xxxxxxxxxxxx.
Xxxxxxxxxxx xxxxxx funkce xxx xxxxxx xxxxxx je xxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx a xxxxxxxxx xxxxxx
|
Xxxxxxxx xxx xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxx xx x xxxxxxxx časovém xxxxxx x xxxxxx xxxxxxx x xxxxx xxx xxxxxxxxxxxxx. Xxxxxx případných xxxx xxxxxxxxxxx x) 10 xxxxxxxxx xxxx x xxxxxxxxx hospitalizací xx xxxx delší než 24 xxxxx nebo b) xxxxxxxx xxxx materiální xxxxxx do 5&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx na veřejnost x xxxxxxxxx xxxxxxxx xxxxxxxxxx služeb nebo xxxxxx xxxxxxxxx xxxxxx xx každodenního života xxxxxxxxxxxxx nejvýše 250 xxxx. |
|
Xxxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx x x xxxxxxxx časovém xxxxxx. Xxxxxx xxxxxxxxxx xxxx xx xxxxxxxx x xxxxxxx x) xx 10 mrtvých xxxx xx 11 xx 100 osob x xxxxxxxxx hospitalizací xx dobu xxxxx xxx 24 hodin xxxx x) finanční nebo xxxxxxxxxx xxxxxx od 5&xxxx;000&xxxx;000 Xx xx 50&xxxx;000&xxxx;000 Xx anebo c) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx do xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xx 251 xx 2&xxxx;500 xxxx. |
|
Xxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx, ale xxxxxx xxxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx se pohybuje x xxxxxxx x) xx 11 do 100 xxxxxxx xxxx xx 101 xx 1 000 xxxx x xxxxxxxxx hospitalizací xx xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx od 50&xxxx;000&xxxx;000 Xx xx 500&xxxx;000&xxxx;000 Xx anebo c) xxxxxxxxxxx xxxxx xx veřejnost x xxxxxxxxx xxxxxxxx xxxxxxxxxx služeb xxxx xxxxxx xxxxxxxxx zásahu xx každodenního xxxxxx xxxxxxxxxxxxx od 2 501 xx 25 000 xxxx. |
|
Xxxxxxxx |
Xxxxx xx xxxxxx rozsahem, xxxxxx x xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx škod xx xxxxxxxx x xxxxxxx x) 10 x xxxx xxxxxxx x 1 001 x xxxx xxxx x následnou xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx ztráty xxxxxxxxxxx 500&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx nebo xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxx xxx 25 000 xxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx neexistuje nebo xx xxxx pravděpodobná. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxx častější xxx xxxxxx xx 5 xxx. |
|
Xxxxxxx |
Xxxxxx je xxxx xxxxxxxxxxxxx xx pravděpodobná. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx x rozpětí xx 1 xxxx xx 5 xxx. |
|
Xxxxxx |
Xxxxxx xx pravděpodobná xx xxxxx xxxxxxxxxxxxx. Předpokládaná xxxxxxxxx xxxxxx je x rozpětí xx 1 xxxxxx do 1 xxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx jistá. Předpokládaná xxxxxxxxx xxxxxx xx xxxxxxxx než xxxxxx xx xxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx zranitelností |
|
|
Úroveň |
Popis |
|
Nízká |
Zranitelnost xxxxxxxxxx xxxx xx zneužití xxxxxxxxxxxxx xxxx xxxxxxxxxxxxx. Xxxxxxxx kvalitní bezpečnostní xxxxxxxx, které xxxx xxxxxxx xxxx detekovat xxxxx xxxxxxx nebo xxxxxxxx xxxxxx o xxxxxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxxxxxx xx xxxx xxxxxxxxxxxxx až xxxxxxxxxxxxx. Existují xxxxxxxx xxxxxxxxxxxx xxxxxxxx, jejichž xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx. Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxx detekovat xxxxx slabiny xxxx xxxxxxxx pokusy x xxxxxxxxx xxxxxxxx je xxxxxxx. Xxxxxx xxxxx xxxxx xxxxxxx pokusy x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx je xxxxxxxxxxxxx xx velmi pravděpodobná. Xxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx a xxxx xxxxxxxxxx xxxxxxxxxxxx. Xxxx xxxxx xxxxx úspěšné xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx opatření. |
