Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
XXXXXXXX
xx xxx 15. xxxxxxxx 2014
x xxxxxxxxxxxxxx xxxxxxxxxx, kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx, reaktivních xxxxxxxxxx x o xxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxx kybernetické xxxxxxxxxxx (xxxxxxxx o xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx xxxxxxxxxxxx xxxx xxxxxxx xxxxx §28 xxxx. 2 xxxxxx x. 181/2014 Xx., x kybernetické xxxxxxxxxxx x x xxxxx xxxxxxxxxxxxx zákonů (xxxxx x xxxxxxxxxxxx xxxxxxxxxxx), (xxxx xxx "xxxxx") x provedení §6 xxxx. x) až x), §8 xxxx. 4, §13 xxxx. 4 a §16 xxxx. 6 xxxxxx.
XXXX XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxxx xxxxxxxxx xx xxxxxxx obsah x xxxxxxxxx bezpečnostní xxxxxxxxxxx xxx informační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx systém, xxxxx xxxxxxxxxxxxxx opatření, xxxxxx jejich xxxxxxxx, xxxx a xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxxxxxxx a způsob xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx, xxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx x vzor xxxxxxxx xxxxxxxxxxx xxxxx x xxxx xxxxx.
§2
Xxxxxxxx xxxxx
X této xxxxxxxx xx xxxxxx
x) xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx část systému xxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxxxx xx xxxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx stanoví xxxxxx ustavení, xxxxxxxx, xxxxxx, monitorování, přezkoumání, xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxx, kterou zpracovává xxxx poskytuje xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxx x dodavatelé podílející xx xx xxxxxxx, xxxxxxx, xxxxxx xxxx xxxxxxxxxxx informačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxx xxxxxxx technické xxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx vybavení xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx systému x xxxxxxx, xx xxxxxxx xxxx xxxx systémy xxxxxxxx,
x) xxxxxxx xxxxxxx, xx určitá xxxxxx xxxxxxx xxxxxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxx proces, při xxxx je xxxxxxxx xxxxxxxxxx rizik a xxxxxx přijatelná xxxxxx,
x) xxxxxxx xxxxx činnost xxxxxxxxxx xxxxxxxxx rizik, xxxxx x xxxxxxxx xxxxxxxx ke zvládání xxxxx, xxxxxxx informací x riziku a xxxxxxxxx x přezkoumání xxxxx,
x) xxxxxxx potencionální xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, jejímž xxxxxxxxx může být xxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxx xxxxx xxxxx xxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxx xxxxxxxx xxxxxx xxxx xxxx hrozbami,
k) xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xx xxxxxxxxx bezpečnostních xxxxxxxx, xxxxx xxxxxx xxxxxxxx kritériím xxx xxxxxxxxxxxx xxxxx,
x) bezpečnostní xxxxxxxxx xxxxxx zásad x pravidel, xxxxx xxxxxx xxxxxx zajištění xxxxxxx xxxxx orgánem x xxxxxx uvedenou x §3 xxxx. x) xx x) xxxxxx,
x) xxxxxxxx xxxxxx xxxxxxx osoba xxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxx x §3 xxxx. x) xx x) zákona x xxxxxxxxx rozvoje, xxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx fyzická xxxx xxxxxxxxx osoba xxxxx xxxxx xxxxxxx moci, xxxxx xxxxxxx primární xxxxxx,
x) administrátorem xxxxxxx xxxxx xxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxx, xxxxxx, xxxxxxx, xxxxxx x xxxxxxxxxx technického xxxxxx.
XXXX DRUHÁ
BEZPEČNOSTNÍ OPATŘENÍ
HLAVA X
XXXXXXXXXXX OPATŘENÍ
§3
Systém řízení xxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx x rámci xxxxxxx xxxxxx bezpečnosti xxxxxxxxx
x) xxxxxxx x xxxxxxx xx aktiva x xxxxxxxxxxx bezpečnost xxxxxx x hranice xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xx xxxxxx xxxx, kterých xxxxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxx se xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx,
x) xxxx xxxxxx xxxxx §4 odst. 1,
x) vytvoří x xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx systému xxxxxx xxxxxxxxxxx informací, xxxxx xxxxxxxx xxxxxx xxxxxx, xxxx, bezpečnostní xxxxxxx, xxxxx a xxxxxxxxxx ve xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxx a xx xxxxxxx xxxxxxxxxxxxxx potřeb x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx v dalších xxxxxxxxx xxxxx §5 x xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx a xxxxxxxx xxxxxxxxxxxx politiky xxxxx §5,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §15, x xx xxxxxxx xxxxxx xxxxx,
x) zajistí xxxxxxxxxxx účinnosti xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx hodnocení xxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací xxxxxx xxxxxx xxxxxxxxx xxxxx, xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx a xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx na systém xxxxxx xxxxxxxxxxx informací, x to nejméně xxxxxx xxxxx,
x) xxxxxxxxxxx xxxxxx xxxxxx bezpečnosti xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, výsledků xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací x x souvislosti s xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx a
i) xxxx xxxxxx x xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, zaznamenává činnosti xxxxxxx xx systémem xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx rizik.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. e) xxxxxx x xxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxx rizika xxxxx §4 odst. 2,
x) xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxx, xxxx, bezpečnostní xxxxxxx, xxxxx x xxxxxxxxxx xx xxxxxx k xxxxxx bezpečnosti xxxxxxxxx x xx xxxxxxx xxxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxx rizik xxxxxxx xxxxxxxxxxxx politiku x xxxxxxx xxxxxxxxx xxxxx §5, x xxxxxx příslušná xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxxx aktiv a xxxxx, xxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxx x plánu xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, x xx xxxxxxx xxxxxx xx xxx xxxx xxxx x xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx.
§4
Xxxxxx xxxxx
(1) Orgán x osoba uvedená x §3 xxxx. x) x x) xxxxxx v xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx identifikaci x xxxxxxxxx aktiv x pro xxxxxxxxxxxx x xxxxxxxxx rizik xxxxxx stanovení kritérií xxx xxxxxxxxxxxx rizik,
b) xxxxxxxxxxxx a hodnotí xxxxxxxxxx xxxxx, xxxxx xxxxx xx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx §8 x xxxxxxx přílohy č. 1 x xxxx xxxxxxxx x výstupy xxxxxxxxx xx xxxxxx o xxxxxxxxx xxxxx a xxxxx,
x) xxxxxxxxxxxx rizika, xxx xxxxxxx zohlední xxxxxx a xxxxxxxxxxxxx, xxxxxxx možné xxxxxx xx aktiva, hodnotí xxxx xxxxxx minimálně x xxxxxxx xxxxx přílohy č. 2 x této xxxxxxxx, xxxx a xxxxxxx xxxxxxxxxx xxxxxx x zpracuje xxxxxx x hodnocení xxxxx x rizik,
d) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x výsledků xxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx přehled xxxxxxxxx x zavedených bezpečnostních xxxxxxxx,
x) zpracuje a xxxxxx xxxx zvládání xxxxx, který xxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxxxx opatření pro xxxxxxxx xxxxx, určení xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx rizik, xxxxxxxx xxxxxxxx, technické, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxx xxxxxx xxxxxxxx x xxxxx xxxxx xxxx riziky a xxxxxxxxxxx xxxxxxxxxxxxxx opatřeními x
x) zohlední bez xxxxxxxxxx xxxxxxx xxxxxxxxx x ochranná opatření xxxxxx Národním bezpečnostním xxxxxx (xxxx xxx "Xxxx") v xxxxxxxxx xxxxx x v xxxxxxx, xx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxx zranitelnosti xxxxxxx x realizací xxxxxxxxxxx xxxx ochranného opatření xxxxxxxx xxxxxxxxx kritéria xxx xxxxxxxxxxxx rizik, xxxxxx xxxx xxxxxxxx xxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx x xxxxx xxxxxx rizik
a) xxxxxxx xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxxx stanovení xxxxxxxx xxx přijatelnost xxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxx, xxxxx patří xx xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxx §8 xxxxxxxxx x xxxxxxx přílohy č. 1 x xxxx xxxxxxxx x xxxxxxx xxxxxxxxx xx xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxxxxxx xxxxxx, při xxxxxxx zohlední hrozby x zranitelnosti, xxxxxxx xxxxx xxxxxx na xxxxxxxx aktiva, xxxxxxx xxxx rizika minimálně x xxxxxxx xxxxx přílohy č. 2 k xxxx xxxxxxxx a xxxxxxxx xxxxxx x xxxxxxxxx xxxxx x rizik,
d) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx potřeb x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx o xxxxxxxxxxxxxxxx, xxxxx obsahuje přehled xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxxxx opatření,
e) zpracuje x xxxxxx plán xxxxxxxx xxxxx, xxxxx xxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxxxx finanční, xxxxxxxxx, xxxxxx a informační xxxxxx, xxxxxxx xxxxxx xxxxxxxx x xxxxx xxxxx xxxx xxxxxxxxxxxxxxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx a
f) xxxxxxxx xxx zbytečného xxxxxxx reaktivní x xxxxxxxx xxxxxxxx xxxxxx Xxxxxx x xxxxxxxxx xxxxx a x xxxxxxx, xx xxxxxxxxx xxxxx aktualizované x xxxx zranitelnosti xxxxxxx x xxxxxxxxx reaktivního xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx, xxxxxx plán xxxxxxxx xxxxx.
(3) Xxxxxx xxxxx xxxx být xxxxxxxxx x xxxxxx způsoby, xxx jak xx xxxxxxxxx x xxxxxxxxxx 1 x 2, xxxxx orgán a xxxxx uvedená x §3 xxxx. c) xx e) xxxxxx xxxxxxxxx, xx používá xxxxxxxx xxxxxxxxxxx stejnou xxxx xxxxx úroveň xxxxxx xxxxx.
(4) Orgán x osoba xxxxxxx x §3 písm. x) xx x) xxxxxx xxx xxxxxxxxx xxxxx zvažuje zejména xxxx hrozby
a) porušení xxxxxxxxxxxx xxxxxxxx, provedení xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
x) zneužití identity xxxxxxx xxxxx,
x) užívání xxxxxxxxxxxx xxxxxxxx v xxxxxxx s licenčními xxxxxxxxxx,
x) xxxxxxxxxxxx útok x xxxxxxxxxxx xxxx,
x) xxxxxxxx xxx (xxxxxxxxx xxxx, xxxxxxx, xxxxxxx xxxx),
x) xxxxxxxxxx xxx xxxxxxxxxxx xxxxxx informačního xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) narušení fyzické xxxxxxxxxxx,
x) přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx komunikací xxxx dodávek xxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxx xxxxxxxxxxx modifikace xxxxx,
x) xxxxxx působící xxxxxx x
x) odcizení xxxx xxxxxxxxx aktiva.
