Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
XXXXXXXX
xx xxx 15. xxxxxxxx 2014
x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x o xxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxx kybernetické bezpečnosti (xxxxxxxx o xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx bezpečnostní xxxx xxxxxxx podle §28 xxxx. 2 zákona x. 181/2014 Xx., x kybernetické xxxxxxxxxxx x x změně xxxxxxxxxxxxx xxxxxx (xxxxx x xxxxxxxxxxxx xxxxxxxxxxx), (xxxx jen "xxxxx") x xxxxxxxxx §6 xxxx. x) až x), §8 odst. 4, §13 odst. 4 x §16 xxxx. 6 xxxxxx.
ČÁST XXXXX
XXXXXX USTANOVENÍ
§1
Předmět xxxxxx
Xxxxx vyhláškou se xxxxxxx obsah a xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxx xxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxx xxxxxxxxxx xxxxxx, xxxxx bezpečnostních xxxxxxxx, xxxxxx xxxxxx xxxxxxxx, xxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx a xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxx x provedení xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx x xxxx xxxxxxxx kontaktních xxxxx x xxxx xxxxx.
§2
Xxxxxxxx xxxxx
X xxxx xxxxxxxx xx rozumí
a) xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx část systému xxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxxx xx xxxxxxxx x rizikům xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx, xxxxx xxxxxxx xxxxxx ustavení, xxxxxxxx, xxxxxx, xxxxxxxxxxxx, přezkoumání, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx aktivum x xxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxxx informace nebo xxxxxx, xxxxxx xxxxxxxxxx xxxx poskytuje xxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikační systém xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxx informační xxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxx x dodavatelé podílející xx xx provozu, xxxxxxx, xxxxxx nebo xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxx aktivem xxxxxxxxx xxxxxxxx, komunikační xxxxxxxxxx x programové xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx x xxxxxxx, xx xxxxxxx xxxx xxxx xxxxxxx xxxxxxxx,
x) xxxxxxx možnost, xx určitá xxxxxx xxxxxxx zranitelnosti xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx a způsobí xxxxxxxxx xxxxxx,
x) hodnocením xxxxx proces, xxx xxxx xx xxxxxxxx xxxxxxxxxx xxxxx x xxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxx činnost xxxxxxxxxx xxxxxxxxx rizik, xxxxx a xxxxxxxx xxxxxxxx ke zvládání xxxxx, xxxxxxx xxxxxxxxx x xxxxxx a xxxxxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx, jejímž xxxxxxxxx může xxx xxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxx xxxxx místo xxxxxx xxxx xxxxxxxxxxxxxx opatření, xxxxx může být xxxxxxxx xxxxxx nebo xxxx hrozbami,
k) xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xx uplatnění xxxxxxxxxxxxxx xxxxxxxx, xxxxx úroveň xxxxxxxx xxxxxxxxx pro xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxx xxxxxx zásad x xxxxxxxx, xxxxx xxxxxx xxxxxx zajištění xxxxxxx xxxxx xxxxxxx x osobou xxxxxxxx x §3 xxxx. x) až e) xxxxxx,
x) garantem xxxxxx xxxxxxx xxxxx xxxxxxxx xxxxxxx nebo xxxxxx xxxxxxxx v §3 xxxx. c) xx x) xxxxxx k xxxxxxxxx xxxxxxx, xxxxxxx x bezpečnosti xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx osoba xxxxx xxxxx xxxxxxx moci, xxxxx xxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxxxxxxxxx fyzická xxxxx xxxxxxxx xxxxxxxx xxxxxx zajišťující xxxxxx, xxxxxx, použití, údržbu x xxxxxxxxxx xxxxxxxxxxx xxxxxx.
XXXX DRUHÁ
BEZPEČNOSTNÍ OPATŘENÍ
HLAVA X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx x rámci xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx s xxxxxxx na xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxx a xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xx xxxxxx xxxx, xxxxxxx xxxxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxx xx xxxxxx xxxxxx bezpečnosti informací xxxx,
x) řídí xxxxxx xxxxx §4 odst. 1,
x) xxxxxxx x xxxxxxx bezpečnostní xxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxx, cíle, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx ve vztahu x xxxxxx xxxxxxxxxxx xxxxxxxxx x na xxxxxxx bezpečnostních xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx bezpečnostní xxxxxxxx x dalších xxxxxxxxx xxxxx §5 x xxxxxx příslušná xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx xxxxxxxx bezpečnostních opatření,
e) xxxxxxxxxxx vhodnost a xxxxxxxx bezpečnostní xxxxxxxx xxxxx §5,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §15, x to xxxxxxx xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx účinnosti xxxxxxx xxxxxx xxxxxxxxxxx informací, xxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxx, xxxxxxxxx xxxxxxxx provedených xxxxxxx a xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, x xx xxxxxxx xxxxxx xxxxx,
x) xxxxxxxxxxx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx na xxxxxxx xxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx vyhodnocení xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací x x souvislosti x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx x
x) xxxx xxxxxx x xxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx činnosti xxxxxxx se systémem xxxxxx bezpečnosti informací x xxxxxxx rizik.
(2) Xxxxx a osoba xxxxxxx x §3 xxxx. e) xxxxxx x xxxxx xxxxxxx xxxxxx bezpečnosti informací
a) xxxx xxxxxx xxxxx §4 xxxx. 2,
x) xxxxxxx x schválí xxxxxxxxxxxx xxxxxxxx v xxxxxxx systému xxxxxx xxxxxxxxxxx informací, která xxxxxxxx xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x povinnosti xx xxxxxx k xxxxxx xxxxxxxxxxx xxxxxxxxx x xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxxxx bezpečnostní xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §5, x xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x
x) provádí xxxxxxxxxxx xxxxxx o xxxxxxxxx xxxxx x xxxxx, bezpečnostní politiky, xxxxx zvládání xxxxx x plánu xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, x xx xxxxxxx xxxxxx xx xxx xxxx xxxx x souvislosti x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx.
§4
Xxxxxx rizik
(1) Xxxxx x xxxxx uvedená x §3 písm. x) a x) xxxxxx x rámci xxxxxx xxxxx
x) stanoví xxxxxxxx xxx xxxxxxxxxxxx x hodnocení xxxxx x pro xxxxxxxxxxxx x hodnocení xxxxx xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx x hodnotí xxxxxxxxxx aktiv, která xxxxx xx xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, podle §8 x xxxxxxx přílohy č. 1 x xxxx xxxxxxxx x xxxxxxx xxxxxxxxx xx xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxxxxx, xxxxxxx xxxxx xxxxxx xx xxxxxx, xxxxxxx xxxx xxxxxx xxxxxxxxx x xxxxxxx xxxxx přílohy č. 2 x xxxx xxxxxxxx, určí x xxxxxxx xxxxxxxxxx rizika x xxxxxxxx xxxxxx x hodnocení xxxxx x xxxxx,
x) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxxxxxxx, které xxxxxxxx xxxxxxx xxxxxxxxx x zavedených xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx x xxxxxx xxxx zvládání xxxxx, xxxxx obsahuje xxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik, xxxxxx xxxxx zajišťující xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x informační xxxxxx, xxxxxx jejich xxxxxxxx x xxxxx vazeb xxxx xxxxxx x xxxxxxxxxxx bezpečnostními xxxxxxxxxx x
x) zohlední xxx xxxxxxxxxx xxxxxxx xxxxxxxxx x ochranná xxxxxxxx xxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx (xxxx xxx "Xxxx") x xxxxxxxxx xxxxx x x xxxxxxx, xx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx xxx přijatelnost rizik, xxxxxx xxxx xxxxxxxx xxxxx.
(2) Xxxxx a xxxxx uvedená v §3 xxxx. x) xxxxxx x rámci xxxxxx xxxxx
x) stanoví xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx aktiv x xxx identifikaci x xxxxxxxxx rizik xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxx, xxxxx xxxxx xx xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, podle §8 xxxxxxxxx v xxxxxxx přílohy č. 1 k xxxx xxxxxxxx x xxxxxxx xxxxxxxxx xx xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx xxxxxxxx hrozby x zranitelnosti, xxxxxxx xxxxx dopady xx xxxxxxxx xxxxxx, hodnotí xxxx xxxxxx xxxxxxxxx x xxxxxxx xxxxx přílohy č. 2 x této xxxxxxxx x xxxxxxxx xxxxxx o xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxxxxxxx o xxxxxxxxxxxxxxxx, xxxxx obsahuje xxxxxxx xxxxxxxxx x zavedených xxxxxxxxxxxxxx opatření,
e) xxxxxxxx x xxxxxx xxxx xxxxxxxx rizik, xxxxx xxxxxxxx xxxx x xxxxxxx bezpečnostních xxxxxxxx xxx zvládání xxxxx, xxxxxx xxxxx zajišťující xxxxxxxxxxx xxxxxxxxxxxxxx opatření xxx zvládání xxxxx, xxxxxxxx finanční, xxxxxxxxx, xxxxxx a informační xxxxxx, termíny xxxxxx xxxxxxxx x xxxxx xxxxx xxxx xxxxxxxxxxxxxxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx opatřeními a
f) xxxxxxxx xxx xxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx opatření xxxxxx Xxxxxx v hodnocení xxxxx x v xxxxxxx, že hodnocení xxxxx xxxxxxxxxxxxx o xxxx xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx ochranného xxxxxxxx xxxxxxxx stanovená xxxxxxxx xxx přijatelnost rizik, xxxxxx plán zvládání xxxxx.
(3) Xxxxxx rizik xxxx xxx xxxxxxxxx x jinými způsoby, xxx xxx je xxxxxxxxx x xxxxxxxxxx 1 a 2, xxxxx xxxxx x xxxxx uvedená v §3 xxxx. c) xx x) xxxxxx xxxxxxxxx, xx používá xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxxxx xxxxxx xxxxxx xxxxx.