|
Kritická |
Zranitelnost xx xxxxx xxxxxxxxxxxxx až xx xxxxxxxx jisté xxxxxxxx. Bezpečnostní xxxxxxxx xxxxxx xxxxxxxxxxx anebo xx xxxxxx účinnost xxxxxx omezena. Xxxxxxxxx xxxxxxxx účinnosti xxxxxxxxxxxxxx xxxxxxxx. Jsou xxxxx xxxxxxx pokusy překonání xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx xx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx být xxxxxxx xxxx xxxxxxxxx opatřeními xxxx x případě xxxxx xxxxxxxxxx opatření xx xxxxxx xxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxx xxxxxxxxxxx x xxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxx x xxxx odstranění. |
|
Kritické |
Riziko xx xxxxxxxxxxx a xxxx xxx xxxxxxxxxx xxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
X xxxxxxx, xx xxxxx xxxx xxxxx xxxxxxx x §3 xxxx. c) xx e) xxxxxx xxxxxxx xxxxxx xxx xxxxxxxxxxxx a xxxxxxxxx xxxxx, xxxxx nerozlišuje xxxxxxxxx hrozby x xxxxxxxxxxxxx, je xxxxx xxxxxxxx pro hodnocení xxxxxx x xxxxxxxxxxxxx xxxxxxx. Sloučení xxxxxxx xx nemělo xxxx xx ztrátě xxxxxxxxxx xxxxxxxxx xxxx xxxxxx x xxxxxxxxxxxxx. Xx xxxxx účelem xxx xxxxxx například xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxx xxxxxx xxxxxx, xxx x xxxxxx xxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx x xxxxx xxxx xxxxx uvedená x §3 písm. x) xx x) xxxxxx, xxxxx xxxxxxx xxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxx, hrozeb, xxxxxxxxxxxxx x xxxxx.
Příloha x. 3 x vyhlášce č. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxx xx kryptografické xxxxxxxxx
(1) Xxxxxxxxxx algoritmy
a) Blokové x xxxxxxxx xxxxx xxx xxxxxxx důvěrnosti x xxxxxxxxx
1. Xxxxxxxx Xxxxxxxxxx Xxxxxxxx (XXX) x xxxxxxxx xxxxx xxxxx 128, 192 x 256 xxxx Xxxxxx Xxxx Xxxxxxxxxx Xxxxxxxx (3XXX) x xxxxxxxx xxxxx xxxxx 168 bitů, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX, xxxxxxxx xxxxxxxxx na XXX.
2. Xxxxxx Data Xxxxxxxxxx Standard (3XXX) x xxxxxxxx délky xxxxx 112 xxxx, xxxxxxx použití xxx xx zatížením xxxxx xxxxxx xxx 10 XX, xxxxxxxx přecházet xx AES. Xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx xxx každou xxxxxx.
3. Xxxxxxxx x xxxxxxxx xxxxxxxxx délky xxxxx 128 bitů, xxxxxxx xxxxxxx xxx se xxxxxxxxx xxxxx menším xxx 10 GB.
4. Xxxxxx s xxxxxxxx xxxxx xxxxx 128 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX.
5. Xxxxxxx x xxxxxxxx xxxxx xxxxx 128 xx 256 xxxx.
6. Serpent x využitím xxxxx xxxxx 128, 192, 256 xxxx.
7. Xxxxxxxx x xxxxxxxx délky xxxxx 128, 192 x 256 xxxx.
8. XXXX 2.0, XXXX 3X x xxxxxxxx xxxxx xxxxx 128, 256 xxxx.
x) Xxxx xxxxxxxxx x ochranou xxxxxxxxx
1. XXX,
2. XXX,
3. XXX,
4. Xxxxxxx xxxxxxxx xxxx "Xxxxxxx-xxxx-XXX".
Xxxxxxxx:
Xxxxxxxx typu "Xxxxxxx-xxxx-XXX",xxxx používat x xxxxxxxxx xxxxx uvedené xxxxxxxxx xxxx x x výpočtu XXX xxxxx xxxxxxx módy xxx ochranu xxxxxxxxx.