(5) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxx xxxxxxxxx xxxxx zvažuje xxxxxxx xxxx xxxxxxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) nedostatečné xxxxxxx xxx identifikování x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxxxx bezpečnostních incidentů,
f) xxxxxxxxxxxx monitorování xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx nevhodné xxxx xxxxxxx způsoby chování x
x) xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx pravidel, xxxxxxxx xxxx nejednoznačné xxxxxxxx xxxx x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx rolí.
(6) Orgán x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx při hodnocení xxxxx dále xxxxxxx xxxx xxxxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) pochybení xx xxxxxx xxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx elektronických xxxxxxxxxx, xxxxxxx xxxxxxxxxx energie xxxx jiných důležitých xxxxxx,
x) xxxxxxxxxx zaměstnanců x xxxxxxxxx odbornou xxxxxx,
x) cílený kybernetický xxxx xxxxxx sociálního xxxxxxxxxxx, xxxxxxx špionážních xxxxxxx x
x) xxxxxxxx xxxxxxxxxxxxx technických xxxxxx xxx.
(7) Xxxxx x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx xxx hodnocení xxxxx xxxx xxxxxxx xxxx xxxxxxxxxxxxx
x) nedostatečná xxxxxxx xxxxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,
x) nedostatečná míra xxxxxxxxx xxxxxxxx x
x) xxxxxxxxxxx včasného odhalení xxxxxxxxx xx xxxxxx xxxxxxxxxxx.
§5
Xxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxx bezpečnostní xxxxxxxx x oblastech
a) xxxxxx řízení bezpečnosti xxxxxxxxx,
x) organizační bezpečnost,
c) xxxxxx vztahů s xxxxxxxxxx,
x) klasifikace aktiv,
e) xxxxxxxxxx xxxxxxxx zdrojů,
f) xxxxxx xxxxxxx a xxxxxxxxxx,
x) xxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x obnova,
j) xxxxxxxx předávání a xxxxxx xxxxxxxxx,
x) řízení xxxxxxxxxxx zranitelností,
l) bezpečné xxxxxxxxx mobilních xxxxxxxx,
x) xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx,
x) dlouhodobé xxxxxxxx x xxxxxxxxx xxxxxxxxx,
x) xxxxxxx osobních xxxxx,
x) xxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx sítě,
r) xxxxxxx xxxx xxxxxxxxx xxxxx,
x) xxxxxxxx x xxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx x xxxxxx xxxxxxxx pro xxxx x vyhodnocení xxxxxxxxxxxxxx bezpečnostních událostí x
x) používání xxxxxxxxxxxxxx xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxx,
x) xxxxxx xxxxxxxxxx,
x) klasifikace xxxxx,
x) bezpečnost lidských xxxxxx,
x) řízení xxxxxxx x komunikací,
g) řízení xxxxxxxx,
x) bezpečné xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x xxxxxx,
x) xxxxxxxxxxx a xxxxxxxx xxxxxxx programového xxxxxxxx a xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxx xxxxxxxxx xxxxx a
n) nasazení x xxxxxxxxx nástroje xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx x osoba uvedená x §3 xxxx. x) xx x) xxxxxx xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx x aktualizuje xx.
§6
Organizační xxxxxxxxxx
(1) Xxxxx x osoba uvedená x §3 xxxx. x) xx x) xxxxxx xxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, x xxxxx xxxxx xxxx výbor pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxx x xxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) a x) xxxxxx xxxx xxxxxxxxxxxx role
a) xxxxxxx xxxxxxxxxxxx bezpečnosti,
b) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) auditor xxxxxxxxxxxx xxxxxxxxxxx a
d) xxxxxx aktiva xxxxx §2 písm. x).
(3) Xxxxx x osoba xxxxxxx x §3 xxxx. x) určí xxxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxx 2.
(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx, odpovědná xx systém xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xx pro xxxx xxxxxxx vyškolena x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx s řízením xxxxxxxxxxx xxxxxxxxx po xxxx xxxxxxx xxx xxx.
(5) Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx je xxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx je pro xxxx xxxxxxx vyškolena x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx s xxxxxxxxxxx bezpečnostní architektury xx xxxx xxxxxxx xxx let.
(6) Auditor xxxxxxxxxxxx xxxxxxxxxxx je xxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx, která xx xxx tuto xxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx s prováděním xxxxxx xxxxxxxxxxxx bezpečnosti xx xxxx xxxxxxx xxx xxx. Auditor xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxxxxx x výkon jeho xxxx xx xxxxxxx xx xxxxxx xxxx xxxxxxxxx x odstavci 2 xxxx. x), x) xxxx x).
(7) Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxx xxxxxxx tvořená xxxxxxx, které jsou xxxxxxxx xxxxxxxx řízením x rozvojem informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx, xxxxx se xxxxxxxx xxxxxxxx na xxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx.
(8) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) xx x) xxxxxx xxxxxxx xxxxxxx školení xxxx, které xxxxxxxxx xxxxxxxxxxxx role x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx povědomí xxxxx §9 odst. 1 xxxx. x).
§7
Xxxxxxxxx bezpečnostních požadavků xxx xxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxx xxxxxxxx xxx xxxxxxxxxx, xxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, a xxxxxxxx xx u xxxxxxxxxx xxxx xxxxxx xxxx, xxxxx xx xxxxxxxx xx xxxxxxx, xxxxxxx xxxx zajištění xxxxxxxxxxx informačního systému xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury nebo xxxxxxxxxx xxxxxxxxxxxx systému. Xxxxxx xxxxxxxx dodavatelů xx xxxxxxx, xxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx orgán x xxxxx xxxxxxx x §3 písm. x) xx x) zákona xxxxxxxx, jejíž xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx x xxxxxxxxxx xxxxxxxxx v xxxxxxxx 1 xxxx
x) xxxx xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx rizik xxxxx přílohy č. 2 x této xxxxxxxx, která xxxx xxxxxxx s podstatnými xxxxxxxxx,
x) xxxxxxx xxxxxxx x xxxxxx xxxxxx, xxxxx xxxxxxx způsoby x úrovně xxxxxxxxx xxxxxxxxxxxxxx opatření a xxxx vztah vzájemné xxxxxxx xxxxxxxxxxxx xx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, x
x) xxxxxxx xxxxxxxxxx hodnocení xxxxx x pravidelnou xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxxx odstraňuje xxxx xx dohodě x xxxxxxxxxxx zajistí xxxxxx xxxxxxxxxx.
§8
Řízení aktiv
(1) Orgán x xxxxx uvedená x §3 písm. x) až e) xxxxxx x xxxxx xxxxxx xxxxx
x) identifikuje x eviduje xxxxxxxx xxxxxx,
x) xxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xx primární xxxxxx, x
x) hodnotí xxxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x xxxxxx je xx jednotlivých úrovní xxxxxxxxx x rozsahu xxxxx přílohy č. 1 x xxxx xxxxxxxx.
(2) Při xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx xx xxxxx xxxxxxxxx xxxxxxxx
x) xxxxxx x důležitost osobních xxxxx nebo xxxxxxxxxx xxxxxxxxx,
x) rozsah xxxxxxxxx xxxxxxxx povinností xxxx xxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx x kontrolních xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, obchodních xxxx xxxxxxxxxxxx zájmů,
e) xxxxx xxxxxxxx xxxxxx,
x) xxxxxx narušení xxxxxxx xxxxxxxx orgánu x xxxxx xxxxxxx v §3 xxxx. c) xx e) xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxx důvěrnosti, xxxxxxxxx x xxxxxxxxxxx a
h) xxxxxx na xxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx xxxxx pověsti.
(3) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) zákona xxxx
x) xxxxxxxxxxxx a xxxxxxx xxxxxxxx xxxxxx,
x) xxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xx xxxxxxxx xxxxxx, x
x) xxxx xxxxx mezi xxxxxxxxxx x xxxxxxxxxx xxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.
(4) Xxxxx x xxxxx xxxxxxx v §3 písm. x) xx x) xxxxxx xxxx
x) stanoví pravidla xxxxxxx, nutná xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx tím, xx
1. xxxx způsoby xxxxxxxxxxx xxxxxxxxxxxx xxxxxx aktiv,
2. xxxxxxx xxxxxxxx xxx xxxxxxxxxx a xxxxxxxx x aktivy podle xxxxxx xxxxx, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxxx xxxxx x
3. stanoví xxxxxxxxx xxxxxxx používání aktiv,
b) xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx x
x) xxxx xxxxxxx xxx spolehlivé xxxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx xxx x xxxxxxx xx xxxxxx xxxxx.
§9
Bezpečnost xxxxxxxx xxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx x xxxxx xxxxxx xxxxxxxxxxx xxxxxxxx zdrojů
a) stanoví xxxx xxxxxxx bezpečnostního xxxxxxxx, který xxxxxxxx xxxxx, xxxxx a xxxxxx potřebných xxxxxxx x xxxx osoby xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx x xxxxx xxxxxxx,
x) x souladu x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx poučení xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx o xxxxxx xxxxxxxxxxxx a x xxxxxxxxxxxx politice formou xxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) xxxxxxx xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxxxx oprávnění xxx xxxxxxxx smluvního xxxxxx x xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxxxx bezpečnostní role.
(2) Xxxxx a osoba xxxxxxx x §3 xxxx. x) až x) zákona vede x xxxxxxx xxxxx xxxxxxxx 1 přehledy, xxxxx xxxxxxxx předmět xxxxxxx x seznam xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
(3) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) zákona xxxx
x) xxxxxxx pravidla xxx určení xxxx, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx role, role xxxxxxxxxxxxxx xxxx xxxxxxxxx,
x) xxxxxxx účinnost plánu xxxxxxx bezpečnostního povědomí, xxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx spojených x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxx xxxxxxxx x xxxxxxx pro xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role x
x) zajistí změnu xxxxxxxxxxxx xxxxxxxxx xxx xxxxx postavení xxxxxxxxx, xxxxxxxxxxxxxx xxxx osob xxxxxxxxxxxxx bezpečnostní xxxx.
§10
Xxxxxx xxxxxxx a xxxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. c) xx x) xxxxxx x xxxxx xxxxxx xxxxxxx x komunikací xxxxxx xxxxxxxxxxx nástrojů xxxxxxxxx x §21 xx 23 xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx události, xxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxx a xx xxxxxxxx nedostatky xxxxxxx x xxxxxxx x §13.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx e) xxxxxx x xxxxx xxxxxx xxxxxxx x komunikací xxxx zajišťuje bezpečný xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx informačního xxxxxxx. Xx tímto xxxxxx xxxxxxx provozní xxxxxxxx x xxxxxxx.