(4) Orgán x osoba uvedená x §3 písm. x) xx x) xxxxxx při xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxx xxxxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx činností, zneužití xxxxxxxxx xx strany xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxx nebo xxxxxxx xxxxxxxxxxx anebo programového xxxxxxxx,
x) zneužití identity xxxxxxx xxxxx,
x) užívání xxxxxxxxxxxx xxxxxxxx x xxxxxxx x xxxxxxxxxx xxxxxxxxxx,
x) kybernetický xxxx x xxxxxxxxxxx xxxx,
x) xxxxxxxx xxx (například xxxx, xxxxxxx, xxxxxxx xxxx),
x) xxxxxxxxxx při xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx významného informačního xxxxxxx,
x) xxxxxxxx fyzické xxxxxxxxxxx,
x) xxxxxxxxx poskytování xxxxxx xxxxxxxxxxxxxx komunikací xxxx xxxxxxx xxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxx údajů,
k) xxxxxx působící hrozby x
x) xxxxxxxx xxxx xxxxxxxxx aktiva.
(5) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxx xxxxxxxxx xxxxx xxxxxxx zejména xxxx xxxxxxxxxxxxx
x) nedostatečná xxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx bezpečnostní povědomí xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx nastavení xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx při xxxxxxxxxxxxxx x odhalení xxxxxxxxxxx xxxxxxxxxxxxxx xxxx, kybernetických xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx x neschopnost xxxxxxx xxxxxx xxxxxxxx nebo xxxxxxx způsoby xxxxxxx x
x) nedostatečné stanovení xxxxxxxxxxxxxx xxxxxxxx, nepřesné xxxx xxxxxxxxxxxxx vymezení xxxx x xxxxxxxxxx xxxxxxxxx, administrátorů a xxxxxxxxxxxxxx xxxx.
(6) Orgán x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxx hodnocení xxxxx xxxx zvažuje xxxx hrozby
a) porušení xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, zneužití xxxxxxxxx xx strany xxxxxxxxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xx xxxxxx xxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,
x) xxxxxxxxxx xxxxxxxxx poskytování xxxxxx elektronických xxxxxxxxxx, xxxxxxx elektrické energie xxxx xxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx odbornou xxxxxx,
x) xxxxxx xxxxxxxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxx x
x) zneužití xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxx.
(7) Xxxxx a xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxx xxxxxxxxx rizik xxxx xxxxxxx tyto xxxxxxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxxx kritické informační xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,
x) xxxxxxxxxxxx míra xxxxxxxxx kontroly a
d) xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxxx.
§5
Bezpečnostní politika
(1) Xxxxx x xxxxx uvedená x §3 písm. x) a x) xxxxxx stanoví bezpečnostní xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxxxx bezpečnost,
c) xxxxxx vztahů x xxxxxxxxxx,
x) klasifikace xxxxx,
x) xxxxxxxxxx lidských xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxxx,
x) xxxxxx přístupu,
h) xxxxxxxx xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x xxxxxx,
x) xxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxx,
x) řízení xxxxxxxxxxx zranitelností,
l) bezpečné xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx a xxxxxxxx xxxxxxx programového xxxxxxxx x xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx x archivace xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxxx xxxxxxxxx xxxxx,
x) nasazení a xxxxxxxxx xxxxxxxx xxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx a xxxxxx xxxxxxxx xxx xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x
x) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxx,
x) xxxxxx xxxxxxxxxx,
x) klasifikace xxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxx x komunikací,
g) řízení xxxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x xxxxxx,
x) xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx,
x) xxxxxxx xxxxxxxx údajů,
l) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxx xxxxxxxxx xxxxx x
x) xxxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
(3) Orgán x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx pravidelně hodnotí xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx ji.
§6
Xxxxxxxxxxx bezpečnost
(1) Xxxxx x xxxxx uvedená x §3 písm. x) xx e) xxxxxx zavede xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, x xxxxx xxxxx xxxx xxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxx x xxxxxx xxxxx x xxxxxxxxxx související x informačním systémem xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxx informačním xxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) zákona xxxx xxxxxxxxxxxx role
a) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxxx bezpečnosti,
c) xxxxxxx xxxxxxxxxxxx bezpečnosti x
x) xxxxxx xxxxxx xxxxx §2 xxxx. m).
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxx xxxxxxxxxxxx role přiměřeně xxxxx odstavce 2.
(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx, odpovědná xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxx xx xxx tuto xxxxxxx vyškolena a xxxxxxx odbornou xxxxxxxxxxx xxxxx x xxxxxxx xxxxxxxxxxx informací xx xxxx xxxxxxx tří xxx.
(5) Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx je xxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx opatření, xxxxx xx pro xxxx xxxxxxx xxxxxxxxx x prokáže xxxxxxxx xxxxxxxxxxx praxí x xxxxxxxxxxx bezpečnostní architektury xx dobu xxxxxxx xxx let.
(6) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx xxxxxxxxxxx audit xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xx xxx tuto xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx způsobilost xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxx xxxxxxx xxx xxx. Xxxxxxx xxxxxxxxxxxx bezpečnosti xxxxxxxx xxxxx xxxx xxxxxxxxx x výkon jeho xxxx xx xxxxxxx xx xxxxxx rolí xxxxxxxxx x xxxxxxxx 2 xxxx. x), x) xxxx d).
(7) Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxx skupina xxxxxxx xxxxxxx, které jsou xxxxxxxx xxxxxxxx řízením x xxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx významného xxxxxxxxxxxx xxxxxxx, xxxxx se xxxxxxxx podílejí xx xxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxx s xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx.
(8) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxxxx xxxxxxx xxxxxxx xxxx, xxxxx zastávají xxxxxxxxxxxx xxxx x xxxxxxx s xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 odst. 1 xxxx. x).
§7
Xxxxxxxxx xxxxxxxxxxxxxx požadavků xxx xxxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 písm. x) xx x) xxxxxx zavede pravidla xxx dodavatele, která xxxxxxxxxx potřeby xxxxxx xxxxxxxxxxx informací, x xxxxxxxx je x xxxxxxxxxx xxxx xxxxxx xxxx, které xx xxxxxxxx na xxxxxxx, xxxxxxx xxxx zajištění xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xxxxxx xxxxxxxx dodavatelů xx xxxxxxx, xxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxx uvedená v §3 písm. x) xx x) xxxxxx xxxxxxxx, xxxxx součástí xx xxxxxxxxxx o xxxxxxxxxxx xxxxxxxxx.
(2) Orgán x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx u xxxxxxxxxx xxxxxxxxx v odstavci 1 dále
a) před xxxxxxxxx smlouvy xxxxxxx xxxxxxxxx rizik podle přílohy č. 2 x xxxx xxxxxxxx, xxxxx xxxx xxxxxxx s xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxx x úrovni xxxxxx, xxxxx stanoví xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxx vztah xxxxxxxx xxxxxxx xxxxxxxxxxxx xx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, x
x) xxxxxxx pravidelné xxxxxxxxx xxxxx x pravidelnou xxxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxx xxxxxx x zjištěné xxxxxxxxxx odstraňuje xxxx xx xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxx.
§8
Řízení xxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx x xxxxx xxxxxx xxxxx
x) identifikuje x xxxxxxx xxxxxxxx xxxxxx,
x) xxxx xxxxxxx xxxxx, kteří jsou xxxxxxxxx xx primární xxxxxx, x
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxx x hlediska důvěrnosti, xxxxxxxxx a xxxxxxxxxxx x xxxxxx xx xx jednotlivých xxxxxx xxxxxxxxx x xxxxxxx xxxxx přílohy č. 1 x xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx xx xxxxx xxxxxxxxx xxxxxxxx
x) xxxxxx x xxxxxxxxxx osobních xxxxx nebo obchodního xxxxxxxxx,
x) xxxxxx dotčených xxxxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxx,
x) rozsah xxxxxxxx xxxxxxxxx řídících x xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, xxxxxxxxxx xxxx ekonomických xxxxx,
x) xxxxx finanční ztráty,
f) xxxxxx xxxxxxxx běžných xxxxxxxx orgánu a xxxxx xxxxxxx v §3 písm. x) xx e) zákona,
g) xxxxxx xxxxxxx s xxxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x
x) xxxxxx xx xxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx dobré xxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) a x) xxxxxx dále
a) xxxxxxxxxxxx a eviduje xxxxxxxx aktiva,
b) xxxx xxxxxxx aktiv, kteří xxxx xxxxxxxxx xx xxxxxxxx aktiva, x
x) xxxx vazby mezi xxxxxxxxxx x xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.
(4) Xxxxx x xxxxx uvedená x §3 písm. c) xx x) xxxxxx xxxx
x) stanoví pravidla xxxxxxx, xxxxx pro xxxxxxxxxxx xxxxxxxxxxxx úrovní xxxxx xxx, xx
1. xxxx způsoby xxxxxxxxxxx xxxxxxxxxxxx úrovní xxxxx,
2. xxxxxxx xxxxxxxx pro xxxxxxxxxx x xxxxxxxx x aktivy xxxxx xxxxxx xxxxx, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxxx xxxxx x
3. xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx,
x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx úrovni xxxxx x
x) určí xxxxxxx xxx xxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx xxx x xxxxxxx na xxxxxx xxxxx.
§9
Xxxxxxxxxx xxxxxxxx zdrojů
(1) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) až x) xxxxxx x xxxxx řízení bezpečnosti xxxxxxxx xxxxxx
x) xxxxxxx xxxx rozvoje bezpečnostního xxxxxxxx, který obsahuje xxxxx, obsah a xxxxxx potřebných xxxxxxx x xxxx xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx x xxxxx xxxxxxx,
x) x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx zajistí xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx politice xxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) zajistí xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx strany xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) xxxxxxx vrácení xxxxxxxxx xxxxx x xxxxxxxx přístupových xxxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxxxx bezpečnostní xxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) xx x) xxxxxx vede x školení xxxxx xxxxxxxx 1 přehledy, xxxxx xxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxx, které xxxxxxx xxxxxxxxxxx.
(3) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxx
x) stanoví xxxxxxxx xxx xxxxxx xxxx, xxxxx xxxxx zastávat xxxxxxxxxxxx role, role xxxxxxxxxxxxxx xxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx bezpečnostního xxxxxxxx,
x) určí pravidla x xxxxxxx pro xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) xxxxxxx změnu xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx xxxx osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
§10
Řízení provozu x xxxxxxxxxx
(1) Orgán a xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx x rámci xxxxxx xxxxxxx a xxxxxxxxxx xxxxxx xxxxxxxxxxx nástrojů xxxxxxxxx x §21 xx 23 xxxxxxxx xxxxxxxxxxxx bezpečnostní události, xxxxxxxxxx xxxxxxxxxxx získané xxxxxxxxx x xx xxxxxxxx xxxxxxxxxx xxxxxxx x souladu x §13.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx e) zákona x xxxxx řízení xxxxxxx x komunikací xxxx xxxxxxxxx bezpečný xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx systému. Xx xxxxx účelem xxxxxxx xxxxxxxx xxxxxxxx x postupy.