x) Xxxx xxxxxxxxx
1. XXX,
2. XXX,
3. CBC,
4. CFB,
Poznámka:
Módy XXX x XXX xxxx xxx použity x xxxxxxxx, xxx xxxxxxxx xxxxxxxxxxxxxxxxxx inicializačním xxxxxxxx, xxx xxxxxxx xxxx XXX xx xxx xxxx xxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxxx vektoru, při xxxxxxx módu XXX xx pro xxxx xxxx xxxxx opakovat xxxxxxx xxxxxx, v xxxxxxx xxxxxxx XXX xxxx k xxxxxxxxx xxx xxxxxxx integrity xx xxxxx xxxxxx xxxxxxxx proti útoku xx xxxxxxx XXX xxxx.
x) Xxxx xxx xxxxxxx integrity
1. XXXX,
2. XXX-XXX-X9.19, xxxxxxx xxxxxxx xxx se xxxxxxxxx xxxxxx než 109 XXX,
3. XXX-XXX-XXXX,
4. XXXX.
(2) Xxxxxxxxxxx algoritmy
a) Xxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx
1. Xxxxxxx Xxxxxxxxx Xxxxxxxxx (XXX) s xxxxxxxx xxxxx xxxxx 2048 xxxx a xxxx, xxxxx parametru xxxxxxxx xxxxxxxx 224 xxxx x více.
2. Xxxxxxxx Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxxxxx (XX-XXX) x xxxxxxxx xxxxx klíčů 224 xxxx x xxxx.
3. Xxxxxx-Xxxxxx-Xxxxxxx Xxxxxxxxxxxx Xxxxxxxxx Xxxxxx (XXX-XXX) x xxxxxxxx xxxxx xxxxx 2048 xxxx x více.
b) Xxx xxxxxxx xxxxx na xxxxx a xxxxxxxxx xxxxx
1. Xxxxxx-Xxxxxxx (XX) x xxxxxxxx délky xxxxx 2048 xxxx x více, délky xxxxxxxxx xxxxxxx xxxxxxxx 224 xxxx a xxxx.
2. Elliptic Curve Xxxxxx-Xxxxxxx (XXXX) x xxxxxxxx xxxxx xxxxx 224 xxxx a xxxx.
3. Xxxxxxxx Curve Xxxxxxxxxx Xxxxxxxxxx Xxxxxx - Xxx Encapculation Xxxxxxxxx (ECIES-KEM) x xxxxxxxx délky klíčů 256 xxxx x xxxx.
4. Provably Secure Xxxxxxxx Curve - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXXX-XXX) x xxxxxxxx xxxxx klíčů 256 xxxx xxxx.
5. Asymetrie Xxxxxxx xxx Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) x xxxxxxxx délky xxxxx 256 bitů x xxxx.
6. Xxxxxx Xxxxxx Adleman - Xxxxxxx Asymetrie Encryption Xxxxxxx (RSA-OAEP) x xxxxxxxx délky xxxxx 2048 a xxxx.
7. Xxxxxx Xxxxxx Adleman - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (RSA-KEM) x xxxxxxxx xxxxx xxxxx 2048 a xxxx.
(3) Xxxxxxxxx xxxx xxxxxx
x) XXX-2
1. XXX-224,
2. XXX-256,
3. XXX-384,
4. SHA-512,
5. XXX-512/224,
6. XXX-512/256.
x) XXX-3
1. XXX3-224,
2. XXX3-256,
3. SHA3-384,
4. XXX3-512,
5. XXXXX-128,
6. XXXXX-256.
x) Xxxxxxx xxxxxxxx xxxxxx
1. Xxxxxxxx,
2. XXXXXX-160,
3. SHA 1 x xxxxxxxx použitím.
Poznámka x. 1:
SHA-1 xx xxxxx používat xxx xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx, xxxxxxxx razítek, xxxxxxxxx jiné aplikace xxxxxxxxxx nekolizní XXX-1.