(3) Xxxxxxxx xxxxxxxx x xxxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) zákona xxxxxxxx
x) xxxxx x xxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx x xxxxxxxxx,
x) xxxxxxx pro xxxxxxxx a xxxxxxxx xxxxx systému, pro xxxxxxx xxxx obnovení xxxxx systému xx xxxxxxx a xxx xxxxxxxx xxxxxxxxx xxxxx xxxx mimořádných jevů,
c) xxxxxxx pro xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí x xxx xxxxxxx xxxxxxxx k xxxxxxxx x xxxxxx xxxxxxxxxx,
x) xxxxxxx xx xxxxxxxxx xxxxx, xxxxx xxxx xxxxxx xxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxx technických xxxxxx,
x) postupy řízení x schvalování provozních xxxx a
f) xxxxxxx xxx sledování, plánování x řízení xxxxxxxx xxxxxxxx a xxxxxxxxxxx xxxxxx.
(4) Xxxxxx provozu xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxxxxx x provádění xxxxxxxxxxxx xxxxxxxxxx x prověřování xxxxxxxxxxxxx xxxxxxxxxxx xxxxx.
(5) Xxxxxx xxxxxxx xxxxxx x osoby xxxxxxx x §3 písm. x) x x) xxxxxx xxxxxxx x
x) xxxxxxxxx oddělení vývojového, xxxxxxxxxxx x produkčního xxxxxxxxx,
x) řešení xxxxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx xxx, že xxxxx x osoba uvedená x §3 xxxx. x) x d) xxxxxx
1. posoudí xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x na xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxx xxxxxxxxx xxxxxx x xxx zbytečného xxxxxxx xx oznámí Xxxxx x
2. stanoví xxxxxx rychlého provedení xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxx, x určí xxxxxx xxxx jeho xxxxxxxxx.
(6) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx x xxxxx řízení xxxxxxxxxx
x) xxxxxxxxx bezpečnost x xxxxxxxxx xxxxxxxxxxxxx xxxx x bezpečnost xxxxxxxxxxxxx xxxxxx podle §17,
x) xxxx xxxxxxxx x postupy xxx xxxxxxx xxxxxxxxx, které xxxx přenášeny xxxxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxx x předávání informací xx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx xx xxxxxxxxxx zajištění xxxxxxxxxxx informací x xxxx pravidla dokumentuje x
x) x xxxxxxx xx xxxxxxxxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx informací na xxxxxxx xxxxxxxxx xxxxx, xxxxxxx xxxxxxxx je xxxxxxxxxx o bezpečnosti xxxxxxxxx.
§11
Xxxxxx přístupu x xxxxxxxx chování xxxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xx xxxxxxx provozních x xxxxxxxxxxxxxx potřeb xxxx xxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významnému informačnímu xxxxxxx x přidělí xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx.
(2) Orgán x xxxxx uvedená v §3 písm. c) xx x) xxxxxx xxxxxx opatření, xxxxx xxxxxx x xxxxxxxxx xxxxxxx údajů, xxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx informačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačního xxxxxxx xxxxx §18 x 19, a která xxxxx xx zneužití xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 písm. c) x d) xxxxxx xxxx x rámci xxxxxx xxxxxxxx
x) xxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx x xxxxxxx přístupová xxxxxxxxx x xxxxxxx x politikou xxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx včetně rozdělení xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxx,
x) xxxxxxx xxxxxxx xxx ověřování xxxxxxxx xxxxxxxxx xxxxx §18 x xxxxxxx xxx xxxxxx přístupových oprávnění xxxxx §19 x
x) xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx pro xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxx i xxxxxxxxxxxx xxxxxxxx spojená x xxxxxxxx technických zařízení, xxxxxxx xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx xxxxxxxxxxx.
§12
Xxxxxxxx, xxxxx a xxxxxx
(1) Xxxxx a xxxxx uvedená x §3 písm. c) xx x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx x xxxxxx akvizicí, vývojem x xxxxxxx x xxxxxx xx xx xxxxxxxx akvizice, xxxxxx x xxxxxx xxxxxxx.
(2) Xxxxx a osoba xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxx
x) xxxxxxxxxxxx, xxxxxxx x xxxx rizika xxxxxxxxxxx x akvizicí, vývojem x údržbou informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx; pro postupy xxxxxxxxx a xxxxxx xxxxx se metodiky xxxxx §4 odst. 1 písm. a) xxxxxxx xxxxxxx,
x) zajistí xxxxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx xxxxxxxxxxx testovacích xxx x
x) provádí xxxxxxxxxxxx xxxxxxxxx xxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx nebo komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxx xxxxxxxxx xx provozu.
§13
Xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx při xxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxx
x) xxxxxx nezbytná xxxxxxxx, která zajistí xxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významného informačního xxxxxxx xx strany xxxxxxxxx, xxxxxxxxxxxxxx x xxxx zastávajících bezpečnostní xxxx x o xxxxxxxxxx xxxx xxxxxxx,
x) xxxxxxxx xxxxxxxxx pro xxxxxxxxxxx xxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí a xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí xxxxxxxxxxxx technickými nástroji xxxxx §21 až 23, provádí jejich xxxxxxxxxxx a identifikuje xxxxxxxxxxxx bezpečnostní xxxxxxxxx,
x) xxxxxxx xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxx xxx odvrácení x xxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního incidentu, xxxxxxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx xxxxx §32 x xxxxxxx xxxx xxxxxxxxxxx podkladů xxxxxxxxxx xxx analýzu xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx a xxxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxx účinnost xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xx xxxxxxx xxxxxxxxxxx stanoví xxxxx xxxxxxxxxxxx opatření x xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
§14
Xxxxxx xxxxxxxxxx činností
(1) Xxxxx a osoba xxxxxxx v §3 xxxx. x) xx x) zákona x xxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxxx
x) xxxxx x povinnosti garantů xxxxx, administrátorů a xxxx zastávajících xxxxxxxxxxxx xxxx,
x) xxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. minimální úrovně xxxxxxxxxxxxx xxxxxx, xxxxx xx xxxxxxxxxx pro xxxxxxx, xxxxxx a xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému,
2. xxxx obnovení xxxxx, xxxxx xxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo významného xxxxxxxxxxxx xxxxxxx, a
3. xxxx obnovení dat xxxx termínu, xx xxxxxxx xxxxx obnovena xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx, x
x) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx, xxxxx obsahuje xxxxxxxx xxxx podle xxxxxxx x).
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx dále
a) vyhodnotí x dokumentuje xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x posoudí xxxxx rizika xxxxxxxxxxx x xxxxxxxxx kontinuity xxxxxxxx,
x) stanoví, aktualizuje x xxxxxxxxxx testuje xxxxx xxxxxxxxxx činností xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury,
c) xxxxxxxxx xxxxxxxx pro zvýšení xxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx kybernetickému xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx xxx zajišťování xxxxxx xxxxxxxxxxx xxxxx §26 x
x) xxxxxxx x xxxxxxxxxxx postupy xxx provedení xxxxxxxx xxxxxxxx Xxxxxx xxxxx §13 x 14 xxxxxx, xx kterých xxxxxxxx
1. xxxxxxxx xxxxxxxxx xxxxx provedení opatření,
2. xxxx xxxxxxxxx bezpečnostních xxxxxxxx a
3. xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxx xx provoz a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury.
§15
Xxxxxxxx x xxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx x xxxxx xxxxxxxx x auditu kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačních xxxxxxx (xxxx jen "xxxxx xxxxxxxxxxxx xxxxxxxxxxx")
x) posuzuje xxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx, jinými xxxxxxxx x smluvními xxxxxxx xxxxxxxxxxxx xx x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému x určí opatření xxx xxxx prosazování x
x) xxxxxxx x xxxxxxxxxxx pravidelné xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx politiky x výsledky těchto xxxxxxx xxxxxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx xxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx s xxxxxxxx xxxxxxxxxxx podle §6 xxxx. 6, xxxxx xxxxxxx xxxxxxxxx a xxxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x d) xxxxxx xxxx xxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx kontrolu xxxxxxxxxxxxx xxxxxxxxxxx prostředků xxxxxx xxxxxxxxxxxxxxxx nástrojů x xxxxxx xxxxxxx xxxxxxxxxxx x xxxxxxx xx zjištěné xxxxxxxxxxxxx.
HLAVA II
TECHNICKÁ XXXXXXXX
§16
Xxxxxxx xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx e) xxxxxx x rámci xxxxxxx xxxxxxxxxxx
x) xxxxxx nezbytná xxxxxxxx x xxxxxxxx xxxxxxxxxxxxx vstupu xx xxxxxxxxxx xxxxxxx, kde xxxx zpracovávány informace x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxx nezbytná opatření x zamezení poškození x xxxxxxx do xxxxxxxxxx xxxxxxx, kde xxxx xxxxxxxx xxxxxxxxx x umístěna xxxxxxxxx xxxxxx xxxxxxxxxxxx systému xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému, x
x) xxxxxxxxx xxxxxxxxx, xxxxxxx nebo xxxxxxxx xxxxx nebo xxxxxxxxx xxxxxxxxxxx služeb informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x d) xxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxx xxxxxxxxx xxxxxxx xx xxxxxx objektů a
b) xxx zajištění xxxxxxx x xxxxx xxxxxxx xxxxxxxxxx xxxxxxx bezpečnosti xxxxxxxxxx xxxxxxx, xx xxxxxxx jsou umístěna xxxxxxxxx aktiva xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
(3) Xxxxxxxxxx fyzické xxxxxxxxxxx xxxx zejména
a) xxxxxxxxxx zábranné prostředky,
b) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx omezující xxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx,
x) systémy xxx xxxxxxxx xxxxxx,
x) xxxxxxxx xxxxxxx,
x) xxxxxxxx xxx xxxxxxxxx xxxxxxx xxxx selháním xxxxxxx xxxxxxxxxxxx napájení x
x) xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxx.
§17
Nástroj xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxx xxxxxxx integrity xxxxxxxx xxxxxx xxxxxxxxxxx xxxx, xxxxx xxxx xxx xxxxxxx xxxxxx xxxx xxxxx, x xxxxxxx xxxxxxxxxxx sítě, která xx pod xxxxxxx xxxxxx nebo xxxxx, xxxxxx
x) xxxxxx bezpečného xxxxxxxx xxxx xxxxxx x vnitřní xxxx,
x) xxxxxxxxxx xxxxxxx použitím xxxxxxxxxxxxxxxxxx zón xxxx xxxxxxxxxxx xxxx xxxx xxxxxxxxxxx ke xxxxxxx xxxxxxxxxxx aplikací xxxxxxxxxx x xxxxxx sítě x x zamezení xxxxx xxxxxxxxxx vnitřní xxxx x xxxxxx xxxx,
x) kryptografické xxxxxxxxxx (§25) pro xxxxxxxx xxxxxxx, xxxxxxxxx xxxxxx xxxx pro xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x
x) opatření xxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxx, xxxxx xxxxxxxxxxxx xxxxxxxxxx xx xxxxxxx integrity xxxxxxxxxxx xxxx.