(3) Xxxxxxxx xxxxxxxx a xxxxxxx xxxxxx a osoby xxxxxxx x §3 xxxx. x) x x) zákona xxxxxxxx
x) xxxxx x xxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, administrátorů a xxxxxxxxx,
x) xxxxxxx pro xxxxxxxx x ukončení xxxxx xxxxxxx, pro xxxxxxx xxxx obnovení xxxxx systému xx xxxxxxx a pro xxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxxxxx xxxx,
x) xxxxxxx pro xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxx xxxxxxx xxxxxxxx k xxxxxxxx x xxxxxx xxxxxxxxxx,
x) xxxxxxx xx xxxxxxxxx xxxxx, xxxxx xxxx xxxxxx jako xxxxxxx xxx xxxxxx neočekávaných xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxx x schvalování xxxxxxxxxx xxxx x
x) xxxxxxx xxx xxxxxxxxx, xxxxxxxxx x řízení kapacity xxxxxxxx a xxxxxxxxxxx xxxxxx.
(4) Řízení xxxxxxx xxxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxxxxx x provádění xxxxxxxxxxxx xxxxxxxxxx x prověřování xxxxxxxxxxxxx provedených xxxxx.
(5) Xxxxxx provozu xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxxxxx x
x) xxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) xxxxxx reaktivních xxxxxxxx vydaných Xxxxxx xxx, že xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a d) xxxxxx
1. xxxxxxx xxxxxxxxx xxxxxx reaktivního xxxxxxxx xx informační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x na xxxxxxxx xxxxxxxxxxxx opatření, vyhodnotí xxxxx xxxxxxxxx xxxxxx x bez xxxxxxxxxx xxxxxxx xx oznámí Xxxxx x
2. xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxxxxxx možné xxxxxxxxx xxxxxx, a určí xxxxxx plán jeho xxxxxxxxx.
(6) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) zákona x rámci řízení xxxxxxxxxx
x) zajišťuje bezpečnost x integritu komunikačních xxxx a bezpečnost xxxxxxxxxxxxx služeb podle §17,
x) určí xxxxxxxx x xxxxxxx pro xxxxxxx informací, xxxxx xxxx xxxxxxxxx komunikačními xxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxx xx základě xxxxxxxx xxxxxxxxxxx právními předpisy xx xxxxxxxxxx zajištění xxxxxxxxxxx informací x xxxx xxxxxxxx xxxxxxxxxxx x
x) s ohledem xx xxxxxxxxxxx xxxxx xxxxxxx výměnu a xxxxxxxxx xxxxxxxxx xx xxxxxxx písemných smluv, xxxxxxx součástí xx xxxxxxxxxx o xxxxxxxxxxx xxxxxxxxx.
§11
Xxxxxx xxxxxxxx a xxxxxxxx xxxxxxx xxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. c) xx x) zákona na xxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxx x informačnímu xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x významnému informačnímu xxxxxxx a přidělí xxxxxxx uživateli xxxxxxxxxxx xxxxxxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxxxx xxxxxxxx, xxxxx xxxxxx x xxxxxxxxx xxxxxxx xxxxx, xxxxx xxxx používány xxx xxxxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx §18 a 19, x xxxxx xxxxx xx xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(3) Orgán x xxxxx xxxxxxx x §3 písm. c) x x) xxxxxx xxxx v rámci xxxxxx přístupu
a) xxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx,
x) omezí xxxxxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxx,
x) přiděluje x xxxxxxx xxxxxxxxxx xxxxxxxxx v souladu x xxxxxxxxx řízení xxxxxxxx,
x) provádí pravidelné xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxx xxxxxxxxxxxx uživatelů x xxxxxxxxxxxx skupinách nebo xxxxxx,
x) využívá xxxxxxx xxx xxxxxxxxx identity xxxxxxxxx podle §18 x nástroj pro xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §19 x
x) xxxxxx bezpečnostní xxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxx mobilních xxxxxxxx, xxxxxxxx x bezpečnostní xxxxxxxx xxxxxxx s xxxxxxxx xxxxxxxxxxx zařízení, xxxxxxx orgán a xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxxxxxxxxx.
§12
Akvizice, xxxxx a xxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxxxxxxx požadavky xx změny xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného informačního xxxxxxx xxxxxxx s xxxxxx xxxxxxxx, xxxxxxx x xxxxxxx x xxxxxx xx do xxxxxxxx xxxxxxxx, vývoje x údržby systému.
(2) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx dále
a) xxxxxxxxxxxx, xxxxxxx x xxxx xxxxxx xxxxxxxxxxx x xxxxxxxx, vývojem x údržbou xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx; pro postupy xxxxxxxxx x xxxxxx xxxxx xx xxxxxxxx xxxxx §4 xxxx. 1 písm. x) xxxxxxx obdobně,
b) zajistí xxxxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx xxxxxxxxxxx testovacích xxx x
x) provádí xxxxxxxxxxxx xxxxxxxxx xxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo komunikačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx před xxxxxx xxxxxxxxx xx provozu.
§13
Xxxxxxxx kybernetických bezpečnostních xxxxxxxx x incidentů
Orgán x osoba uvedená x §3 xxxx. x) až x) xxxxxx xxx zvládání xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx, která xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx ze xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx xxxx x o xxxxxxxxxx xxxx xxxxxxx,
x) xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxx oznámených xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxxxx bezpečnostních xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx nástroji xxxxx §21 xx 23, xxxxxxx jejich xxxxxxxxxxx x identifikuje xxxxxxxxxxxx bezpečnostní xxxxxxxxx,
x) xxxxxxx xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx incidentů, xxxxxxx xxxxxxxx xxx xxxxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního incidentu, xxxxxxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx xxxxx §32 x zajistí xxxx xxxxxxxxxxx podkladů xxxxxxxxxx xxx analýzu xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx a xxxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx, vyhodnotí účinnost xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xx xxxxxxx xxxxxxxxxxx xxxxxxx xxxxx bezpečnostní xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
§14
Xxxxxx xxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx v xxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxxx
x) xxxxx x xxxxxxxxxx xxxxxxx xxxxx, administrátorů a xxxx zastávajících xxxxxxxxxxxx xxxx,
x) xxxx xxxxxx xxxxxxxxxx činností xxxxxx xxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx, xxxxx xx xxxxxxxxxx xxx xxxxxxx, xxxxxx x xxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
2. xxxx xxxxxxxx chodu, xxxxx které xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx minimální xxxxxx xxxxxxxxxxxxx služeb xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx systému, x
3. xxxx obnovení xxx xxxx xxxxxxx, xx xxxxxxx xxxxx obnovena xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu, x
x) xxxxxxxxx xxxxxx kontinuity xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxx podle xxxxxxx x).
(2) Orgán x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) vyhodnotí x xxxxxxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a posoudí xxxxx rizika související x xxxxxxxxx xxxxxxxxxx xxxxxxxx,
x) xxxxxxx, aktualizuje x pravidelně xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx podle §26 a
d) xxxxxxx x aktualizuje xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx podle §13 x 14 xxxxxx, xx xxxxxxx xxxxxxxx
1. xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxx xxxxxxxx,
2. xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
3. vyhodnocení xxxxxxxxxx negativních xxxxxx xx xxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury.
§15
Xxxxxxxx x xxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačních xxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx x rámci xxxxxxxx x xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx (xxxx xxx "xxxxx xxxxxxxxxxxx bezpečnosti")
a) xxxxxxxx xxxxxx bezpečnostních opatření x xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx, jinými xxxxxxxx a smluvními xxxxxxx vztahujícími xx x xxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačnímu xxxxxxx x xxxx opatření xxx jeho xxxxxxxxxxx x
x) xxxxxxx x xxxxxxxxxxx pravidelné xxxxxxxx xxxxxxxxxx bezpečnostní xxxxxxxx x xxxxxxxx xxxxxx xxxxxxx xxxxxxxx x xxxxx xxxxxxx bezpečnostního xxxxxxxx x xxxxx xxxxxxxx rizik.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x d) xxxxxx zajišťuje provedení xxxxxx kybernetické xxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxxx podle §6 xxxx. 6, xxxxx xxxxxxx xxxxxxxxx x xxxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 písm. c) x d) xxxxxx xxxx xxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxxxxx kontrolu xxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxx x jejich xxxxxxx xxxxxxxxxxx a reaguje xx zjištěné zranitelnosti.
XXXXX XX
XXXXXXXXX OPATŘENÍ
§16
Fyzická xxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx v §3 xxxx. c) xx x) xxxxxx x rámci xxxxxxx xxxxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx k xxxxxxxx xxxxxxxxxxxxx xxxxxx xx xxxxxxxxxx xxxxxxx, kde xxxx zpracovávány xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxx x zamezení poškození x xxxxxxx xx xxxxxxxxxx xxxxxxx, kde xxxx xxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx informačního xxxxxxx, x
x) předchází poškození, xxxxxxx xxxx zneužití xxxxx nebo xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Orgán x xxxxx uvedená x §3 písm. x) x d) xxxxxx xxxx uplatňuje xxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxx xxxxxxxxx xxxxxxx na xxxxxx objektů x
x) xxx xxxxxxxxx ochrany x xxxxx objektů xxxxxxxxxx xxxxxxx bezpečnosti xxxxxxxxxx xxxxxxx, xx xxxxxxx xxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
(3) Prostředky xxxxxxx xxxxxxxxxxx xxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxx xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx omezující xxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxx působení projevů xxxxxxxxx xxxxxxxx,
x) systémy xxx xxxxxxxx vstupu,
f) xxxxxxxx xxxxxxx,
x) xxxxxxxx xxx xxxxxxxxx ochrany xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx podmínek.