Xxxxxxxx x. 2:
XXX-1 lze xxxxxxxx xxxxx xxx xxxxxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx x xxxxxxxx razítek, xxxxxxxxxx x xxxxxxxxx XXXX-XXX1, xxxxxx pro xxxxxxxxxx xxxxx x xxxxxxxxxxxxx xxxxxxxxxx.
Příloha x. 4 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
Xxxx příloha xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx, xxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxx xxxxxxxxx, přičemž xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxx závazné x xx xx orgánu xxxx osobě xxxxxxx x §3 xxxx. x) xx x) xxxxxx, xxxx xxxxxxx x xxxxxx bezpečnostní xxxxxxxxxxx použije. Xxxxxxxxx xx x xxxxx xxxxx jednotlivých xxxxxxxxx xxxx xxxxxxxxxxx xxxx xxxxx do jednoho xxxxxxxxx.
X. Struktura bezpečnostní xxxxxxxx
(1) Xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx*
[§5 xxxx. 1 písm. x), §5 odst. 2 xxxx. x)]
x) Xxxx, xxxxxxxx a xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxx a xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx dokumentace.
d) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxxx auditů kybernetické xxxxxxxxxxx.
x) Pravidla a xxxxxxx xxx xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Pravidla x xxxxxxx xxx nápravná xxxxxxxx x xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx bezpečnostních xxxx a xxxxxx xxxx x povinností,
1. xxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
2. xxxxx a povinnosti xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
3. xxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
4. xxxxx x povinnosti xxxxxxx aktiv,
5. xxxxx x xxxxxxxxxx výboru xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx výkonu xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx rolí.
(3) Xxxxxxxx řízení xxxxxxxxxx**
[§5 xxxx. 1 písm. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxx a principy xxx xxxxx xxxxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx xxxxx xxxxxxxxxx.
x) Xxxxxxxxxxx xxxxxxx o úrovni xxxxxx x xxxxxxx x úrovní xxxxxxxxx xxxxxxxxxxxxxx opatření a x xxxxxx vzájemné xxxxxxx xxxxxxxxxxxx.
x) Pravidla xxx provádění xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx opatření.
e) Xxxxxxxx xxx hodnocení xxxxxxxxxx.
(4) Xxxxxxxx klasifikace xxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxxxx, hodnocení x evidence xxxxxxxxxx xxxxx
1. určení a xxxxxxxx jednotlivých xxxxxxxxxx xxxxx xxxxxx určení xxxxxx xxxxxxx,
2. hodnocení xxxxxxxxxxx primárních xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx.
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx a xxxxxxxx xxxxxxxxxxxx podpůrných xxxxx xxxxxx xxxxxx jejich xxxxxxx,
2. xxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx úrovní xxxxx
1. xxxxxxx rozlišování xxxxxxxxxxxx xxxxxx aktiv,
2. xxxxxxxx pro xxxxxxxxxx x evidenci xxxxx xxxxx xxxxxx xxxxx,
3. xxxxxxxxx xxxxxxx používání xxxxx.
x) Xxxxxxx spolehlivého xxxxxxx xxxx xxxxxx xxxxxxxxxxx nosičů dat.
(5) Xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx**
[§5 odst. 1 xxxx. e), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxx xxxx xxxxxxxxx
1. xxxxxxx x xxxxx xxxxxxx xxxxxxxxx,
2. způsoby x xxxxx poučení xxxxxxx xxxxx,
3. xxxxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx x xxxxx poučení xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Pravidla xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx politiky xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx pracovního vztahu xxxx xxxxx pracovní xxxxxx.
1. vrácení svěřených xxxxx x xxxxxxxx xxxx xxx ukončení xxxxxxxxxx xxxxxx,
2. změna xxxxxxxxxxxx oprávnění při xxxxx pracovní xxxxxx.