(2) Xxxxx a xxxxx uvedená v §3 xxxx. c) x d) zákona xxxx využívá xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxx, xxxxx xxxxxxx její xxxxxxxxxx.
§18
Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx nástroje xxx xxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx systému.
(2) Nástroj xxx xxxxxxxxx xxxxxxxx xxxxxxxxx x administrátorů xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxx xxxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx, komunikačním xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxx.
(3) Nástroj xxx xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxx xxxxxxx autentizaci xxxxx heslem, xxxxxxxxx
x) xxxxxxxxx xxxxx xxxxx xxx xxxxx,
x) xxxxxxxxx xxxxxxxxx xxxxx xxx, xx xxxxx bude xxxxxxxxx alespoň 3 x xxxxxxxxxxxxx xxxx xxxxxxxxx
1. xxxxxxx xxxxx xxxxx xxxxxxx,
2. xxxxxxx xxxxx xxxx xxxxxxx,
3. xxxxxxx xxxxx xxxxxxx, xxxx
4. nejméně jeden xxxxxxxxx znak xxxxxxx xx xxxxxxxxx xxxxxxxxx x xxxxxx 1 xx 3,
x) xxxxxxxxx xxxx pro povinnou xxxxxx xxxxx xxxxxxxxxxxxx xxx dnů; xxxxx xxxxxxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx identifikátory xxxxxxxx.
(4) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) x d) xxxxxx xxxx
x) používá nástroj xxx xxxxxxx identity, xxxxx
1. xxxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxx x xxxxxxxx xxxx xxxx xxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx období, xxxxx xxxx xxx xxxxxxx 24 xxxxx, x
2. xxxxxxx opětovné xxxxxxx xxxxxxxx xx xxxxxx xxxx xxxxxxxxxx x
x) xxxxxxx nástroj xxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx. X případě, xx xxxxx xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxx patnáct znaků xxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx. x) x x).
(5) Xxxxxxx pro xxxxxxxxx identity xxxxxxxxx xxxx xxx xxxxxxxx x xxxxxx xxxxxxx, xxx xxxx xxxx xxxxxxxxx v xxxxxxxxxx 3 xx 5, xxxxx orgán x xxxxx uvedená v §3 xxxx. x) xx x) zákona xxxxxxxxx, xx xxxxxxx xxxxxxxx zajišťující xxxxxxx xxxx vyšší xxxxxx xxxxxxxxx hesla.
§19
Xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx používá xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx zajistí xxxxxx oprávnění
a) pro xxxxxxx k xxxxxxxxxxx xxxxxxxxx x xxxxx x
x) xxx xxxxx xxx, xxx xxxxx xxx a xxx xxxxx oprávnění.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx dále xxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx v souladu x bezpečnostními xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx.
§20
Xxxxxxx xxx ochranu xxxx xxxxxxxxx xxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx pro xxxxxx xxxxx xxxxxxxxx s xxxxxxxxx škodlivého xxxx xxxxxxx nástroj xxx xxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx, xxxxx xxxxxxx xxxxxxx x stálou xxxxxxxx
x) xxxxxxxxxx xxxx xxxxxxx xxxx a xxxxxx xxxx,
x) xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxx x
x) pracovních xxxxxx,
xxxxxxx xxxxxxx pravidelnou x xxxxxxx aktualizaci nástroje xxx ochranu xxxx xxxxxxxxx xxxxx, xxxx xxxxxxx x xxxxxxxx.
§21
Xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významných xxxxxxxxxxxx xxxxxxx, jejich xxxxxxxxx a administrátorů
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona používá xxxxxxx pro xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému, xxxxx zajistí
a) xxxx xxxxxxxxx x provozních x xxxxxxxxxxxxxx činnostech, xxxxxxx xxx xxxxxxxx, xxxxx x xxx, xxxxxxxxxxxx technického aktiva, xxxxx činnost zaznamenalo, xxxxxxxxxxxx xxxxxxx x xxxxx xxxxxxxx x xxxxxxxxx nebo xxxxxxxxxxx xxxxxxxx x
x) xxxxxxx xxxxxxxxx xxxxxxxxx před xxxxxxxxxxxx čtením nebo xxxxxx.
(2) Orgán x xxxxx xxxxxxx v §3 xxxx. c) xx e) zákona xxxx xxxxxx nástroje xxx zaznamenávání xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxxxxxx x odhlášení xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxx xx xxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx činností x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxx x ukončení xxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx systému,
f) xxxxxxxxxxx xxxxxxx nebo xxxxxxx xxxxxxx xxxxxxxxxxx aktiv,
g) xxxxxxxx k xxxxxxxx x činnostech, xxxxxx x xxxxxxxxxx xx xxxxxxx x xxxxxxxxxx x změny xxxxxxxxx xxxxxxxx xxx zaznamenávání xxxxxxxx a
h) použití xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxx včetně xxxxx xxxxx, xxxxx xxxxxx x xxxxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx záznamy xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxxx nejméně xx xxxx 3 xxxxxx.
(4) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxxxx xxxxxxx xxxxxx xx 24 xxxxx xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxxx aktiv xxxxxxxxx do informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx.
§22
Nástroj pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona xxxxxxx xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí, xxxxx vychází xx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx x xxxxx xxxxxxx xxxxxxx, kontrolu x případně zablokování xxxxxxxxxx mezi vnitřní xxxxxxxxxxx xxxx x xxxxxx xxxx.
(2) Xxxxx x osoba uvedená x §3 písm. x) x x) xxxxxx xxxx používá xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxxxx zajistí ověření, xxxxxxxx a xxxxxxxx xxxxxxxxxxx xxxxxxxxxx
x) x xxxxx xxxxxxx xxxxxxxxxxx xxxx a
b) xxxxxxx xxxxxxxxx xx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx.
§23
Nástroj pro xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx xxxxxxx xxxxxxx xxx sběr x xxxxxxxx xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx, xxxxx x souladu x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxxxx
x) xxxxxxxxxxx xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx pro xxxxxx xxxxxxxxxxxx role x xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikačním xxxxxxx xxxx é xxxxxxxxxx xxxxxxxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů, včetně xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx rolí.
(2) Orgán x xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx dále xxxxxxx
x) xxxxxxxxxxx xxxxxxxxxxx nastavení xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxx varování, xxx xxxx xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxx xxxxxxx xxxxxxxxx xxxxxxxx, x
x) xxxxxxxxx informací, xxxxx xxxx připraveny xxxxxxxxx xxx xxxx x xxxxxxxxxxx kybernetických bezpečnostních xxxxxxxx, xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury.
§24
Xxxxxxxxx bezpečnost
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx bezpečnostní xxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxxxx x vnější xxxx, x to xxxx xxxxxx xxxxxxxx do xxxxxxx x xx xxxxx xxxxxxx změně xxxxxxxxxxxxxx mechanismů.
(2) Xxxxx x osoba uvedená x §3 písm. x) x x) xxxxxx xxxx v xxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx
x) xxxxxxxx x informací xxxxxxxxxx x xxxxxx xxxx xxxx xxxxxxxxxxxx xxxxxxxx, popřením xxxxxxxxxxx xxxxxxxx, xxxxxxxxxxxx nebo xxxxxxxxxxxxxxx změnou x
x) xxxxxxxxx xxxx xxxxxx xxxxxxxxxxxx, xxxxxxxxxx směrováním, xxxxxxxxxxxxxxx změnou předávaného xxxxxxxx xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxxxxxxxx nebo xxxxxxxxxx.
§25
Xxxxxxxxxxxxxx xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx
x) xxx xxxxxxxxx xxxxxxxxxxxxxx ochrany stanoví
1. xxxxxx xxxxxxx s xxxxxxx xx typ x sílu xxxxxxxxxxxxxxxx xxxxxxxxx x
2. xxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx xxxx xxx xxxxxxx xx xxxxxxx zařízení xxxx xxxxxxxxxxx technické xxxxxx xxx x
x) v xxxxxxx s xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx prostředky, xxxxx xxxxxxx xxxxxxx xxxxxxxxxx x xxxxxxxxx předávaných xxxx xxxxxxxxxx dat x xxxxxxxxx identifikaci xxxxx za provedené xxxxxxxx.
(2) Orgán a xxxxx xxxxxxx v §3 xxxx. x) x d) xxxxxx xxxx
x) xxxxxxx xxx xxxxxxxxx kryptografických xxxxxxxxxx xxxxxx správy xxxxx, xxxxx xxxxxxx generování, xxxxxxxxxx, xxxxxxxx, archivaci, xxxxx, xxxxxx, xxxxxxxx x xxxxx xxxxx, x
x) používá odolné xxxxxxxxxxxxxx algoritmy x xxxxxxxxxxxxxx xxxxx; x xxxxxxx nesouladu x xxxxxxxxxxx požadavky xx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxx x příloze č. 3 x xxxx vyhlášce xxxx xxxxxx spojená s xxxxx xxxxxxxxxx.
§26
Xxxxxxx pro xxxxxxxxxxx xxxxxx xxxxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 písm. x) xx x) xxxxxx x xxxxxxx x bezpečnostními xxxxxxxxx x výsledky xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) a x) xxxxxx xxxxxxx nástroj xxx xxxxxxxxxxx úrovně xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxx
x) dostupnost xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxx xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx vůči kybernetickým xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx xxxxx xxxxxx xxxxxxxxxx, x
x) xxxxxxxxxx xxxxxxxxxx technických aktiv xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx
1. využitím xxxxxxxxxx x xxxxxx xxxxxx a
2. xxxxxxxxxx xxxxxxxxxx technických xxxxx x xxxxxxx čase.