§17
Nástroj xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx pro xxxxxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx sítě, xxxxx xxxx xxx xxxxxxx xxxxxx xxxx xxxxx, x xxxxxxx xxxxxxxxxxx xxxx, která xx xxx správou xxxxxx nebo xxxxx, xxxxxx
x) xxxxxx xxxxxxxxxx xxxxxxxx xxxx vnější x xxxxxxx xxxx,
x) xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxxxxxx xxx jako xxxxxxxxxxx xxxx sítě xxxxxxxxxxx xx xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx x xxxxxx xxxx x k xxxxxxxx xxxxx xxxxxxxxxx vnitřní xxxx x vnější xxxx,
x) kryptografické xxxxxxxxxx (§25) xxx xxxxxxxx xxxxxxx, vzdálenou xxxxxx xxxx xxx xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxxxx pro xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx dat, xxxxx xxxxxxxxxxxx xxxxxxxxxx na xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx.
(2) Orgán x xxxxx uvedená x §3 písm. x) x d) xxxxxx xxxx xxxxxxx xxxxxxxx xxx xxxxxxx integrity xxxxxxx xxxxxxxxxxx xxxx, xxxxx xxxxxxx xxxx xxxxxxxxxx.
§18
Nástroj xxx xxxxxxxxx xxxxxxxx uživatelů
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx nástroje xxx ověření xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx x významného xxxxxxxxxxxx systému.
(2) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx x administrátorů xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx x administrátorů xxxx zahájením xxxxxx xxxxxxx v xxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxx.
(3) Xxxxxxx pro xxxxxxxxx xxxxxxxx uživatelů, xxxxx používá xxxxxxxxxxx xxxxx heslem, xxxxxxxxx
x) xxxxxxxxx xxxxx xxxxx xxx znaků,
b) minimální xxxxxxxxx xxxxx xxx, xx heslo xxxx xxxxxxxxx xxxxxxx 3 x xxxxxxxxxxxxx xxxx xxxxxxxxx
1. nejméně xxxxx xxxxx písmeno,
2. xxxxxxx xxxxx xxxx písmeno,
3. xxxxxxx xxxxx číslici, xxxx
4. xxxxxxx xxxxx xxxxxxxxx znak odlišný xx xxxxxxxxx uvedených x xxxxxx 1 xx 3,
x) maximální xxxx xxx povinnou xxxxxx xxxxx nepřesahující xxx xxx; xxxxx xxxxxxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(4) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) zákona xxxx
x) používá xxxxxxx xxx xxxxxxx xxxxxxxx, xxxxx
1. xxxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxx a neumožní xxxx změn xxxxx xxxxxxx uživatele xxxxx xxxxxxxxxxx xxxxxx, xxxxx xxxx xxx xxxxxxx 24 hodin, a
2. xxxxxxx xxxxxxxx xxxxxxx xxxxxxxx po xxxxxx xxxx nečinnosti x
x) xxxxxxx nástroj xxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx. X xxxxxxx, xx xxxxx xxxxxxx xxxxxxx xxxxxxxxxxx heslem, xxxxxxx xxxxxxxxx minimální xxxxx xxxxx xxxxxxx xxxxx xxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx. x) x x).
(5) Xxxxxxx pro xxxxxxxxx xxxxxxxx xxxxxxxxx xxxx být zajištěn x xxxxxx způsoby, xxx xxxx jsou xxxxxxxxx x xxxxxxxxxx 3 xx 5, xxxxx orgán x xxxxx uvedená x §3 xxxx. c) xx e) xxxxxx xxxxxxxxx, že xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx vyšší xxxxxx xxxxxxxxx xxxxx.
§19
Nástroj xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) až x) xxxxxx xxxxxxx nástroj xxx řízení xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx xxxxxx oprávnění
a) xxx xxxxxxx x xxxxxxxxxxx xxxxxxxxx x datům x
x) pro xxxxx xxx, xxx xxxxx xxx x pro xxxxx xxxxxxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxx xxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxxxxx použití xxxxxxxxxxxx xxxxxxxxx x souladu x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx hodnocení xxxxx.
§20
Nástroj xxx xxxxxxx xxxx xxxxxxxxx xxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx pro xxxxxx xxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxx xxxxxxx nástroj pro xxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx škodlivým kódem, xxxxx xxxxxxx xxxxxxx x xxxxxx kontrolu
a) xxxxxxxxxx xxxx xxxxxxx xxxx x vnější xxxx,
x) xxxxxxx x xxxxxxxxx datových xxxxxxx x
x) xxxxxxxxxx xxxxxx,
xxxxxxx xxxxxxx pravidelnou x xxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxx, xxxx xxxxxxx x signatur.
§21
Nástroj xxx zaznamenávání xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxxx xxxxxxxxx a xxxxxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) až x) xxxxxx používá xxxxxxx pro xxxxxxxxxxxxx xxxxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxx
x) xxxx xxxxxxxxx o xxxxxxxxxx x bezpečnostních činnostech, xxxxxxx xxx xxxxxxxx, xxxxx a xxx, xxxxxxxxxxxx xxxxxxxxxxx aktiva, xxxxx xxxxxxx zaznamenalo, xxxxxxxxxxxx původce x xxxxx xxxxxxxx x xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx x
x) ochranu xxxxxxxxx xxxxxxxxx před xxxxxxxxxxxx xxxxxx nebo xxxxxx.
(2) Orgán a xxxxx xxxxxxx v §3 xxxx. x) xx e) xxxxxx xxxx xxxxxx xxxxxxxx xxx xxxxxxxxxxxxx činnosti xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx zaznamenává
a) xxxxxxxxxx x odhlášení xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxx provedené xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxx xx xxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx činností x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxx xxxxxxxxx činnosti xxxxxxxxx,
x) xxxxxxxx x ukončení xxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému,
f) automatická xxxxxxx nebo xxxxxxx xxxxxxx xxxxxxxxxxx xxxxx,
x) xxxxxxxx x xxxxxxxx x xxxxxxxxxx, xxxxxx x xxxxxxxxxx xx xxxxxxx o xxxxxxxxxx x xxxxx nastavení xxxxxxxx pro xxxxxxxxxxxxx xxxxxxxx x
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxx xxxxxx xxxxx xxxxx, xxxxx xxxxxx x xxxxxxxxxx.
(3) Orgán x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxx činností xxxxxxxxxxx podle xxxxxxxx 2 uchovává nejméně xx dobu 3 xxxxxx.
(4) Orgán x xxxxx uvedená x §3 xxxx. c) xx x) xxxxxx xxxxxxxxx xxxxxxx xxxxxx xx 24 xxxxx xxxxxxxxxxxxx jednotného xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
§22
Xxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona xxxxxxx xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx ze xxxxxxxxxxx bezpečnostních potřeb x xxxxxxxx xxxxxxxxx xxxxx a xxxxx xxxxxxx xxxxxxx, kontrolu x xxxxxxxx zablokování xxxxxxxxxx mezi xxxxxxx xxxxxxxxxxx xxxx x xxxxxx xxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx používá xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxxxx xxxxxxx xxxxxxx, xxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxx
x) x xxxxx xxxxxxx komunikační xxxx x
x) serverů xxxxxxxxx do xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§23
Xxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxxxxx xxxxxxx xxx xxxx x xxxxxxxx vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, který x souladu s xxxxxxxxxxxxxx potřebami x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx
x) integrovaný sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) poskytování xxxxxxxxx pro xxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x informačním xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx krit x xxxxxxxxxx xxxxxxxxxxxxxx x
x) xxxxxxxxxxx vyhodnocování kybernetických xxxxxxxxxxxxxx událostí s xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, včetně xxxxxxxx varování xxxxxxxx xxxxxxxxxxxxxx xxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx dále zajistí
a) xxxxxxxxxxx aktualizaci xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x včasné varování, xxx xxxx omezovány xxxxxxx xxxxxxxxxxx vyhodnocení xxxxxxxx nebo případy xxxxxxxxx xxxxxxxx, x
x) xxxxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxxxx xxxxxxxxx xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, pro xxxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx xxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx systému kritické xxxxxxxxxx infrastruktury.
§24
Xxxxxxxxx bezpečnost
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx provádí xxxxxxxxxxxx xxxxx zranitelnosti aplikací, xxxxx xxxx xxxxxxxxx x vnější xxxx, x to xxxx xxxxxx xxxxxxxx do xxxxxxx x xx xxxxx zásadní změně xxxxxxxxxxxxxx xxxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx x xxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx trvalou xxxxxxx
x) xxxxxxxx x informací xxxxxxxxxx z xxxxxx xxxx xxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxxxxxxx xxxx xxxxxxxxxxxxxxx změnou x
x) xxxxxxxxx před xxxxxx xxxxxxxxxxxx, xxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx obsahu, xxxxxxxxxxxx, xxxxxxxxxxxxxxx duplikováním xxxx xxxxxxxxxx.
§25
Xxxxxxxxxxxxxx xxxxxxxxxx
(1) Xxxxx x osoba uvedená x §3 xxxx. x) xx x) xxxxxx
x) xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxx
1. xxxxxx xxxxxxx s xxxxxxx xx xxx x sílu xxxxxxxxxxxxxxxx xxxxxxxxx a
2. xxxxxxxx xxxxxxxxxxxxxx xxxxxxx informací xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx nebo xxx xxxxxxx xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx nosiče xxx x
x) x xxxxxxx s xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx ochranu důvěrnosti x xxxxxxxxx xxxxxxxxxxx xxxx ukládaných xxx x průkaznou identifikaci xxxxx za provedené xxxxxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxxx
x) stanoví pro xxxxxxxxx xxxxxxxxxxxxxxxx prostředků xxxxxx správy klíčů, xxxxx zajistí xxxxxxxxxx, xxxxxxxxxx, ukládání, xxxxxxxxx, xxxxx, ničení, xxxxxxxx x xxxxx klíčů, x
x) xxxxxxx xxxxxx xxxxxxxxxxxxxx algoritmy x xxxxxxxxxxxxxx klíče; v xxxxxxx nesouladu x xxxxxxxxxxx xxxxxxxxx na xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxx x příloze č. 3 x xxxx xxxxxxxx xxxx xxxxxx spojená x xxxxx nesouladem.
§26
Xxxxxxx xxx xxxxxxxxxxx xxxxxx dostupnosti
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxxxx x bezpečnostními xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx nástroj xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx informací.
(2) Xxxxx x osoba uvedená x §3 písm. x) x x) xxxxxx xxxxxxx xxxxxxx xxx zajišťování úrovně xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxx xxxxxxx xxxx řízení kontinuity xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx kybernetickým xxxxxxxxxxxxx xxxxxxxxxx, které xx xxxxx xxxxxx xxxxxxxxxx, x
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx
1. využitím xxxxxxxxxx x xxxxxx xxxxxx x
2. xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxx x určeném čase.
