Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
XXXXXXXX
xx xxx 15. xxxxxxxx 2014
x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x x xxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxx kybernetické xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx bezpečnostní xxxx xxxxxxx xxxxx §28 xxxx. 2 xxxxxx x. 181/2014 Sb., x kybernetické xxxxxxxxxxx x x změně xxxxxxxxxxxxx zákonů (xxxxx x xxxxxxxxxxxx xxxxxxxxxxx), (xxxx xxx "xxxxx") x xxxxxxxxx §6 xxxx. x) xx x), §8 odst. 4, §13 xxxx. 4 x §16 xxxx. 6 zákona.
ČÁST PRVNÍ
ÚVODNÍ XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxxx vyhláškou se xxxxxxx xxxxx x xxxxxxxxx bezpečnostní dokumentace xxx informační xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx systém, xxxxx bezpečnostních xxxxxxxx, xxxxxx jejich xxxxxxxx, xxxx a xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxxxxxxx x xxxxxx xxxxxxx kybernetického bezpečnostního xxxxxxxxx, náležitosti xxxxxxxx x xxxxxxxxx reaktivního xxxxxxxx x xxxx xxxxxxxx a vzor xxxxxxxx xxxxxxxxxxx údajů x xxxx xxxxx.
§2
Xxxxxxxx xxxxx
X xxxx xxxxxxxx xx xxxxxx
x) xxxxxxxx řízení bezpečnosti xxxxxxxxx část xxxxxxx xxxxxx xxxxxx x xxxxx uvedené v §3 písm. x) xx e) xxxxxx xxxxxxxx na xxxxxxxx x rizikům xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxx xxxxxx ustavení, xxxxxxxx, xxxxxx, monitorování, přezkoumání, xxxxxxxxx x zlepšování xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx aktivum x xxxxxxxx xxxxxxx,
x) primárním xxxxxxx informace xxxx xxxxxx, xxxxxx zpracovává xxxx xxxxxxxxx informační xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikační systém xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxx informační xxxxxx,
x) podpůrným xxxxxxx xxxxxxxxx aktivum, zaměstnanci x xxxxxxxxxx xxxxxxxxxx xx xx xxxxxxx, xxxxxxx, xxxxxx nebo xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxx aktivem xxxxxxxxx xxxxxxxx, komunikační xxxxxxxxxx x programové xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx a xxxxxxx, xx xxxxxxx xxxx xxxx systémy xxxxxxxx,
x) xxxxxxx možnost, xx xxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxx xxxxxx,
x) hodnocením xxxxx xxxxxx, xxx xxxx xx určována xxxxxxxxxx rizik x xxxxxx přijatelná úroveň,
h) xxxxxxx xxxxx xxxxxxx xxxxxxxxxx xxxxxxxxx rizik, xxxxx x xxxxxxxx xxxxxxxx ke xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx x xxxxxx a xxxxxxxxx a xxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx nebo kybernetického xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxx xxxx xxx xxxxxxxxx xxxxxx,
x) zranitelností xxxxx místo xxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx může být xxxxxxxx xxxxxx xxxx xxxx hrozbami,
k) xxxxxxxxxxx xxxxxxx xxxxxx zbývající xx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx xxxxxxxx xxxxxxxxx pro xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxx x pravidel, xxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxx xxxxxxx x xxxxxx xxxxxxxx x §3 xxxx. x) až x) xxxxxx,
x) xxxxxxxx xxxxxx xxxxxxx xxxxx pověřená xxxxxxx xxxx xxxxxx xxxxxxxx x §3 xxxx. c) xx x) xxxxxx x xxxxxxxxx rozvoje, xxxxxxx x bezpečnosti xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxx xxxxx veřejné moci, xxxxx xxxxxxx primární xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxx xxxxx xxxxxxxx garantem xxxxxx zajišťující správu, xxxxxx, použití, xxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxx.