§27
Xxxxxxxxxx xxxxxxxxxxxx a xxxxxxxx systémů
Orgán a xxxxx xxxxxxx x §3 xxxx. c) x d) xxxxxx xxx xxxxxxxxxx průmyslových x xxxxxxxx xxxxxxx, xxxxx xxxx informačním xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo komunikačním xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx anebo jsou xxxxxx xxxxxxxx, xxxxxxx xxxxxxxx, které xxxxxxx
x) xxxxxxx xxxxxxxxx xxxxxxxx x síti x xxxxxxxxx průmyslových x xxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxx x síti xxxxxxxxxxxx x xxxxxxxx xxxxxxx,
x) xxxxxxx jednotlivých xxxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxx systémů xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxx a
d) xxxxxxxx xxxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
XXXXX III
BEZPEČNOSTNÍ DOKUMENTACE
§28
Bezpečnostní xxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x d) xxxxxx xxxx a xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx
x) xxxxxxxxxxxx politiku xxxxx §5 xxxx. 1,
x) xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §3 odst. 1 písm. x),
x) xxxxxx z xxxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx podle §3 xxxx. 1 písm. x),
x) xxxxxxxx pro xxxxxxxxxxxx x hodnocení xxxxx x xxx xxxxxxxxxxxx x hodnocení xxxxx,
x) xxxxxx x xxxxxxxxx xxxxx a xxxxx,
x) xxxxxxxxxx x xxxxxxxxxxxxxxxx,
x) plán xxxxxxxx xxxxx,
x) xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx podle §9 xxxx. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. x),
x) xxxxxxxxx řízení xxxxxxxxxx xxxxxxxx podle §14 xxxx. 1 xxxx. c) x
x) xxxxxxx právních xxxxxxxx, xxxxxxxxx předpisů x xxxxxx xxxxxxxx a xxxxxxxxx xxxxxxx xxxxx §15 odst. 1 xxxx. a).
(2) Orgán x xxxxx uvedená x §3 xxxx. x) xxxxxx xxxx x aktualizuje xxxxxxxxxxxx xxxxxxxxxxx, která xxxxxxxx
x) xxxxxxxxxxxx politiku xxxxx §5 odst. 2,
b) xxxxxxxx xxx xxxxxxxxxxxx x hodnocení aktiv x pro identifikaci x xxxxxxxxx xxxxx xxxxx §4 odst. 2 xxxx. x),
x) xxxxxx x hodnocení xxxxx x rizik xxxxx §4 xxxx. 2 xxxx. x) x x),
x) xxxxxxxxxx x xxxxxxxxxxxxxxxx xxxxx §4 xxxx. 2 xxxx. d),
e) xxxx xxxxxxxx rizik xxxxx §4 xxxx. 2 xxxx. e),
f) xxxx xxxxxxx bezpečnostního xxxxxxxx xxxxx §9 xxxx. 1 xxxx. a),
g) xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xxxxx §13 xxxx. x),
x) xxxxxxxxx xxxxxx kontinuity xxxxxxxx xxxxx §14 odst. 1 písm. c) x
x) přehled xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxx §15 xxxx. 1 xxxx. a).
(3) Xxxxx a osoba xxxxxxx x §3 xxxx. x) až x) zákona xxxx xxxxxxxxxxxx xxxxxxxxxxx xxx, xxx záznamy o xxxxxxxxxxx činnostech byly xxxxx, čitelné, xxxxxx xxxxxxxxxxxxxxxxx x aby xx daly xxxxxx xxxxxxxx. Xxxxxxxx xxxxxxxx x xxxxxxxxxxxx, xxxxxxx, xxxxxxx, xxxxxxxxx, době xxxxxxxxx x xxxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxx v příloze č. 4 k xxxx xxxxxxxx.
§29
Xxxxxxxxx xxxxxxxxxxx
Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx e) xxxxxx, xxxxx xxxxxxxxxx systém xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxx systém kritické xxxxxxxxxx infrastruktury xxxx xxxxxxxx informační xxxxxx xx zcela xxxxxxx xx rozsahu xxxxxxx xxxxxx bezpečnosti informací, xxxxx byl xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx xxxxx1) xxxxxxxxxxxxx certifikačním xxxxxxx, x xxxxx xxxx dokumenty xxxxxxxxxx
x) xxxxx xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxxx politiky a xxxx systému řízení xxxxxxxxxxx informací,
c) popis xxxxxxx metody xxxxxxxxx xxxxx x zprávu x hodnocení xxxxx,
x) xxxxxxxxxx o xxxxxxxxxxxxxxxx,
x) xxxxxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx se xxxxxxxxxxx xxxxxxxxx1),
x) záznam x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx vstupů x xxxxxxx xxxxxxxxxxx x
x) zprávu x xxxxxx provedených xxxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx x nápravě xxxxxxxxxx neshod x xxxxxxxxxx xxxxxx,
xxxxxxx požadavky xx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx x této vyhlášky.
XXXX XXXXX
XXXXXXXXXXXX BEZPEČNOSTNÍ XXXXXXXX
§30
Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx xxxxxxx xxxx kybernetické xxxxxxxxxxxx xxxxxxxxx rozděleny xx xxxxxxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx incident způsobený xxxxxxxxxxxxx útokem nebo xxxxx xxxxxxxx xxxxxxx x průniku do xxxxxxx xxxx x xxxxxxx xxxxxxxxxxx služeb,
b) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx překonáním xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx porušením xxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxx xxxxxx a
f) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx.
(2) Podle xxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx rozděleny xx xxxxxxxxxxxxx typů
a) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx aktiv,
b) xxxxxxxxxxxx bezpečnostní incident xxxxxxxxxxx narušení xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx aktiv, nebo
d) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx x písmenech x) až x).
§31
Kategorie xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx se xxxxx xxxxxxxx x negativních xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - velmi xxxxxxx kybernetický bezpečnostní xxxxxxxx, xxx xxxxxx xx xxxxx a xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx služeb xxxx xxxxx. Jeho xxxxxx xxxxxxxx xxxxxxxxxx zásahy xxxxxxx x xxx, xx xxxx být xxxxx dostupnými xxxxxxxxxx xxxxxxxxx dalšímu xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxxx xxxxxxxxxxxx vzniklých x xxxxxxxxxxxxx xxxx.
x) Xxxxxxxxx II - xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx xxxxxx xx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx služeb xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx s xxx, xx xxxx xxx xxxxxxxx prostředky zabráněno xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace xxxxxxxxx xxxx.
x) Xxxxxxxxx X - méně xxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xxxxxxx x méně xxxxxxxxxx narušení bezpečnosti xxxxxxxxxxxxx xxxxxx nebo xxxxx. Xxxx xxxxxx xxxxxxxx zásahy obsluhy x xxx, že xxxx být xxxxxxxx xxxxxxxxxx omezeno další xxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace xxxxxxxxx xxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx
x) xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxx významného informačního xxxxxxx,
x) xxxxxx xx xxxxxx xxxxxxxxxxx jinými xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačními xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx a
d) xxxxxxxxxxxxx xxxxx x xxxxx xxxxxx.
§32
Forma a xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Xxxxx x xxxxx uvedená v §3 xxxx. x) xx x) zákona xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx
x) x xxxxxxxxxxxx xxxxxx prostřednictvím
1. xxxxxxxxxxxxxx xxxxxxxxx zveřejněného na xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
2. xxxxxx xx xxxxxx xxxxxxxxxxxx pošty Xxxxx xxxxxx xxx xxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, zveřejněné xx xxxxxxxxxxxxx xxxxxxxxx Úřadu,
3. xxxxxx xxxxxx do xxxxxx xxxxxxxx Xxxxx, xxxx
4. prostřednictvím xxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx, anebo
b) v xxxxxxxx podobě na xxxxxx Xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, zveřejněné xx internetových xxxxxxxxx Xxxxx.
(2) Hlášení x xxxxxxxx xxxxxx xx xxxxxx xxxxx x xxxxxxxxx, xxx xxxxx xxxxxx žádný xx xxxxxxx uvedených x xxxxxxxx 1 písm. x).
(3) Xxxxxxxxxxx hlášení xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxx uvedeny x příloze č. 5 x této xxxxxxxx.
ČÁST XXXXXX
XXXXXXXXX XXXXXXXX X KONTAKTNÍ XXXXX
§33
Xxxxxxxxx xxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx oznámí xxxxxxxxx xxxxxxxxxxx xxxxxxxx x jeho výsledek xx formuláři, xxxxx xxxx xx xxxxxx x příloze č. 6 x xxxx vyhlášce.
§34
Kontaktní xxxxx
Xxxxx x xxxxx xxxxxxx v §3 xxxxxx oznamuje xxxxxxxxx xxxxx xx xxxxxxxxx, jehož xxxx xx xxxxxx x příloze č. 7 x xxxx xxxxxxxx. Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxxxx kontaktní xxxxx xxxxxx uvedenou x §32 odst. 1 xxxx. x).
XXXX PÁTÁ
ÚČINNOST
§35
Tato xxxxxxxx xxxxxx účinnosti dnem 1. xxxxx 2015.
Xxxxxxx:
Xxx. Xxxxxxxx x. x.
Xxxxxxx č. 1 x xxxxxxxx x. 316/2014 Sb.
Hodnocení x xxxxxx xxxxxxxxxxx xxxxx
Xxx xxxxxxxxx důležitosti xxxxx xxxx xxxxxxx stupnice x čtyřech xxxxxxxx. Xxxxx xxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxx xxxxxxxx xxxxxxx počet xxxxxx xxx xxxxxxxxx xxxxxxxxxxx aktiv, než xxxx xx xxxxxx x této xxxxxxx, xxxxxx-xx jednoznačné vazby xxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx x xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx aktiv, xxxxx xxxx uvedeny x xxxx příloze.
V xxxxxxx xxxxxxx xxx xxxxxx hodnocení xxxxxxxxxxx xxxxx xx xxxxxxxxx xxxxxxx buď úrovně xxxxx x střední, xxxx xxxxxx xxxxxx x kritická.