§27
Xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx
Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x x) zákona xxx xxxxxxxxxx průmyslových x xxxxxxxx xxxxxxx, xxxxx xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx anebo jsou xxxxxx xxxxxxxx, xxxxxxx xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx xxxxxxxxx přístupu x xxxx x xxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxx x xxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx xxxx využitím xxxxxxx xxxxxxxxxxxxx a
d) xxxxxxxx xxxxx průmyslových a xxxxxxxx systémů xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
XXXXX XXX
XXXXXXXXXXXX DOKUMENTACE
§28
Bezpečnostní xxxxxxxxxxx
(1) Orgán a xxxxx uvedená v §3 písm. x) x x) xxxxxx xxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, která xxxxxxxx
x) bezpečnostní politiku xxxxx §5 odst. 1,
x) zprávy x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §3 xxxx. 1 písm. x),
x) xxxxxx z xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx podle §3 xxxx. 1 xxxx. x),
x) metodiku pro xxxxxxxxxxxx x xxxxxxxxx xxxxx a xxx xxxxxxxxxxxx a hodnocení xxxxx,
x) xxxxxx o xxxxxxxxx aktiv a xxxxx,
x) xxxxxxxxxx o xxxxxxxxxxxxxxxx,
x) xxxx xxxxxxxx xxxxx,
x) xxxx xxxxxxx xxxxxxxxxxxxxx povědomí xxxxx §9 xxxx. 1 xxxx. a),
i) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. x),
x) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxx §14 odst. 1 xxxx. x) a
k) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx a xxxxxx xxxxxxxx x xxxxxxxxx závazků xxxxx §15 xxxx. 1 xxxx. a).
(2) Orgán x xxxxx xxxxxxx x §3 písm. x) xxxxxx vede x aktualizuje xxxxxxxxxxxx xxxxxxxxxxx, která xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxx podle §5 odst. 2,
x) xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x hodnocení xxxxx xxxxx §4 xxxx. 2 xxxx. a),
c) xxxxxx x xxxxxxxxx xxxxx a xxxxx xxxxx §4 xxxx. 2 písm. x) x x),
x) prohlášení x xxxxxxxxxxxxxxxx xxxxx §4 odst. 2 xxxx. d),
e) xxxx xxxxxxxx rizik xxxxx §4 odst. 2 xxxx. e),
f) plán xxxxxxx bezpečnostního xxxxxxxx xxxxx §9 odst. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle §13 xxxx. e),
h) xxxxxxxxx xxxxxx kontinuity činností xxxxx §14 xxxx. 1 xxxx. x) x
x) přehled xxxxxxxx xxxxxxxx, xxxxxxxxx předpisů x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxx §15 odst. 1 xxxx. a).
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) zákona vede xxxxxxxxxxxx xxxxxxxxxxx tak, xxx xxxxxxx x xxxxxxxxxxx činnostech xxxx xxxxx, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx a xxx xx xxxx snadno xxxxxxxx. Xxxxxxxx xxxxxxxx x identifikaci, xxxxxxx, xxxxxxx, xxxxxxxxx, xxxx xxxxxxxxx a xxxxxxxxxx xxxxxxx o xxxxxxxxxxx xxxxxxxxxx dokumentuje.
(4) Doporučená xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxx x příloze č. 4 k této xxxxxxxx.
§29
Xxxxxxxxx certifikace
Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx, xxxxx informační xxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx xx xxxxx zahrnut xx xxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx, xxxxx xxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx xxxxx1) xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx, x xxxxx xxxx xxxxxxxxx xxxxxxxxxx
x) xxxxx rozsahu systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx politiky x xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) popis xxxxxxx xxxxxx xxxxxxxxx xxxxx x xxxxxx x xxxxxxxxx xxxxx,
x) xxxxxxxxxx x aplikovatelnosti,
e) xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx se xxxxxxxxxxx informací1),
f) xxxxxx x přezkoumání xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx x výstupů xxxxxxxxxxx x
x) zprávu z xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxx příslušných xxxxxxx x nápravě xxxxxxxxxx neshod x xxxxxxxxxx xxxxxx,
xxxxxxx xxxxxxxxx xx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx podle zákona x xxxx xxxxxxxx.
ČÁST TŘETÍ
KYBERNETICKÝ BEZPEČNOSTNÍ XXXXXXXX
§30
Xxxx kybernetických bezpečnostních xxxxxxxxx
(1) Podle xxxxxxx xxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx incident způsobený xxxxxxxxxxxxx útokem xxxx xxxxx xxxxxxxx xxxxxxx x průniku xx xxxxxxx xxxx x xxxxxxx xxxxxxxxxxx služeb,
b) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx překonáním xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx opatření,
e) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxx x projevem xxxxxx xxxxxxxxxx xxxxxx x
x) xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx.
(2) Xxxxx dopadu xxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobující xxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx integrity xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx aktiv, nebo
d) xxxxxxxxxxxx bezpečnostní incident xxxxxxxxxxx kombinaci xxxxxx xxxxxxxxx v xxxxxxxxx x) xx x).
§31
Xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Xxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx se xxxxx xxxxxxxx a xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, při kterém xx xxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x tím, xx musí xxx xxxxx xxxxxxxxxx prostředky xxxxxxxxx xxxxxxx šíření xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxxxx minimalizace xxxxxxxxx x xxxxxxxxxxxxx xxxx.
x) Xxxxxxxxx XX - xxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, xxx kterém xx narušena xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho řešení xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx s xxx, xx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace xxxxxxxxx škod.
c) Xxxxxxxxx X - xxxx xxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, při kterém xxxxxxx k méně xxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx služeb nebo xxxxx. Xxxx řešení xxxxxxxx xxxxxx xxxxxxx x xxx, xx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx xxxxxx kybernetického bezpečnostního xxxxxxxxx xxxxxx minimalizace xxxxxxxxx xxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx při xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx odstavce 1 xxxxxxxx
x) xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
x) dopady xx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxx významného xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxx xxxxxxxxxxx jinými xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxxxx systémy x
x) xxxxxxxxxxxxx xxxxx a xxxxx xxxxxx.
§32
Xxxxx a xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. c) xx x) xxxxxx xxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx
x) x xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxx
1. xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx,
2. xxxxxx na xxxxxx xxxxxxxxxxxx xxxxx Úřadu xxxxxx pro xxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
3. xxxxxx xxxxxx xx xxxxxx schránky Xxxxx, xxxx
4. xxxxxxxxxxxxxxx určeného xxxxxxxx xxxxxxxx, jehož xxxxx xx zveřejněn xx xxxxxxxxxxxxx stránkách Xxxxx, xxxxx
x) v xxxxxxxx xxxxxx na xxxxxx Xxxxxxxxx centra xxxxxxxxxxxx xxxxxxxxxxx, zveřejněné xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxx x xxxxxxxx xxxxxx se xxxxxx xxxxx x xxxxxxxxx, xxx xxxxx xxxxxx žádný ze xxxxxxx xxxxxxxxx x xxxxxxxx 1 xxxx. x).
(3) Náležitosti xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx x příloze č. 5 x xxxx xxxxxxxx.
ČÁST XXXXXX
XXXXXXXXX XXXXXXXX X XXXXXXXXX XXXXX
§33
Xxxxxxxxx xxxxxxxx
Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) zákona oznámí xxxxxxxxx xxxxxxxxxxx xxxxxxxx x jeho výsledek xx formuláři, xxxxx xxxx xx xxxxxx x příloze č. 6 k xxxx xxxxxxxx.
§34
Kontaktní údaje
Orgán a xxxxx uvedená x §3 xxxxxx oznamuje xxxxxxxxx údaje xx xxxxxxxxx, jehož xxxx xx xxxxxx v příloze č. 7 k xxxx xxxxxxxx. Xxxxx x xxxxx xxxxxxx v §3 písm. x) xx x) xxxxxx xxxxxxxx kontaktní xxxxx xxxxxx xxxxxxxx x §32 odst. 1 xxxx. x).
XXXX XXXX
XXXXXXXX
§35
Xxxx xxxxxxxx xxxxxx xxxxxxxxx xxxx 1. xxxxx 2015.
Xxxxxxx:
Xxx. Xxxxxxxx v. r.
Xxxxxxx č. 1 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxxx x xxxxxx důležitosti xxxxx
Xxx xxxxxxxxx xxxxxxxxxxx aktiv xxxx xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxx. Xxxxx xxxx osoba xxxxxxx v §3 xxxx. x) xx x) zákona může xxxxxxxx xxxxxxx xxxxx xxxxxx xxx hodnocení xxxxxxxxxxx aktiv, xxx xxxx xx xxxxxx x xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxxx důležitosti xxxxx x xxxxxxxxxx x xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx xxxx xxxxxxx x xxxx xxxxxxx.
X xxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxx důležitosti xxxxx xx xxxxxxxxx xxxxxxx xxx úrovně xxxxx a střední, xxxx xxxxxx xxxxxx x xxxxxxxx.