(6) Xxxxxxxx xxxxxx xxxxxxx x komunikací**
[§5 xxxx. 1 písm. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxxx x odpovědnosti xxxxxxx x bezpečným xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx a xxxxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx.
(7) Xxxxxxxx xxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. g), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxx/xxxxxxx znát (need xx xxxx).
x) Požadavky xx xxxxxx xxxxxxxx.
x) Xxxxxxx cyklus xxxxxx xxxxxxxx.
x) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.
x) Řízení přístupu xxx mimořádné xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx přístupových xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx.
(8) Politika xxxxxxxxxx xxxxxxx xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. h)]
a) Xxxxxxxx xxx bezpečné xxxxxxxxx s aktivy.
b) Xxxxxxxx xxxxxxx přístupového xxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx x xxxxxxxx na xxxxxxxx.
x) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx chování xx xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx xx xxxxxx x xxxxxxxx xxxxxxxxx.
(9) Xxxxxxxx xxxxxxxxxx x xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. i)]
a) Xxxxxxxxx xx zálohování x obnovu.
b) Xxxxxxxx x xxxxxxx xxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx.
x) Xxxxxxxx a xxxxxxx obnovy.
e) Xxxxxxxx x xxxxxxx testování xxxxxxxxxx a xxxxxx.
(10) Xxxxxxxx xxxxxxxxxx předávání x xxxxxx xxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla a xxxxxxx xxx ochranu xxxxxxxxxxx informací.
b) Xxxxxxx xxxxxxx xxxxxxxxxxxx výměny xxxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx xxxxxxxxxxxxxx ochrany.
(11) Xxxxxxxx řízení technických xxxxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx x postupy xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxxx oprav xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
(12) Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx*
[§5 odst. 1 xxxx. 1)]
x) Xxxxxxxx x postupy xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx zařízení, xxxxxxx xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) zákona xxxxxxxxxxx.
(13) Xxxxxxxx xxxxxxxxxxx a xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx a informací*
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. j)]
a) Xxxxxxxx x xxxxxxx xxxxxxxx programového xxxxxxxx x jeho evidence.
b) Xxxxxxxx x postupy xxx xxxxxxxx dodržování xxxxxxxxxx xxxxxxxx.
(14) Xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx*
[§5 xxxx. x xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxx a xxxxxxx.
x) Xxxxxxx archivovaných xxxxxxxxx x xxxxxxx.
x) Xxxxxxxx přístupu x xxxxxxxxxxxx dokumentům a xxxxxxxx.
(15) Politika ochrany xxxxxxxx xxxxx*
[§5 odst. x písm. x), §5 xxxx. 2 xxxx. x)]
x) Charakteristika xxxxxxxxxxxxxx osobních xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx x provedených xxxxxxxxxxx xxxxxxxx xxx ochranu xxxxxxxx xxxxx.
(16) Xxxxxxxx xxxxxxx bezpečnosti**
[§5 odst. x xxxx. x)]
x) Xxxxxxxx xxx xxxxxxx xxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx xxx xxxxxxx xxxxxxxx.
x) Detekce xxxxxxxx xxxxxxx xxxxxxxxxxx.
(17) Politika xxxxxxxxxxx xxxxxxxxxxx xxxx**
[§5 xxxx. 1 písm. x)]
x) Pravidla x xxxxxxx xxx zajištění xxxxxxxxxxx sítě.
b) Xxxxxx xxxx x xxxxxxxxxx xx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx a xxxxxxx xxx řízení xxxxxxxx v rámci xxxx.
x) Xxxxxxxx x xxxxxxx xxx ochranu xxxxxxxxxx xxxxxxxx x xxxx.
x) Xxxxxxxx a xxxxxxx xxx monitorování xxxx x xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.
(18) Xxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx*
[§5 xxxx. x xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x xxxxxxx pro ochranu xxxxxxxxxx xxxx vnitřní x xxxxxx xxxx.
x) Xxxxxxxx a xxxxxxx xxx ochranu xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxx.