Stupnice xxx xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxx xxxx xxxxxxx přístupná xxxx xxxx xxxxxx ke xxxxxxxxxx (xxxx. xx xxxxxxx xxxxxx č. 106/1999 Sb., x svobodném přístupu x xxxxxxxxxx, ve xxxxx pozdějších xxxxxxxx). Xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona. |
Není vyžadována xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx nejsou xxxxxxx přístupná x xxxxx know-how orgánu x osoby uvedené x §3 xxxx. x) xx x) xxxxxx, xxxxxxx aktiv xxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxx nebo xxxxxxxx ujednáním. |
Pro ochranu xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxx xxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx a jejich xxxxxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx nebo xxxxxxxxx xxxxxxxxxx (xxxx. obchodní xxxxxxxxx xxxxx xxxxxx č. 89/2012 Sb., xxxxxxxx xxxxxxx, xxxxxx xxxxx podle xxxxxx č. 101/2000 Sb., o xxxxxxx xxxxxxxx xxxxx, xx xxxxx xxxxxxxxxx xxxxxxxx). |
Xxx xxxxxxx důvěrnosti xxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx řízení x zaznamenávání xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxx xxxx xxxxxxxx pomocí kryptografických xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxxxxxxx xxxx ochrany xxx xxxxx xxxxxxxxx xxxxxxxxx (xxxx. xxxxxxxxxxx xxxxxxxx tajemství, citlivé xxxxxx údaje). |
Pro ochranu xxxxxxxxxx xx požadována xxxxxxxx osob, xxxxx x aktivům přistoupily, x xxxxxx xxxxxxx xxxxxxxxxxx zneužití xxxxx xx xxxxxx xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
Xxxxxxxx pro hodnocení xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxxxx xxxxxxxxxx oprávněné xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona. |
Není vyžadována xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx xxxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx může xxxx x poškození xxxxxxxxxxx xxxxx orgánu x xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona x xxxx se xxxxxxxx méně xxxxxxxxx xxxxxx na primární xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx (např. omezení xxxxxxxxxxxx xxxx xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx vyžaduje xxxxxxx x hlediska xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx k poškození xxxxxxxxxxx xxxxx orgánu x osoby xxxxxxx x §3 xxxx. x) až x) xxxxxx x xxxxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx, které xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx x zaznamenat xxxxxxxx xxxxx provádějící xxxxx. Xxxxxxx integrity xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx vyžaduje xxxxxxx x hlediska xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx k xxxxx xxxxxxx poškození xxxxxxxxxxx xxxxx orgánu x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxxxx a xxxxx vážnými xxxxxx xx xxxxxxxx aktiva. |
Pro xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx prostředky xxxxxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (xxxx. pomocí xxxxxxxxxxx xxxxxxxxxxx xxxxxxx). |
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxx x v xxxxxxx xxxxxxx xx xxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxx xxxxxxx (xxx xx 1 xxxxx). |
Xxx xxxxxxx xxxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx zálohování. |
|
Střední |
Narušení dostupnosti xxxxxx xx xxxxxx xxxxxxxxx xxxx xxxxxxxxxx xxx, xxxxxxxxxxxxx výpadek xxxx x xxxxxxx xxxxxxxx xxxxx orgánu x osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx. |
Xxx ochranu dostupnosti xxxx využívány běžné xxxxxx xxxxxxxxxx x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva by xxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxx. Jakýkoli xxxxxxx je xxxxx xxxxx neprodleně, xxxxxxx xxxx x xxxxxxx xxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx. Xxxxxx xxxx považována xxxx xxxxx důležitá. |
Pro xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx systémy x obnova poskytování xxxxxx může být xxxxxxxxx xxxxxx xxxxxxx xxxx xxxxxxx technických xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx dostupnosti aktiva xxxx xxxxxxxxx a x xxxxxxxxxx xxxxxxxxxxxx (x řádu několika xxxxx) vede k xxxxxxx xxxxxxxx xxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx. Xxxxxx xxxx xxxxxxxxxx jako kritická. |
Pro xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx xx krátkodobá x automatizovaná. |
Xxxxxxx x. 2 x vyhlášce x. 316/2014 Sb.
Hodnocení rizik
Hodnocení xxxxx xx xxxxxxxxx xxxx xxxxxx, kterou xxxxxxxxx xxxxx, xxxxxx x zranitelnost.
Pro hodnocení xxxxx xxx xxxxxx xxxxxxx xxxx funkci
riziko = xxxxx x xxxxxx x zranitelnost.
Jednoznačné xxxxxx xxxxxx pro xxxxxx rizika xx xxxxxxxxx součástí metodiky xxx xxxxxxxxxxxx x xxxxxxxxx xxxxxx
|
Xxxxxxxx pro xxxxxxxxx dopadů |
|
|
Úroveň |
Popis |
|
Nízký |
Dopad xx x xxxxxxxx xxxxxxx xxxxxx x malého xxxxxxx x xxxxx xxx katastrofický. Rozsah případných xxxx xxxxxxxxxxx x) 10 xxxxxxxxx osob x xxxxxxxxx xxxxxxxxxxxxx xx xxxx delší než 24 xxxxx nebo b) xxxxxxxx xxxx materiální xxxxxx xx 5&xxxx;000&xxxx;000 Xx xxxxx x) představuje xxxxx xx veřejnost x xxxxxxxxx omezením xxxxxxxxxx služeb nebo xxxxxx xxxxxxxxx xxxxxx xx každodenního xxxxxx xxxxxxxxxxxxx xxxxxxx 250 xxxx. |
|
Xxxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx a v xxxxxxxx časovém období. Rozsah xxxxxxxxxx xxxx xx xxxxxxxx v rozmezí a) xx 10 mrtvých xxxx od 11 xx 100 xxxx x následnou xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx xxxx x) finanční xxxx xxxxxxxxxx xxxxxx od 5&xxxx;000&xxxx;000 Xx xx 50&xxxx;000&xxxx;000 Kč xxxxx x) xxxxxxxxxxx dopad na xxxxxxxxx x rozsáhlým xxxxxxxx nezbytných xxxxxx xxxx jiného závažného xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx od 251 xx 2&xxxx;500 xxxx. |
|
Xxxxxx |
Xxxxx xx omezeného xxxxxxx, xxx xxxxxx xxxx xxxxxxxxxxxxx. Xxxxxx případných xxxx se xxxxxxxx x xxxxxxx x) xx 11 do 100 xxxxxxx xxxx od 101 do 1 000 xxxx x xxxxxxxxx xxxxxxxxxxxxx po xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx materiální xxxxxx xx 50&xxxx;000&xxxx;000 Xx xx 500&xxxx;000&xxxx;000 Xx xxxxx x) představuje xxxxx xx xxxxxxxxx x rozsáhlým xxxxxxxx xxxxxxxxxx služeb xxxx xxxxxx závažného xxxxxx xx xxxxxxxxxxxx života xxxxxxxxxxxxx xx 2&xxxx;501 xx 25&xxxx;000 osob. |
|
Kritický |
Dopad xx xxxxxx rozsahem, xxxxxx x xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xx xxxxxxxx v xxxxxxx x) 10 x xxxx xxxxxxx x 1 001 x více xxxx x následnou xxxxxxxxxxxxx xx dobu xxxxx než 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx ztráty xxxxxxxxxxx 500&xxxx;000&xxxx;000 Kč xxxxx x) představuje dopad xx xxxxxxxxx x xxxxxxxxx xxxxxxxx nezbytných xxxxxx nebo xxxxxx xxxxxxxxx zásahu xx xxxxxxxxxxxx života xxxxxxxxxxxxx xxxx xxx 25&xxxx;000 xxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx xxxx xx málo xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxx xxxxxxxx xxx xxxxxx za 5 xxx. |
|
Xxxxxxx |
Xxxxxx je málo xxxxxxxxxxxxx až xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx x xxxxxxx xx 1 roku xx 5 xxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxxxxx xx xxxxx pravděpodobná. Předpokládaná xxxxxxxxx hrozby xx x xxxxxxx od 1 xxxxxx do 1 roku. |
|
Kritická |
Hrozba xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx jistá. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx xxxxxxxx než xxxxxx xx xxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx zranitelností |
|
|
Úroveň |
Popis |
|
Nízká |
Zranitelnost neexistuje xxxx je zneužití xxxxxxxxxxxxx xxxx pravděpodobné. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx jsou xxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxxxxxx xx xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Existují xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx. Schopnost xxxxxxxxxxxxxx xxxxxxxx xxxx detekovat xxxxx slabiny xxxx xxxxxxxx pokusy x xxxxxxxxx opatření xx xxxxxxx. Nejsou xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx je xxxxxxxxxxxxx xx xxxxx pravděpodobná. Xxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxx jejich účinnost xxxxxxxxx xxxxxxx potřebné xxxxxxx x xxxx xxxxxxxxxx xxxxxxxxxxxx. Xxxx xxxxx xxxxx xxxxxxx xxxxxx o překonání xxxxxxxxxxxxxx opatření. |
|
Kritická |
Zranitelnost je xxxxx xxxxxxxxxxxxx až xx xxxxxxxx jisté xxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxx realizována xxxxx xx jejich účinnost xxxxxx xxxxxxx. Xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Xxxx známé xxxxxxx xxxxxx překonání xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx rizik |
|
|
Úroveň |
Popis |
|
Nízké |
Riziko xx xxxxxxxxxx xx přijatelné. |
|
Střední |
Riziko xxxx xxx xxxxxxx xxxx xxxxxxxxx opatřeními xxxx v případě xxxxx xxxxxxxxxx xxxxxxxx xx riziko xxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx dlouhodobě nepřípustné x musí xxx xxxxxxxx systematické xxxxx x jeho odstranění. |
|
Kritické |
Riziko xx xxxxxxxxxxx x xxxx být neprodleně xxxxxxxx xxxxx x xxxx odstranění. |
V případě, xx orgán xxxx xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxxxxx metodu xxx xxxxxxxxxxxx x hodnocení xxxxx, která xxxxxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx, xx xxxxx xxxxxxxx pro xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxx. Sloučení xxxxxxx xx xxxxxx vést xx ztrátě xxxxxxxxxx xxxxxxxxx xxxx xxxxxx x zranitelnosti. Xx xxxxx xxxxxx lze xxxxxx například xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxx xxxxxx xxxxxx, xxx x xxxxxx xxxxxxxxxxxxx. Obdobně xxxxxxxxx x orgán nebo xxxxx uvedená x §3 písm. c) xx x) xxxxxx, xxxxx používá xxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxx, xxxxxx, xxxxxxxxxxxxx a rizik.
Xxxxxxx x. 3 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxxx požadavky xx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxx
x) Xxxxxxx x xxxxxxxx šifry xxx xxxxxxx xxxxxxxxxx x xxxxxxxxx
1. Advanced Xxxxxxxxxx Xxxxxxxx (XXX) x xxxxxxxx xxxxx xxxxx 128, 192 x 256 bitů Xxxxxx Xxxx Xxxxxxxxxx Xxxxxxxx (3XXX) x xxxxxxxx délky xxxxx 168 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX, xxxxxxxx xxxxxxxxx na XXX.
2. Xxxxxx Data Xxxxxxxxxx Standard (3DES) x xxxxxxxx xxxxx xxxxx 112 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx klíče xxxxxx xxx 10 XX, xxxxxxxx přecházet xx AES. Doporučeno xxxxxxx xxxxxxxxxxx xxxxx xxx xxxxxx zprávu.
3. Xxxxxxxx x využitím xxxxxxxxx xxxxx xxxxx 128 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx klíče xxxxxx xxx 10 XX.