XXXX DRUHÁ
BEZPEČNOSTNÍ XXXXXXXX
XXXXX X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx řízení xxxxxxxxxxx xxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx x rámci xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx s xxxxxxx xx xxxxxx x xxxxxxxxxxx bezpečnost xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, ve kterém xxxx, xxxxxxx xxxxxxxxxxxxx xxxxx a xxxxxxxxxxx xxxxx xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx,
x) xxxx xxxxxx xxxxx §4 odst. 1,
x) xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx hlavní xxxxxx, xxxx, bezpečnostní xxxxxxx, xxxxx a xxxxxxxxxx xx xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxx a xx xxxxxxx bezpečnostních xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxx xxxxxxxxx podle §5 x xxxxxx příslušná xxxxxxxxxxxx opatření,
d) monitoruje xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx vhodnost x xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx §5,
x) xxxxxxx xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx xxxxx §15, x to nejméně xxxxxx xxxxx,
x) zajistí xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, xxxxx xxxxxxxx xxxxxxxxx xxxxx systému xxxxxx xxxxxxxxxxx informací včetně xxxxxx xxxxxxxxx xxxxx, xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, x xx xxxxxxx xxxxxx xxxxx,
x) aktualizuje xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x příslušnou xxxxxxxxxxx na xxxxxxx xxxxxxxx auditů kybernetické xxxxxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx x x xxxxxxxxxxx s xxxxxxxxxxx nebo xxxxxxxxxxx xxxxxxx x
x) xxxx xxxxxx x zdroje xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxx xxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x řízením xxxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) zákona x xxxxx systému xxxxxx bezpečnosti xxxxxxxxx
x) xxxx rizika xxxxx §4 xxxx. 2,
x) xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, která xxxxxxxx xxxxxx xxxxxx, xxxx, bezpečnostní xxxxxxx, xxxxx a xxxxxxxxxx xx vztahu x xxxxxx xxxxxxxxxxx informací x xx xxxxxxx xxxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxx rizik xxxxxxx bezpečnostní xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §5, a xxxxxx xxxxxxxxx bezpečnostní xxxxxxxx x
x) xxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxxx xxxxx x xxxxx, xxxxxxxxxxxx xxxxxxxx, xxxxx zvládání xxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx povědomí, x xx xxxxxxx jednou xx xxx xxxx xxxx v souvislosti x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx.
§4
Xxxxxx xxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x d) xxxxxx x xxxxx xxxxxx rizik
a) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x pro xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx kritérií xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx a xxxxxxx xxxxxxxxxx xxxxx, xxxxx xxxxx xx xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, podle §8 x xxxxxxx přílohy č. 1 x xxxx vyhlášce x xxxxxxx zapracuje xx xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx xxxxxxxx xxxxxx x zranitelnosti, xxxxxxx xxxxx dopady xx xxxxxx, xxxxxxx xxxx xxxxxx minimálně x xxxxxxx xxxxx přílohy č. 2 k této xxxxxxxx, xxxx a xxxxxxx přijatelná xxxxxx x xxxxxxxx zprávu x xxxxxxxxx xxxxx x xxxxx,
x) zpracuje xx xxxxxxx bezpečnostních xxxxxx x xxxxxxxx xxxxxxxxx rizik prohlášení x xxxxxxxxxxxxxxxx, které xxxxxxxx xxxxxxx xxxxxxxxx x zavedených xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx a xxxxxx xxxx xxxxxxxx xxxxx, xxxxx xxxxxxxx xxxx x přínosy xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, určení xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx rizik, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x xxxxxxxxxx zdroje, xxxxxx xxxxxx xxxxxxxx x xxxxx xxxxx xxxx riziky x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxx xxxxxx Národním bezpečnostním xxxxxx (dále xxx "Xxxx") x hodnocení xxxxx x x xxxxxxx, xx hodnocení xxxxx aktualizované o xxxx xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx reaktivního xxxx ochranného opatření xxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx, xxxxxx plán zvládání xxxxx.
(2) Orgán x xxxxx uvedená v §3 písm. x) xxxxxx x xxxxx xxxxxx xxxxx
x) stanoví xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx aktiv x pro xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx a hodnotí xxxxxxxxxx xxxxxxxxxx aktiv, xxxxx xxxxx xx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx §8 minimálně x xxxxxxx přílohy č. 1 x xxxx xxxxxxxx x xxxxxxx xxxxxxxxx xx xxxxxx o hodnocení xxxxx x rizik,
c) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx zohlední xxxxxx x xxxxxxxxxxxxx, posoudí xxxxx dopady xx xxxxxxxx aktiva, hodnotí xxxx xxxxxx minimálně x xxxxxxx xxxxx přílohy č. 2 k xxxx xxxxxxxx a xxxxxxxx xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx x aplikovatelnosti, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx a zavedených xxxxxxxxxxxxxx xxxxxxxx,
x) zpracuje x xxxxxx plán xxxxxxxx xxxxx, xxxxx xxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxx osoby xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x informační xxxxxx, xxxxxxx xxxxxx xxxxxxxx a popis xxxxx xxxx identifikovanými xxxxxx x příslušnými xxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxxx xxxxxxx reaktivní a xxxxxxxx opatření xxxxxx Xxxxxx x hodnocení xxxxx x v xxxxxxx, že hodnocení xxxxx xxxxxxxxxxxxx x xxxx zranitelnosti spojené x realizací xxxxxxxxxxx xxxx ochranného xxxxxxxx xxxxxxxx xxxxxxxxx kritéria xxx přijatelnost xxxxx, xxxxxx xxxx xxxxxxxx xxxxx.