(19) Politika xxxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. n)]
a) Xxxxxxxx a xxxxxxx xxxxxxxx nástroje pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx xxxxxxxxxxxxx a xxxxxxxxx na detekované xxxxxxxxxxxx bezpečnostní události.
c) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx detekci xxxxxxxxxxxxxx bezpečnostních událostí.
(20) Xxxxxxxx xxxxxxx x xxxxxx xxxxxxxx pro xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla x xxxxxxx xxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x postupy xxxxxxxxxx xxxxxxxxxxx pravidel xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxxxx xxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(21) Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Úroveň xxxxxxx x ohledem na xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx
1. xxx přenosu po xxxxxxxxxxxxx sítích,
2. xxx xxxxxxx na mobilní xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxx xxx,
x) Xxxxxx správy klíčů.
II. Xxxxxxxxx další xxxxxxxxxxx
(1) Xxxxxx z xxxxxx xxxxxxxxxxxx bezpečnosti**
[§28 xxxx. 1 xxxx. x)]
x) Xxxx auditu kybernetické xxxxxxxxxxx.
x) Předmět xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx xxxx xxxxxxxx x osob, xxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx.
x) Xxxxx x xxxxx, kde xxxx xxxxxxxxx činnosti xxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
(2) Zpráva x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 xxxx. x)]
x) Xxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx přezkoumání systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) Xxxxxxxxxxxx xxxx x xxxxxxxxx, xxxxx xxxxx xxx xxxx xx xxxxxx řízení bezpečnosti xxxxxxxxx.
x) Xxxxxx xxxxx x xxxxxxxxxx řízení xxxxxxxxxxx xxxxxxxxx
1. neshody x xxxxxxxx xxxxxxxx,
2. xxxxxxxx xxxxxxxxxxxx x xxxxxx,
3. xxxxxxxx xxxxxx,
4. xxxxxxxx cílů xxxxxxxxxxx,
x) Xxxxxxxx hodnocení rizik x xxxx plánu xxxxxxxx xxxxx.
x) Identifikace xxxxxxxx xxx neustálé xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx opatření x xxxx xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
(3) Xxxxxxxx pro identifikaci x xxxxxxxxx xxxxx x pro xxxxxxxxxxxx x hodnocení xxxxx*
[§28 xxxx. 1 písm. x), §28 odst. 2 xxxx. b)]
a) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx aktiv
1. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxxxxxx aktiv,
3. určení xxxxxxxx xxx xxxxxxxxx xxxxxx dostupnosti aktiv.
b) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx
1. určení xxxxxxxx pro hodnocení xxxxxx dopadu,
2. určení xxxxxxxx xxx xxxxxxxxx xxxxxx hrozby,
3. xxxxxx xxxxxxxx pro hodnocení xxxxxx xxxxxxxxxxxxx,
4. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxx,
x) Metody x xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx.
(4) Xxxxxx o xxxxxxxxx xxxxx a rizik**
[§28 xxxx. 1 písm. x), §28 odst. 2 písm. x)]
x) Xxxxxxx xxxxxxxxxx aktiv
1. xxxxxxxxxxxx a xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxxxxx primárních xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxx (xxxxxxx pro orgány x osoby uvedené x §3 písm. x) xxxxxx)
1. identifikace x popis xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxx xxxxx mezi xxxxxxxxxx x xxxxxxxxxx xxxxxx,
x) Xxxxxxxxxxxxxx x xxxxxxxxx xxxxx
1. xxxxxxxxx xxxxxxx xxxxxx na xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx hrozeb,
3. xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx existujících opatření,
4. xxxxxxxxx úrovně xxxxxx, xxxxxxxxx této xxxxxx x xxxxxxxx pro xxxxxxxxxxxx xxxxx,
5. určení x xxxxxxxxx přijatelných xxxxx.
x) Xxxxxxxx xxxxx
1. xxxxx způsobu zvládání xxxxx,
2. návrh xxxxxxxx x xxxxxx xxxxxxxxx.