Xxxxxxxx pro xxxxxxxxx důvěrnosti
|
Úroveň |
Popis |
Ochrana |
|
Nízká |
Aktiva xxxx xxxxxxx xxxxxxxxx nebo xxxx určena ke xxxxxxxxxx (xxxx. na xxxxxxx xxxxxx č. 106/1999 Sb., x xxxxxxxxx přístupu x xxxxxxxxxx, xx xxxxx xxxxxxxxxx xxxxxxxx). Xxxxxxxx důvěrnosti xxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona. |
Není xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxx xxxx-xxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx, xxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxx nebo xxxxxxxx ujednáním. |
Pro xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxx řízení xxxxxxxx. |
|
Xxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx a jejich xxxxxxx je xxxxxxxxxx xxxxxxxx xxxxxxxx, jinými xxxxxxxx xxxx smluvními xxxxxxxxxx (xxxx. xxxxxxxx xxxxxxxxx xxxxx xxxxxx č. 89/2012 Sb., občanský xxxxxxx, xxxxxx údaje xxxxx xxxxxx č. 101/2000 Sb., x xxxxxxx xxxxxxxx xxxxx, xx xxxxx pozdějších xxxxxxxx). |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx prostředky, xxxxx xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx sítí xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x vyžadují xxxxxxxxxxxxx xxxx xxxxxxx xxx xxxxx předchozí xxxxxxxxx (xxxx. strategické xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxx údaje). |
Pro xxxxxxx xxxxxxxxxx xx xxxxxxxxxx xxxxxxxx xxxx, které x xxxxxxx xxxxxxxxxxx, x metody xxxxxxx xxxxxxxxxxx zneužití aktiv xx strany xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx xxxx xxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxxxxxxx xxx hodnocení xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx aktiva xxxxxxxxxx oprávněné xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona. |
Není vyžadována xxxxx ochrana. |
|
Střední |
Aktivum xxxx xxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona x xxxx se xxxxxxxx méně xxxxxxxxx xxxxxx xx primární xxxxxx. |
Xxx xxxxxxx integrity xxxx využívány xxxxxxxxxx xxxxxxxx (xxxx. xxxxxxx xxxxxxxxxxxx práv pro xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxxxx xxxx k poškození xxxxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x podstatnými xxxxxx xx xxxxxxxx xxxxxx. |
Xxx ochranu integrity xxxx využívány speciální xxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx a xxxxxxxxxx xxxxxxxx osoby xxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx vnějšími komunikačními sítěmi xx xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx k xxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx v §3 písm. x) xx x) xxxxxx x xxxxxxx a xxxxx vážnými xxxxxx xx xxxxxxxx xxxxxx. |
Xxx ochranu xxxxxxxxx jsou xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx provádějící xxxxx (např. pomocí xxxxxxxxxxx digitálního xxxxxxx). |
Xxxxxxxx xxx xxxxxxxxx dostupnosti
|
Úroveň |
Popis |
Ochrana |
|
Nízká |
Narušení xxxxxxxxxxx aktiva xxxx xxxxxxxx a x xxxxxxx výpadku xx xxxxx tolerováno xxxxx xxxxxx období xxx xxxxxxx (xxx do 1 xxxxx). |
Xxx xxxxxxx xxxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx dostupnosti xxxxxx xx xxxxxx xxxxxxxxx xxxx xxxxxxxxxx xxx, xxxxxxxxxxxxx výpadek xxxx x možnému xxxxxxxx zájmů orgánu x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx a xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx by xxxxxx xxxxxxxxx xxxx xxxxxxxx hodin. Jakýkoli xxxxxxx xx nutné xxxxx neprodleně, xxxxxxx xxxx k xxxxxxx xxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx. Xxxxxx xxxx považována xxxx velmi xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx xxxx xxx xxxxxxxxx xxxxxx xxxxxxx xxxx výměnou xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx přípustné a x xxxxxxxxxx nedostupnost (x xxxx několika xxxxx) xxxx x xxxxxxx xxxxxxxx zájmů orgánu x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx. Xxxxxx xxxx xxxxxxxxxx xxxx kritická. |
Pro xxxxxxx dostupnosti jsou xxxxxxxxx xxxxxxx systémy x xxxxxx xxxxxxxxxxx xxxxxx je xxxxxxxxxx x xxxxxxxxxxxxxx. |
Xxxxxxx č. 2 x xxxxxxxx x. 316/2014 Sb.
Hodnocení rizik
Hodnocení xxxxx je xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxx xxxxx, hrozba x zranitelnost.
Pro xxxxxxxxx xxxxx lze xxxxxx xxxxxxx xxxx xxxxxx
xxxxxx = xxxxx x xxxxxx x xxxxxxxxxxxx.
Xxxxxxxxxxx xxxxxx xxxxxx xxx xxxxxx xxxxxx xx xxxxxxxxx součástí xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx rizika
|
Stupnice pro xxxxxxxxx dopadů |
|
|
Úroveň |
Popis |
|
Nízký |
Dopad je x xxxxxxxx xxxxxxx xxxxxx x xxxxxx xxxxxxx x xxxxx xxx katastrofický. Rozsah xxxxxxxxxx xxxx xxxxxxxxxxx x) 10 xxxxxxxxx osob s xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx nebo b) xxxxxxxx xxxx materiální xxxxxx xx 5 000 000 Xx anebo c) xxxxxxxxxxx xxxxx na xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx života xxxxxxxxxxxxx xxxxxxx 250 xxxx. |
|
Xxxxxxx |
Xxxxx je omezeného xxxxxxx x x xxxxxxxx xxxxxxx xxxxxx. Xxxxxx xxxxxxxxxx škod xx xxxxxxxx v xxxxxxx x) xx 10 xxxxxxx xxxx od 11 xx 100 xxxx x následnou xxxxxxxxxxxxx xx dobu xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xx 5&xxxx;000&xxxx;000 Kč xx 50&xxxx;000&xxxx;000 Kč xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx xxxxxxxx nezbytných xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xx 251 xx 2&xxxx;500 xxxx. |
|
Xxxxxx |
Xxxxx xx omezeného xxxxxxx, xxx trvalý xxxx xxxxxxxxxxxxx. Xxxxxx případných xxxx xx xxxxxxxx x xxxxxxx x) od 11 xx 100 xxxxxxx xxxx od 101 xx 1 000 xxxx x xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 hodin xxxx x) xxxxxxxx nebo xxxxxxxxxx xxxxxx xx 50 000 000 Xx xx 500 000 000 Xx xxxxx x) představuje xxxxx xx xxxxxxxxx x rozsáhlým xxxxxxxx xxxxxxxxxx služeb nebo xxxxxx xxxxxxxxx zásahu xx každodenního xxxxxx xxxxxxxxxxxxx xx 2&xxxx;501 xx 25&xxxx;000 osob. |
|
Kritický |
Dopad xx xxxxxx rozsahem, xxxxxx a xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xx xxxxxxxx v rozmezí a) 10 a více xxxxxxx x 1 001 x xxxx xxxx x následnou xxxxxxxxxxxxx po xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx materiální xxxxxx xxxxxxxxxxx 500&xxxx;000&xxxx;000 Kč xxxxx x) xxxxxxxxxxx dopad xx veřejnost s xxxxxxxxx omezením xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx zásahu do xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxx xxx 25 000 xxxx. |
|
Xxxxxxxx pro xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx nebo xx xxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx realizace hrozby xxxx xxxxxxxx než xxxxxx xx 5 xxx. |
|
Xxxxxxx |
Xxxxxx xx málo xxxxxxxxxxxxx xx pravděpodobná. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx x xxxxxxx xx 1 xxxx xx 5 let. |
|
Vysoká |
Hrozba xx pravděpodobná až xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx je x rozpětí xx 1 měsíce do 1 xxxx. |
|
Xxxxxxxx |
Xxxxxx je xxxxx pravděpodobná xx xxxxxxxx xxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx je xxxxxxxx než jednou xx xxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx xxxx xx xxxxxxxx xxxxxxxxxxxxx málo pravděpodobné. Xxxxxxxx xxxxxxxx bezpečnostní xxxxxxxx, xxxxx xxxx xxxxxxx xxxx detekovat xxxxx slabiny xxxx xxxxxxxx pokusy o xxxxxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxxxxxx xx xxxx pravděpodobná až xxxxxxxxxxxxx. Existují xxxxxxxx xxxxxxxxxxxx xxxxxxxx, jejichž xxxxxxxx je xxxxxxxxxx xxxxxxxxxxxx. Xxxxxxxxx bezpečnostních xxxxxxxx včas xxxxxxxxx xxxxx xxxxxxx nebo xxxxxxxx pokusy o xxxxxxxxx xxxxxxxx je xxxxxxx. Xxxxxx xxxxx xxxxx xxxxxxx pokusy x xxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx xx xxxxxxxxxxxxx xx xxxxx pravděpodobná. Xxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxx jejich xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx x xxxx xxxxxxxxxx xxxxxxxxxxxx. Jsou xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxxxxxx je xxxxx pravděpodobná xx xx víceméně xxxxx xxxxxxxx. Bezpečnostní xxxxxxxx xxxxxx xxxxxxxxxxx anebo xx xxxxxx xxxxxxxx xxxxxx xxxxxxx. Neprobíhá xxxxxxxx účinnosti xxxxxxxxxxxxxx xxxxxxxx. Xxxx xxxxx xxxxxxx pokusy xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx rizik |
|
|
Úroveň |
Popis |
|
Nízké |
Riziko xx xxxxxxxxxx xx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx sníženo xxxx xxxxxxxxx xxxxxxxxxx xxxx x xxxxxxx xxxxx xxxxxxxxxx opatření xx xxxxxx xxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxx nepřípustné x musí být xxxxxxxx xxxxxxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx nepřípustné x xxxx xxx neprodleně xxxxxxxx xxxxx k xxxx odstranění. |
V případě, xx xxxxx xxxx xxxxx uvedená v §3 xxxx. c) xx x) zákona xxxxxxx xxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx, xxxxx xxxxxxxxxxx xxxxxxxxx hrozby a xxxxxxxxxxxxx, xx možné xxxxxxxx pro hodnocení xxxxxx a xxxxxxxxxxxxx xxxxxxx. Sloučení xxxxxxx xx xxxxxx vést xx xxxxxx xxxxxxxxxx xxxxxxxxx xxxx xxxxxx x xxxxxxxxxxxxx. Za xxxxx xxxxxx xxx xxxxxx xxxxxxxxx komentář, xxxxx xxxxxxxx vyjádří xxx xxxxxx hrozby, xxx x xxxxxx xxxxxxxxxxxxx. Obdobně xxxxxxxxx x xxxxx xxxx xxxxx xxxxxxx x §3 xxxx. x) xx e) zákona, xxxxx používá xxxx xxxxx xxxxxx pro xxxxxxxxx dopadů, xxxxxx, xxxxxxxxxxxxx a xxxxx.
Xxxxxxx x. 3 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx požadavky xx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx algoritmy
a) Xxxxxxx x xxxxxxxx xxxxx xxx ochranu xxxxxxxxxx x xxxxxxxxx
1. Xxxxxxxx Xxxxxxxxxx Xxxxxxxx (XXX) x xxxxxxxx xxxxx xxxxx 128, 192 x 256 bitů Xxxxxx Xxxx Xxxxxxxxxx Xxxxxxxx (3DES) x xxxxxxxx xxxxx klíčů 168 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx menším xxx 10 GB, xxxxxxxx xxxxxxxxx xx XXX.
2. Xxxxxx Xxxx Xxxxxxxxxx Xxxxxxxx (3XXX) x xxxxxxxx xxxxx xxxxx 112 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX, xxxxxxxx xxxxxxxxx xx AES. Xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx xxx xxxxxx zprávu.
3. Xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxx 128 xxxx, xxxxxxx xxxxxxx jen xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX.
4. Xxxxxx s xxxxxxxx xxxxx klíčů 128 xxxx, xxxxxxx použití xxx xx xxxxxxxxx xxxxx xxxxxx než 10 GB.
5. Twofish x xxxxxxxx xxxxx xxxxx 128 xx 256 bitů.
6. Xxxxxxx x xxxxxxxx délky xxxxx 128, 192, 256 xxxx.
7. Xxxxxxxx x xxxxxxxx xxxxx xxxxx 128, 192 x 256 bitů.
8. XXXX 2.0, XXXX 3X x xxxxxxxx xxxxx xxxxx 128, 256 bitů.
b) Módy xxxxxxxxx x xxxxxxxx xxxxxxxxx
1. CCM,
2. XXX,
3. XXX,
4. Xxxxxxx xxxxxxxx xxxx "Encrypt-then-MAC".
Poznámka:
Schémata typu "Xxxxxxx-xxxx-XXX",xxxx xxxxxxxx x xxxxxxxxx pouze xxxxxxx xxxxxxxxx xxxx x x výpočtu MAC xxxxx uvedené módy xxx ochranu integrity.
c) Xxxx šifrování
1. XXX,
2. XXX,
3. XXX,
4. CFB,
Poznámka:
Módy XXX x XXX xxxx být xxxxxxx x náhodným, xxx xxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxxx xxxx XXX xx xxx xxxx xxxx xxxxx opakovat hodnota xxxxxxxxxxxxxxx xxxxxxx, xxx xxxxxxx módu XXX xx xxx xxxx xxxx nesmí xxxxxxxx xxxxxxx xxxxxx, v xxxxxxx použití XXX xxxx x xxxxxxxxx xxx xxxxxxx integrity xx xxxxx ověřit xxxxxxxx proti xxxxx xx padding CBC xxxx.
x) Módy pro xxxxxxx integrity
1. XXXX,
2. XXX-XXX-X9.19, xxxxxxx použití xxx xx xxxxxxxxx xxxxxx xxx 109 XXX,
3. XXX-XXX-XXXX,
4. XXXX.
(2) Xxxxxxxxxxx xxxxxxxxx
x) Xxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx
1. Xxxxxxx Xxxxxxxxx Algorithm (XXX) s xxxxxxxx xxxxx xxxxx 2048 xxxx x xxxx, xxxxx xxxxxxxxx cyklické xxxxxxxx 224 xxxx x více.
2. Elliptic Xxxxx Digital Signature Xxxxxxxxx (EC-DSA) s xxxxxxxx xxxxx xxxxx 224 bitů a xxxx.
3. Xxxxxx-Xxxxxx-Xxxxxxx Xxxxxxxxxxxx Xxxxxxxxx Scheme (XXX-XXX) x xxxxxxxx xxxxx xxxxx 2048 bitů x xxxx.
x) Pro xxxxxxx xxxxx xx xxxxx x xxxxxxxxx xxxxx
1. Xxxxxx-Xxxxxxx (XX) x využitím xxxxx xxxxx 2048 xxxx x xxxx, xxxxx xxxxxxxxx xxxxxxx xxxxxxxx 224 xxxx x xxxx.
2. Xxxxxxxx Xxxxx Xxxxxx-Xxxxxxx (XXXX) s xxxxxxxx xxxxx xxxxx 224 bitů x xxxx.
3. Xxxxxxxx Curve Xxxxxxxxxx Xxxxxxxxxx Xxxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (ECIES-KEM) x xxxxxxxx délky klíčů 256 xxxx a xxxx.
4. Xxxxxxxx Xxxxxx Xxxxxxxx Xxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXXX-XXX) x xxxxxxxx xxxxx klíčů 256 xxxx xxxx.
5. Xxxxxxxxx Xxxxxxx xxx Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) x xxxxxxxx xxxxx xxxxx 256 xxxx x xxxx.
6. Rivest Xxxxxx Xxxxxxx - Xxxxxxx Xxxxxxxxx Xxxxxxxxxx Xxxxxxx (XXX-XXXX) x xxxxxxxx délky xxxxx 2048 a xxxx.
7. Xxxxxx Xxxxxx Xxxxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) x xxxxxxxx délky xxxxx 2048 x xxxx.
(3) Xxxxxxxxx xxxx xxxxxx
x) XXX-2
1. XXX-224,
2. SHA-256,
3. XXX-384,
4. XXX-512,
5. XXX-512/224,
6. XXX-512/256.
x) XXX-3
1. SHA3-224,
2. XXX3-256,
3. XXX3-384,
4. XXX3-512,
5. XXXXX-128,
6. XXXXX-256.
x) Ostatní xxxxxxxx xxxxxx
1. Whirpool,
2. XXXXXX-160,
3. XXX 1 x xxxxxxxx použitím.
Poznámka x. 1:
XXX-1 xx xxxxx používat pro xxxxxxxxxx nových xxxxxxxxxxx xxxxxxx, xxxxxxxx xxxxxxx, xxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx nekolizní XXX-1.
Xxxxxxxx x. 2:
XXX-1 xxx xxxxxxxx xxxxx xxx xxxxxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx x xxxxxxxx razítek, generování x xxxxxxxxx HMAC-SHA1, xxxxxx xxx odvozování xxxxx a xxxxxxxxxxxxx xxxxxxxxxx.
Xxxxxxx č. 4 x vyhlášce č. 316/2014 Sb.
Struktura xxxxxxxxxxxx xxxxxxxxxxx
Xxxx xxxxxxx obsahuje xxxxxxxxxx obsah bezpečnostní xxxxxxxxxxx. Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx zahrnují xxxxxx, xxxxx jednotlivé xxxxxxxxx xxxxx xxxx xxxxxxxx xxxxxxxxx, přičemž xxxxxxx struktury dokumentů xxxxxx závazné x xx xx xxxxxx xxxx xxxxx uvedené x §3 xxxx. x) xx x) xxxxxx, xxxx přístup x xxxxxx bezpečnostní xxxxxxxxxxx xxxxxxx. Xxxxxxxxx xx i xxxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxxx integrování xxxx xxxxx do xxxxxxx xxxxxxxxx.
X. Struktura xxxxxxxxxxxx xxxxxxxx
(1) Politika systému xxxxxx xxxxxxxxxxx xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 odst. 2 písm. x)]
x) Xxxx, principy x xxxxxxx řízení bezpečnosti xxxxxxxxx.
x) Xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx dokumentace.
d) Xxxxxxxx x postupy xxx xxxxxx xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx pro xxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxx xxxxxxxx x xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Určení bezpečnostních xxxx a xxxxxx xxxx x xxxxxxxxxx,
1. xxxxx x povinnosti xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
2. xxxxx x povinnosti xxxxxxxxxx kybernetické xxxxxxxxxxx,
3. xxxxx x xxxxxxxxxx xxxxxxxx kybernetické bezpečnosti,
4. xxxxx x xxxxxxxxxx xxxxxxx xxxxx,
5. práva x povinnosti výboru xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Požadavky xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx rolí.
(3) Xxxxxxxx xxxxxx xxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxx x xxxxxxxx xxx výběr xxxxxxxxxx.
x) Xxxxxxxx xxx hodnocení xxxxx dodavatelů.
c) Xxxxxxxxxxx xxxxxxx x úrovni xxxxxx x xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření x x xxxxxx vzájemné xxxxxxx xxxxxxxxxxxx.
x) Xxxxxxxx xxx provádění xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx opatření.
e) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx.
(4) Politika xxxxxxxxxxx xxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxxxxxx, xxxxxxxxx x evidence xxxxxxxxxx xxxxx
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx primárních xxxxx xxxxxx xxxxxx xxxxxx garanta,
2. xxxxxxxxx xxxxxxxxxxx primárních xxxxx x xxxxxxxx důvěrnosti, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxxxxxxx, hodnocení a xxxxxxxx podpůrných xxxxx
1. xxxxxx x evidence xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. určení vazeb xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx úrovní xxxxx
1. způsoby xxxxxxxxxxx xxxxxxxxxxxx úrovní aktiv,
2. xxxxxxxx xxx xxxxxxxxxx x evidenci aktiv xxxxx úrovní xxxxx,
3. xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxxx xxxxxxx nebo ničení xxxxxxxxxxx xxxxxx xxx.
(5) Xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Pravidla rozvoje xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx jeho hodnocení
1. xxxxxxx x xxxxx xxxxxxx xxxxxxxxx,
2. způsoby x xxxxx xxxxxxx xxxxxxx aktiv,
3. způsoby x formy xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx x xxxxx xxxxxxx xxxxxxx xxxx zastávajících bezpečnostní xxxx.
x) Xxxxxxxxxxxx xxxxxxx xxxxxx zaměstnanců.
c) Pravidla xxx řešení případů xxxxxxxx xxxxxxxxxxxx politiky xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx pracovního xxxxxx xxxx xxxxx xxxxxxxx xxxxxx.
1. xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx xxxx při xxxxxxxx xxxxxxxxxx xxxxxx,
2. xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxx xxxxxx.
(6) Xxxxxxxx řízení xxxxxxx x xxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. f)]
a) Pravomoci x odpovědnosti xxxxxxx x bezpečným xxxxxxxx.
x) Xxxxxxx bezpečného xxxxxxx.
x) Xxxxxxxxx a xxxxxxxxx xxxxxxxxxx provozu.
d) Řízení xxxxxxxxxxx zranitelností.
e) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx.
(7) Politika řízení xxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (xxxx xx know).
b) Xxxxxxxxx xx řízení xxxxxxxx.
x) Xxxxxxx xxxxxx řízení xxxxxxxx.
x) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx přístupových xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx.
(8) Politika xxxxxxxxxx chování xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxx xxx bezpečné xxxxxxxxx x xxxxxx.
x) Xxxxxxxx použití xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx použití xxxxxxxxxxxx xxxxx a xxxxxxxx na xxxxxxxx.
x) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx xxxxxxx na xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx xx vztahu k xxxxxxxx xxxxxxxxx.
(9) Xxxxxxxx xxxxxxxxxx x obnovy**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxx xx xxxxxxxxxx x obnovu.
b) Pravidla x postupy zálohování.
c) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx.
x) Xxxxxxxx a xxxxxxx obnovy.
e) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxx x obnovy.