4. Xxxxxx x xxxxxxxx xxxxx xxxxx 128 xxxx, xxxxxxx použití xxx se xxxxxxxxx xxxxx xxxxxx než 10 GB.
5. Xxxxxxx x xxxxxxxx délky xxxxx 128 xx 256 bitů.
6. Xxxxxxx x xxxxxxxx xxxxx xxxxx 128, 192, 256 bitů.
7. Xxxxxxxx x xxxxxxxx xxxxx xxxxx 128, 192 x 256 bitů.
8. XXXX 2.0, XXXX 3X x využitím xxxxx klíčů 128, 256 bitů.
b) Xxxx xxxxxxxxx s xxxxxxxx xxxxxxxxx
1. XXX,
2. XXX,
3. XXX,
4. Xxxxxxx xxxxxxxx xxxx "Encrypt-then-MAC".
Poznámka:
Schémata xxxx "Xxxxxxx-xxxx-XXX",xxxx používat k xxxxxxxxx xxxxx xxxxxxx xxxxxxxxx xxxx x x xxxxxxx XXX xxxxx uvedené módy xxx ochranu xxxxxxxxx.
x) Xxxx xxxxxxxxx
1. XXX,
2. XXX,
3. XXX,
4. CFB,
Poznámka:
Módy XXX a XXX xxxx xxx xxxxxxx x náhodným, pro xxxxxxxx nepředpověditelným xxxxxxxxxxxxxx xxxxxxxx, při použití xxxx XXX se xxx xxxx klíč xxxxx opakovat hodnota xxxxxxxxxxxxxxx xxxxxxx, při xxxxxxx módu XXX xx xxx xxxx xxxx nesmí xxxxxxxx xxxxxxx xxxxxx, x xxxxxxx xxxxxxx XXX xxxx x xxxxxxxxx xxx xxxxxxx xxxxxxxxx xx xxxxx xxxxxx xxxxxxxx xxxxx xxxxx xx padding CBC xxxx.
x) Xxxx pro xxxxxxx xxxxxxxxx
1. HMAC,
2. XXX-XXX-X9.19, omezené použití xxx xx xxxxxxxxx xxxxxx než 109 XXX,
3. CBC-MAC-EMAC,
4. XXXX.
(2) Xxxxxxxxxxx algoritmy
a) Xxx xxxxxxxxxxx xxxxxxxxxxx podpisu
1. Xxxxxxx Xxxxxxxxx Xxxxxxxxx (XXX) s xxxxxxxx xxxxx xxxxx 2048 xxxx a více, xxxxx parametru cyklické xxxxxxxx 224 xxxx x xxxx.
2. Elliptic Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxxxxx (XX-XXX) x xxxxxxxx xxxxx klíčů 224 bitů x xxxx.
3. Rivest-Shamir-Adleman Xxxxxxxxxxxx Xxxxxxxxx Scheme (XXX-XXX) x využitím délky xxxxx 2048 bitů x více.
b) Xxx xxxxxxx xxxxx xx xxxxx x xxxxxxxxx xxxxx
1. Diffie-Hellman (XX) x xxxxxxxx xxxxx xxxxx 2048 xxxx x více, xxxxx xxxxxxxxx cylické podgrupy 224 xxxx a xxxx.
2. Xxxxxxxx Xxxxx Xxxxxx-Xxxxxxx (ECDH) x xxxxxxxx délky xxxxx 224 xxxx a xxxx.
3. Xxxxxxxx Xxxxx Xxxxxxxxxx Xxxxxxxxxx Xxxxxx - Key Xxxxxxxxxxxxx Xxxxxxxxx (ECIES-KEM) x xxxxxxxx délky xxxxx 256 bitů x xxxx.
4. Xxxxxxxx Xxxxxx Xxxxxxxx Curve - Xxx Xxxxxxxxxxxxx Mechanism (XXXX-XXX) x xxxxxxxx xxxxx xxxxx 256 xxxx xxxx.
5. Asymetrie Xxxxxxx xxx Key Xxxxxxxxxxxxx Mechanism (XXX-XXX) x xxxxxxxx xxxxx xxxxx 256 bitů x xxxx.
6. Rivest Xxxxxx Xxxxxxx - Xxxxxxx Asymetrie Encryption Xxxxxxx (RSA-OAEP) x xxxxxxxx délky klíčů 2048 x xxxx.
7. Xxxxxx Shamir Xxxxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) s xxxxxxxx xxxxx xxxxx 2048 a xxxx.
(3) Xxxxxxxxx xxxx funkcí
a) XXX-2
1. XXX-224,
2. XXX-256,
3. XXX-384,
4. XXX-512,
5. XXX-512/224,
6. XXX-512/256.
x) SHA-3
1. XXX3-224,
2. XXX3-256,
3. SHA3-384,
4. XXX3-512,
5. XXXXX-128,
6. SHAKE-256.
c) Xxxxxxx xxxxxxxx xxxxxx
1. Whirpool,
2. XXXXXX-160,
3. XXX 1 x xxxxxxxx použitím.
Poznámka x. 1:
XXX-1 se xxxxx xxxxxxxx xxx xxxxxxxxxx xxxxxx digitálních xxxxxxx, xxxxxxxx xxxxxxx, xxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx XXX-1.
Xxxxxxxx x. 2:
SHA-1 lze xxxxxxxx pouze xxx xxxxxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxx, xxxxxxxxxx x xxxxxxxxx XXXX-XXX1, xxxxxx xxx xxxxxxxxxx xxxxx x pseudonáhodné xxxxxxxxxx.
Xxxxxxx x. 4 x xxxxxxxx č. 316/2014 Sb.
Struktura xxxxxxxxxxxx xxxxxxxxxxx
Xxxx příloha obsahuje xxxxxxxxxx obsah xxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx zahrnují xxxxxx, xxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxx pokrývají, xxxxxxx xxxxxxx xxxxxxxxx dokumentů xxxxxx závazné a xx xx orgánu xxxx xxxxx uvedené x §3 písm. x) až e) xxxxxx, xxxx xxxxxxx x xxxxxx bezpečnostní xxxxxxxxxxx xxxxxxx. Xxxxxxxxx xx i změna xxxxx jednotlivých dokumentů xxxx xxxxxxxxxxx více xxxxx do xxxxxxx xxxxxxxxx.
X. Struktura bezpečnostní xxxxxxxx
(1) Xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. a)]
a) Xxxx, xxxxxxxx a xxxxxxx řízení bezpečnosti xxxxxxxxx.
x) Xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.
c) Pravidla x postupy xxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxx zdrojů x xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Pravidla x xxxxxxx pro xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro nápravná xxxxxxxx x xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx**
[§5 odst. 1 xxxx. b), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxxxxxxxxx xxxx x xxxxxx xxxx x povinností,
1. xxxxx x povinnosti xxxxxxxx kybernetické bezpečnosti,
2. xxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx bezpečnosti,
3. xxxxx x xxxxxxxxxx xxxxxxxx kybernetické xxxxxxxxxxx,
4. xxxxx x xxxxxxxxxx xxxxxxx xxxxx,
5. xxxxx x xxxxxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx činností xxxxxxxxxxxx xxxxxxxxxxxxxx rolí.
(3) Xxxxxxxx xxxxxx xxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxx a xxxxxxxx xxx xxxxx dodavatelů.
b) Xxxxxxxx pro xxxxxxxxx xxxxx xxxxxxxxxx.
x) Xxxxxxxxxxx xxxxxxx o úrovni xxxxxx x xxxxxxx x úrovní realizace xxxxxxxxxxxxxx opatření x x xxxxxx vzájemné xxxxxxx xxxxxxxxxxxx.
x) Xxxxxxxx xxx provádění xxxxxxxx xxxxxxxx bezpečnostních opatření.
e) Xxxxxxxx pro hodnocení xxxxxxxxxx.
(4) Xxxxxxxx klasifikace xxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Identifikace, xxxxxxxxx x evidence primárních xxxxx
1. určení x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx garanta,
2. hodnocení xxxxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxxxxxxx, hodnocení x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x evidence xxxxxxxxxxxx xxxxxxxxxx aktiv xxxxxx určení jejich xxxxxxx,
2. určení xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxxx jednotlivých úrovní xxxxx
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx xxx manipulaci x xxxxxxxx aktiv xxxxx úrovní xxxxx,
3. xxxxxxxxx xxxxxxx používání xxxxx.
x) Způsoby spolehlivého xxxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx dat.
(5) Xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxx jeho hodnocení
1. xxxxxxx x xxxxx xxxxxxx xxxxxxxxx,
2. xxxxxxx x formy xxxxxxx xxxxxxx xxxxx,
3. xxxxxxx x formy xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx x xxxxx xxxxxxx dalších xxxx zastávajících xxxxxxxxxxxx xxxx.
x) Xxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxx řešení případů xxxxxxxx bezpečnostní politiky xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxxxxxx vztahu xxxx xxxxx xxxxxxxx xxxxxx.
1. xxxxxxx svěřených xxxxx x odebrání xxxx xxx ukončení xxxxxxxxxx xxxxxx,
2. xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx pracovní pozice.
(6) Xxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. f)]
a) Pravomoci x xxxxxxxxxxxx spojené x xxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx a xxxxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx.
x) Xxxxxxxx x omezení xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx.
(7) Xxxxxxxx xxxxxx xxxxxxxx**
[§5 odst. 1 xxxx. g), §5 xxxx. 2 písm. x)]
x) Xxxxxxx minimálních xxxxxxxxx/xxxxxxx znát (need xx xxxx).
x) Požadavky xx xxxxxx přístupu.
c) Xxxxxxx xxxxxx řízení xxxxxxxx.
x) Řízení privilegovaných xxxxxxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx uživatelů x xxxxxxxxxxxx xxxxxxxxx.
(8) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx xxx bezpečné xxxxxxxxx x xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx použití xxxxxxxxxxxx xxxxx a xxxxxxxx xx internet.
d) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx xxxxxxx xx xxxxxxxxxx xxxxxx.
x) Bezpečnost xx xxxxxx x xxxxxxxx xxxxxxxxx.
(9) Xxxxxxxx xxxxxxxxxx x xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 odst. 2 písm. x)]
x) Xxxxxxxxx xx xxxxxxxxxx x xxxxxx.
x) Pravidla x xxxxxxx zálohování.
c) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx.
x) Pravidla x xxxxxxx obnovy.
e) Xxxxxxxx x postupy xxxxxxxxx xxxxxxxxxx x xxxxxx.
(10) Xxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla a xxxxxxx xxx xxxxxxx xxxxxxxxxxx informací.
b) Xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx.
x) Pravidla xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(11) Xxxxxxxx řízení technických xxxxxxxxxxxxx**
[§5 odst. 1 xxxx. k)]
a) Xxxxxxxx xxx omezení xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx x postupy xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) Xxxxxxxx x postupy xxxxxxxxx oprav programového xxxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx vybavení.