(5) Xxxxxxxxxx o xxxxxxxxxxxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. x)]
x) Xxxxxxx vybraných bezpečnostních xxxxxxxx xxxxxx xxxxxxxxxx xxxxxx výběru x xxxxxx xxxxx xx xxxxxxxxxxxxxx xxxxxx.
x) Xxxxxxx xxxxxxxxxx bezpečnostních xxxxxxxx.
(6) Xxxx xxxxxxxx xxxxx**
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. e)]
a) Xxxxx x xxxx xxxxxxxxx bezpečnostních xxxxxxxx xxx xxxxxxxx rizik.
b) Xxxxxxxx xxxxxx xxx xxxxxxxxxx bezpečnostní xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxx jednotlivých bezpečnostních xxxxxxxx xxx xxxxxxxx xxxxx.
x) Způsoby hodnocení xxxxxxxxxx zavedení xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
(7) Xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxxxx.
x) Xxxxx x termíny xxxxxxx xxxxxxx xxxxx (neplatí xxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx).
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxxxxxxxxx (xxxxxxx xxx orgány x osoby xxxxxxx x §3 xxxx. x) xxxxxx).
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxx osob zastávajících xxxxxxxxxxxx xxxx.
x) Xxxxx x xxxxxxx poučení xxxxxx xxxxxxxxxxx.
x) Xxxxx x způsoby xxxxxxxxx xxxxx.
(8) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Definování xxxxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx evidenci x zvládání xxxxxxxxxxxx xxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx testování systému xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů x pro zlepšování xxxxxxxxxxxx xxxxxxxxxxx.
(9) Strategie xxxxxx kontinuity xxxxxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx x xxxxxxxxxx xxxxxxxxxxxx osob.
b) Xxxx xxxxxx xxxxxxxxxx činností
1. xxxxxxxxx úroveň xxxxxxxxxxxxx xxxxxx,
2. xxxx xxxxxxxx xxxxx,
3. xxx xxxxxxxx xxxxx.
x) Strategie xxxxxx xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxx dopadů xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxx xxxxx.
x) Xxxxxx a xxxxx xxxxxxxxxx plánů kontinuity.
f) Xxxxxxx pro xxxxxxxxx xxxxxxxx vydaných Národním xxxxxxxxxxxxx xxxxxx.
(10) Xxxxxxx xxxxxx závazných právních xxxxxxxx, vnitřních xxxxxxxx x xxxxxx xxxxxxxx x smluvních xxxxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 písm. x)]
x) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxx a xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxx.
Xxxxxxxx:
* Xxxxxxxxx xxxxxxxxx dokumentu xx xx úrovni xxxxxxx xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx x úroveň xxxxx.
** Xxxxxxxxx důvěrnost xxxxxxxxx xx xx xxxxxx xxxxxx xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.
Příloha x. 5 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu
Vyplnitelný formulář ve formátu PDF
Příloha x. 6 x vyhlášce x. 316/2014 Xx.
Xxxxxxxx xxxxxxxx x provedení xxxxxxxxxxx xxxxxxxx a jeho xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx x. 7 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx xxx xxxxxxx xxxxxxxxxxx údajů
Vyplnitelný formulář ve formátu PDF
Informace
Právní xxxxxxx x. 316/2014 Xx. xxxxx xxxxxxxxx xxxx 1.1.2015.
Ke xxx uzávěrky xxxxxx xxxxxxx xxxxx xxxxx xx xxxxxxxxx.
Xxxxxx předpis x. 316/2014 Sb. xxx xxxxxx právním xxxxxxxxx č. 82/2018 Sb. s xxxxxxxxx xx 28.5.2018.
Xxxxx xxxxxxxxxxxx xxxxxxxx norem xxxxxx xxxxxxxx xxxxxxxx x odkazech xxxx xxxxxxxxxxxxx, pokud xx xxxx xxxxxx xxxxxxxxx xxxxx xxxxx uvedeného xxxxxxxx xxxxxxxx.
1) XXX/XXX 27001:2013, xxxxxxxx XXX ISO/IEC 27001:2014