(10) Xxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxx**
[§5 xxxx. 1 písm. x)]
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxxx informací.
b) Xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx kryptografické xxxxxxx.
(11) Xxxxxxxx řízení technických xxxxxxxxxxxxx**
[§5 xxxx. 1 xxxx. k)]
a) Xxxxxxxx xxx xxxxxxx instalace xxxxxxxxxxxx vybavení,
b) Pravidla x xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx programového xxxxxxxx,
x) Pravidla x xxxxxxx nasazení xxxxx xxxxxxxxxxxx xxxxxxxx.
(12) Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx*
[§5 xxxx. 1 xxxx. 1)]
x) Xxxxxxxx x xxxxxxx pro xxxxxxxx xxxxxxxxx mobilních xxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro zajištění xxxxxxxxxxx zařízení, xxxxxxx xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxxxxxxxxx.
(13) Xxxxxxxx xxxxxxxxxxx x xxxxxxxx licencí xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx*
[§5 xxxx. 1 písm. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx a postupy xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx.
x) Xxxxxxxx a postupy xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
(14) Politika xxxxxxxxxxxx ukládání x xxxxxxxxx xxxxxxxxx*
[§5 xxxx. x xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxx.
x) Ochrana xxxxxxxxxxxxx xxxxxxxxx x xxxxxxx.
x) Xxxxxxxx xxxxxxxx k xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx.
(15) Politika xxxxxxx xxxxxxxx údajů*
[§5 xxxx. x xxxx. o), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx údajů.
b) Xxxxx xxxxxxxxx x xxxxxxxxxxx organizačních xxxxxxxx xxx xxxxxxx osobních xxxxx.
x) Xxxxx přijatých x xxxxxxxxxxx technických xxxxxxxx pro ochranu xxxxxxxx údajů.
(16) Xxxxxxxx xxxxxxx xxxxxxxxxxx**
[§5 odst. x písm. x)]
x) Xxxxxxxx xxx xxxxxxx xxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx pro ochranu xxxxxxxx.
x) Xxxxxxx narušení xxxxxxx bezpečnosti.
(17) Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx sítě**
[§5 xxxx. 1 písm. x)]
x) Xxxxxxxx x xxxxxxx pro zajištění xxxxxxxxxxx sítě.
b) Xxxxxx xxxx x xxxxxxxxxx xx bezpečný provoz xxxx.
x) Pravidla a xxxxxxx xxx řízení xxxxxxxx x rámci xxxx.
x) Pravidla x xxxxxxx xxx ochranu xxxxxxxxxx xxxxxxxx x xxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxxxxx xxxx x vyhodnocování xxxxxxxxxx xxxxxxx.
(18) Politika xxxxxxx před xxxxxxxxx xxxxx*
[§5 odst. l xxxx. r), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxx x xxxxxx sítí.
b) Xxxxxxxx x xxxxxxx xxx xxxxxxx serverů x xxxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxxxxxx xxxxxx.
(19) Politika xxxxxxxx a xxxxxxxxx xxxxxxxx xxx detekci xxxxxxxxxxxxxx bezpečnostních xxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx xxxxxxxxxxxxx x xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx optimalizaci xxxxxxxxx xxxxxxxx xxx detekci xxxxxxxxxxxxxx bezpečnostních událostí.
(20) Xxxxxxxx využití x xxxxxx xxxxxxxx xxx xxxx x vyhodnocení xxxxxxxxxxxxxx bezpečnostních xxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx x xxxxxxx pro xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
b) Pravidla x xxxxxxx pravidelné xxxxxxxxxxx pravidel xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx pro xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(21) Politika xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxx x xxxxxxx xx xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx
1. xxx xxxxxxx xx xxxxxxxxxxxxx sítích,
2. xxx xxxxxxx xx mobilní xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxx dat,
c) Xxxxxx xxxxxx xxxxx.
XX. Xxxxxxxxx xxxxx xxxxxxxxxxx
(1) Xxxxxx z xxxxxx xxxxxxxxxxxx xxxxxxxxxxx**
[§28 odst. 1 xxxx. x)]
x) Xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti.
c) Xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx xxxx xxxxxxxx x osob, xxxxx xx auditu xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx.
x) Datum x xxxxx, xxx xxxx xxxxxxxxx xxxxxxxx xxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx z xxxxxx xxxxxxxxxxxx bezpečnosti.
g) Xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(2) Xxxxxx x xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx**
[§28 odst. 1 xxxx. x)]
x) Xxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací,
b) Xxxxxxxxxxxx xxxx a xxxxxxxxx, xxxxx xxxxx xxx xxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x xxxxxxxx xxxxxxxx,
2. xxxxxxxx monitorování x xxxxxx,
3. xxxxxxxx auditu,
4. xxxxxxxx xxxx xxxxxxxxxxx,
x) Xxxxxxxx xxxxxxxxx xxxxx x xxxx xxxxx xxxxxxxx xxxxx.
x) Xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx opatření x xxxx xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
(3) Xxxxxxxx xxx identifikaci x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 písm. x)]
x) Xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxxxxxx aktiv
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx důvěrnosti xxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxxxxxx aktiv,
3. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx
1. určení xxxxxxxx xxx xxxxxxxxx xxxxxx dopadu,
2. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,
3. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxxxxx,
4. určení xxxxxxxx pro xxxxxxxxx xxxxxx rizik,
a) Xxxxxx x xxxxxxxx pro xxxxxxxx xxxxx.
x) Způsoby xxxxxxxxxxx přijatelných xxxxx.
(4) Xxxxxx x xxxxxxxxx xxxxx a xxxxx**
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. x)]
x) Xxxxxxx xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx x popis xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx aktiv,
3. xxxxxxxxx xxxxxxxxxx aktiv x xxxxxxxx důvěrnosti, xxxxxxxxx a xxxxxxxxxxx.
x) Xxxxxxx podpůrných xxxxx (xxxxxxx xxx orgány x osoby xxxxxxx x §3 písm. x) xxxxxx)
1. xxxxxxxxxxxx x xxxxx podpůrných xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. určení xxxxx xxxx xxxxxxxxxx x podpůrnými xxxxxx,
x) Xxxxxxxxxxxxxx a hodnocení xxxxx
1. xxxxxxxxx xxxxxxx xxxxxx na aktiva,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx existujících xxxxxxxxxxxxx, xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
4. xxxxxxxxx úrovně xxxxxx, xxxxxxxxx xxxx úrovně x xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
5. xxxxxx x schválení xxxxxxxxxxxx xxxxx.
x) Zvládání xxxxx
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. návrh xxxxxxxx x jejich xxxxxxxxx.
(5) Xxxxxxxxxx x xxxxxxxxxxxxxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx vybraných xxxxxxxxxxxxxx xxxxxxxx včetně xxxxxxxxxx xxxxxx výběru a xxxxxx vazby xx xxxxxxxxxxxxxx xxxxxx.
x) Xxxxxxx xxxxxxxxxx bezpečnostních opatření.
(6) Xxxx xxxxxxxx xxxxx**
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx a xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
b) Xxxxxxxx xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
c) Xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
d) Termíny xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
(7) Xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx a xxxxxxx xxxxxxx uživatelů.
b) Xxxxx x termíny xxxxxxx xxxxxxx aktiv (xxxxxxx xxx orgány x xxxxx xxxxxxx x §3 xxxx. e) xxxxxx).
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxxxxxxxxx (xxxxxxx pro xxxxxx x xxxxx xxxxxxx x §3 písm. x) xxxxxx).
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxx osob xxxxxxxxxxxxx xxxxxxxxxxxx role.
e) Xxxxx x xxxxxxx poučení xxxxxx zaměstnanců.
f) Formy x xxxxxxx hodnocení xxxxx.
(8) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx**
[§28 odst. 1 xxxx. x), §28 odst. 2 xxxx. g)]
a) Definování xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx pro xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx testování xxxxxxx xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(9) Xxxxxxxxx xxxxxx xxxxxxxxxx činností**
[§28 xxxx. 1 xxxx. x), §28 odst. 2 písm. x)]
x) Xxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxx xxxxxx kontinuity xxxxxxxx
1. xxxxxxxxx úroveň xxxxxxxxxxxxx xxxxxx,
2. xxxx xxxxxxxx xxxxx,
3. xxx obnovení xxxxx.
x) Strategie xxxxxx xxxxxxxxxx činností xxx xxxxxxxx xxxx kontinuity.
d) Xxxxxxx hodnocení xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxx rizik.
e) Xxxxxx a obsah xxxxxxxxxx xxxxx xxxxxxxxxx.
x) Xxxxxxx xxx xxxxxxxxx xxxxxxxx vydaných Národním xxxxxxxxxxxxx xxxxxx.
(10) Přehled xxxxxx závazných xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx předpisů.
b) Xxxxxxx xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx závazků.
Poznámka:
* Xxxxxxxxx xxxxxxxxx dokumentu je xx úrovni xxxxxxx xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Hodnocení x xxxxxx aktiv.
** Xxxxxxxxx xxxxxxxxx xxxxxxxxx xx xx xxxxxx xxxxxx xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx x úroveň xxxxx.
Příloha x. 5 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního incidentu
Vyplnitelný formulář ve formátu PDF
Xxxxxxx x. 6 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx xxxxxxxx x provedení xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx x. 7 x vyhlášce x. 316/2014 Xx.
Xxxxxxxx pro xxxxxxx kontaktních údajů
Vyplnitelný formulář ve formátu PDF
Xxxxxxxxx
Xxxxxx xxxxxxx č. 316/2014 Xx. xxxxx xxxxxxxxx dnem 1.1.2015.
Xx xxx xxxxxxxx právní xxxxxxx xxxxx xxxxx xx xxxxxxxxx.
Xxxxxx předpis x. 316/2014 Xx. xxx xxxxxx právním xxxxxxxxx č. 82/2018 Sb. x xxxxxxxxx xx 28.5.2018.
Xxxxx xxxxxxxxxxxx právních norem xxxxxx xxxxxxxx xxxxxxxx x odkazech xxxx xxxxxxxxxxxxx, pokud se xxxx xxxxxx xxxxxxxxx xxxxx xxxxx uvedeného xxxxxxxx xxxxxxxx.
1) XXX/XXX 27001:2013, xxxxxxxx XXX XXX/XXX 27001:2014