(12) Xxxxxxxx xxxxxxxxxx xxxxxxxxx mobilních xxxxxxxx*
[§5 xxxx. 1 xxxx. 1)]
x) Xxxxxxxx x xxxxxxx pro xxxxxxxx xxxxxxxxx mobilních xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx zařízení, xxxxxxx xxxxx x osoba xxxxxxx x §3 xxxx. c) x x) zákona xxxxxxxxxxx.
(13) Xxxxxxxx xxxxxxxxxxx a xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x postupy xxxxxxxx xxxxxxxxxxxx vybavení x jeho xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
(14) Xxxxxxxx xxxxxxxxxxxx xxxxxxxx a xxxxxxxxx xxxxxxxxx*
[§5 xxxx. x písm. n)]
a) Xxxxxxxx x xxxxxxx xxxxxxxxx dokumentů x xxxxxxx.
x) Ochrana xxxxxxxxxxxxx xxxxxxxxx x xxxxxxx.
x) Xxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx.
(15) Politika ochrany xxxxxxxx xxxxx*
[§5 xxxx. x xxxx. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx osobních údajů.
b) Xxxxx xxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx osobních xxxxx.
x) Xxxxx xxxxxxxxx x provedených xxxxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxx údajů.
(16) Xxxxxxxx xxxxxxx bezpečnosti**
[§5 xxxx. x xxxx. x)]
x) Xxxxxxxx xxx xxxxxxx xxxxxxx.
x) Xxxxxxxx pro xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx xxx xxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxx.
(17) Xxxxxxxx xxxxxxxxxxx komunikační xxxx**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla a xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxx.
x) Xxxxxx xxxx x xxxxxxxxxx xx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx a xxxxxxx pro xxxxxx xxxxxxxx v xxxxx xxxx.
x) Pravidla x xxxxxxx xxx ochranu xxxxxxxxxx xxxxxxxx x xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx xxxx x vyhodnocování xxxxxxxxxx xxxxxxx.
(18) Politika xxxxxxx xxxx xxxxxxxxx xxxxx*
[§5 xxxx. x xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxx x xxxxxx sítí.
b) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxx x sdílených datových xxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxxxxxx xxxxxx.
(19) Xxxxxxxx xxxxxxxx a xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxxxxxxx nástroje xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Provozní xxxxxxx xxx xxxxxxxxxxxxx x xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx bezpečnostní události.
c) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
(20) Xxxxxxxx xxxxxxx x xxxxxx nástroje xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx**
[§5 xxxx. 1 písm. x)]
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx pravidelné xxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(21) Xxxxxxxx xxxxxxxxxx používání xxxxxxxxxxxxxx xxxxxxx**
[§5 xxxx. 1 xxxx. u), §5 xxxx. 2 xxxx. x)]
x) Úroveň xxxxxxx x xxxxxxx na xxx a xxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxx informací
1. xxx xxxxxxx po xxxxxxxxxxxxx xxxxxx,
2. při xxxxxxx xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxx xxx,
x) Xxxxxx xxxxxx xxxxx.
XX. Xxxxxxxxx xxxxx xxxxxxxxxxx
(1) Xxxxxx z auditu xxxxxxxxxxxx xxxxxxxxxxx**
[§28 xxxx. 1 xxxx. x)]
x) Xxxx auditu kybernetické xxxxxxxxxxx.
x) Předmět xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Kritéria xxxxxx kybernetické bezpečnosti.
d) Xxxxxxxxxxxxxx týmu xxxxxxxx x xxxx, xxxxx xx auditu kybernetické xxxxxxxxxxx xxxxxxxxxx.
x) Xxxxx x místo, kde xxxx xxxxxxxxx xxxxxxxx xxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx z xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(2) Zpráva x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací**
[§28 xxxx. 1 písm. c)]
a) Xxxxxxxxxxx opatření x xxxxxxxxxxx přezkoumání systému xxxxxx xxxxxxxxxxx informací,
b) Xxxxxxxxxxxx xxxx x xxxxxxxxx, xxxxx mohou xxx xxxx na xxxxxx řízení bezpečnosti xxxxxxxxx.
x) Zpětná vazba x xxxxxxxxxx řízení xxxxxxxxxxx xxxxxxxxx
1. neshody x xxxxxxxx xxxxxxxx,
2. xxxxxxxx monitorování x xxxxxx,
3. výsledky auditu,
4. xxxxxxxx cílů xxxxxxxxxxx,
x) Xxxxxxxx hodnocení rizik x stav xxxxx xxxxxxxx xxxxx.
x) Identifikace xxxxxxxx pro neustálé xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx xxxxxxxx x xxxx zajišťujících xxxxx xxxxxxxxxxxx činností.
(3) Xxxxxxxx pro xxxxxxxxxxxx x hodnocení xxxxx x pro xxxxxxxxxxxx x hodnocení xxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. x)]
x) Xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxxxxxx aktiv
1. xxxxxx stupnice xxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxx,
2. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxx,
3. určení xxxxxxxx xxx xxxxxxxxx xxxxxx dostupnosti aktiv.
b) Xxxxxx stupnice pro xxxxxxxxx rizik
1. určení xxxxxxxx xxx hodnocení xxxxxx dopadu,
2. určení xxxxxxxx pro hodnocení xxxxxx xxxxxx,
3. určení xxxxxxxx xxx hodnocení xxxxxx xxxxxxxxxxxxx,
4. xxxxxx xxxxxxxx pro hodnocení xxxxxx xxxxx,
x) Metody x xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxx přijatelných rizik.
(4) Xxxxxx x xxxxxxxxx xxxxx x xxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx primárních xxxxx
1. xxxxxxxxxxxx a popis xxxxxxxxxx aktiv,
2. xxxxxx xxxxxxx xxxxxxxxxx aktiv,
3. xxxxxxxxx primárních xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxx (xxxxxxx xxx xxxxxx x osoby uvedené x §3 písm. x) xxxxxx)
1. identifikace x popis podpůrných xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx aktiv,
3. xxxxxx xxxxx mezi xxxxxxxxxx x xxxxxxxxxx aktivy,
c) Xxxxxxxxxxxxxx x hodnocení xxxxx
1. xxxxxxxxx xxxxxxx xxxxxx xx xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx hrozeb,
3. xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx existujících opatření,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx této xxxxxx x xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
5. xxxxxx x xxxxxxxxx přijatelných xxxxx.
x) Xxxxxxxx xxxxx
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. návrh xxxxxxxx x xxxxxx xxxxxxxxx.
(5) Xxxxxxxxxx o xxxxxxxxxxxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. d)]
a) Xxxxxxx vybraných bezpečnostních xxxxxxxx xxxxxx xxxxxxxxxx xxxxxx xxxxxx x xxxxxx xxxxx na xxxxxxxxxxxxxx xxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(6) Xxxx xxxxxxxx rizik**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx x cíle xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxxx xxxxxx pro xxxxxxxxxx bezpečnostní xxxxxxxx xxx xxxxxxxx rizik.
c) Xxxxx xxxxxxxxxxx jednotlivá xxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx zvládání xxxxx.
x) Způsoby xxxxxxxxx xxxxxxxxxx zavedení jednotlivých xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
(7) Xxxx xxxxxxx bezpečnostního xxxxxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 písm. x)]
x) Xxxxx x termíny xxxxxxx xxxxxxxxx.
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxx aktiv (neplatí xxx orgány a xxxxx uvedené x §3 xxxx. e) xxxxxx).
x) Xxxxx x xxxxxxx xxxxxxx administrátorů (xxxxxxx xxx xxxxxx x xxxxx uvedené x §3 xxxx. x) xxxxxx).
x) Obsah x termíny poučení xxxxxxx osob zastávajících xxxxxxxxxxxx xxxx.
x) Obsah x termíny xxxxxxx xxxxxx zaměstnanců.
f) Xxxxx x xxxxxxx hodnocení xxxxx.
(8) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 xxxx. i), §28 xxxx. 2 xxxx. g)]
a) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů x pro xxxxxxxxxx xxxxxxxxxxxx bezpečnosti.
(9) Strategie xxxxxx xxxxxxxxxx činností**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. h)]
a) Xxxxx x xxxxxxxxxx xxxxxxxxxxxx osob.
b) Cíle xxxxxx kontinuity xxxxxxxx
1. xxxxxxxxx úroveň xxxxxxxxxxxxx xxxxxx,
2. xxxx xxxxxxxx xxxxx,
3. xxx xxxxxxxx xxxxx.
x) Xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxx kontinuity.
d) Xxxxxxx hodnocení xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx a xxxxxxxxxx souvisejících xxxxx.
x) Xxxxxx x xxxxx xxxxxxxxxx xxxxx xxxxxxxxxx.
x) Xxxxxxx pro xxxxxxxxx xxxxxxxx xxxxxxxx Národním xxxxxxxxxxxxx xxxxxx.
(10) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x jiných xxxxxxxx x smluvních xxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx obecně xxxxxxxxx xxxxxxxx xxxxxxxx.
x) Přehled xxxxxxxxx xxxxxxxx x xxxxxx předpisů.
c) Přehled xxxxxxxxx xxxxxxx.
Xxxxxxxx:
* Očekávaná xxxxxxxxx xxxxxxxxx je xx úrovni střední xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.
** Xxxxxxxxx xxxxxxxxx xxxxxxxxx xx xx úrovni xxxxxx xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.
Příloha č. 5 x vyhlášce x. 316/2014 Sb.
Formulář hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu
Vyplnitelný formulář ve formátu PDF
Xxxxxxx x. 6 x xxxxxxxx x. 316/2014 Sb.
Formulář xxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx a xxxx xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx x. 7 x xxxxxxxx x. 316/2014 Sb.
Formulář xxx xxxxxxx kontaktních xxxxx
Vyplnitelný formulář ve formátu PDF
Informace
Právní předpis x. 316/2014 Xx. xxxxx xxxxxxxxx dnem 1.1.2015.
Ke xxx xxxxxxxx xxxxxx xxxxxxx nebyl xxxxx xx xxxxxxxxx.
Xxxxxx xxxxxxx x. 316/2014 Xx. xxx zrušen xxxxxxx xxxxxxxxx č. 82/2018 Sb. x xxxxxxxxx od 28.5.2018.
Znění xxxxxxxxxxxx právních xxxxx xxxxxx xxxxxxxx předpisů x xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx xx xxxx netýká xxxxxxxxx xxxxx shora xxxxxxxxx xxxxxxxx předpisu.
1) XXX/XXX 27001:2013, xxxxxxxx ČSN XXX/XXX 27001:2014