(3) Xxxxxx rizik xxxx xxx xxxxxxxxx x xxxxxx způsoby, xxx jak xx xxxxxxxxx x odstavcích 1 x 2, xxxxx xxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx xxxxxxxxx, xx používá xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxxxx xxxxxx xxxxxx xxxxx.
(4) Xxxxx x osoba xxxxxxx x §3 xxxx. x) až e) xxxxxx při hodnocení xxxxx zvažuje zejména xxxx hrozby
a) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx činností, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxx nebo xxxxxxx xxxxxxxxxxx xxxxx programového xxxxxxxx,
x) zneužití identity xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx x xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx útok x komunikační xxxx,
x) xxxxxxxx xxx (xxxxxxxxx xxxx, xxxxxxx, xxxxxxx xxxx),
x) xxxxxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační infrastruktury xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx komunikací xxxx xxxxxxx xxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxx xxxxxxxxxxx modifikace xxxxx,
x) xxxxxx působící xxxxxx x
x) xxxxxxxx xxxx xxxxxxxxx xxxxxx.
(5) Xxxxx x osoba xxxxxxx x §3 písm. x) xx e) xxxxxx xxx xxxxxxxxx xxxxx zvažuje zejména xxxx xxxxxxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx bezpečnostní povědomí xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxxxxx údržba xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxx oprávnění,
e) xxxxxxxxxxxx xxxxxxx při identifikování x odhalení xxxxxxxxxxx xxxxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx,
x) xxxxxxxxxxxx monitorování xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx x neschopnost odhalit xxxxxx xxxxxxxx xxxx xxxxxxx způsoby xxxxxxx x
x) xxxxxxxxxxxx stanovení xxxxxxxxxxxxxx pravidel, nepřesné xxxx xxxxxxxxxxxxx vymezení xxxx x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxxxxxxxx xxxx.
(6) Xxxxx x xxxxx xxxxxxx x §3 písm. x) a x) xxxxxx xxx xxxxxxxxx xxxxx xxxx zvažuje xxxx hrozby
a) porušení xxxxxxxxxxxx politiky, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx xx strany xxxxxxxxxxxxxx kritické informační xxxxxxxxxxxxxx,
x) xxxxxxxxx xx xxxxxx zaměstnanců,
c) xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,
x) xxxxxxxxxx přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx komunikací, xxxxxxx elektrické xxxxxxx xxxx jiných xxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx odbornou xxxxxx,
x) cílený xxxxxxxxxxxx xxxx pomocí xxxxxxxxxx xxxxxxxxxxx, použití xxxxxxxxxxx xxxxxxx a
g) xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx nosičů xxx.
(7) Xxxxx x xxxxx uvedená v §3 xxxx. c) x d) xxxxxx xxx hodnocení xxxxx xxxx zvažuje xxxx xxxxxxxxxxxxx
x) nedostatečná xxxxxxx xxxxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx,
x) xxxxxxxx bezpečnostní xxxxxxxxxxxx,
x) xxxxxxxxxxxx míra xxxxxxxxx xxxxxxxx x
x) xxxxxxxxxxx xxxxxxxx odhalení xxxxxxxxx xx xxxxxx xxxxxxxxxxx.
§5
Xxxxxxxxxxxx politika
(1) Xxxxx x osoba xxxxxxx x §3 písm. x) a d) xxxxxx xxxxxxx bezpečnostní xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) organizační xxxxxxxxxx,
x) xxxxxx xxxxxx x xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx lidských xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxxx,
x) xxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx a xxxxxx,
x) xxxxxxxx xxxxxxxxx x xxxxxx informací,
k) řízení xxxxxxxxxxx xxxxxxxxxxxxx,
x) bezpečné xxxxxxxxx mobilních zařízení,
m) xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx a archivace xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxxx xxxxxxxxx xxxxx,
x) xxxxxxxx x xxxxxxxxx nástroje xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx,
x) xxxxxxx x xxxxxx nástroje pro xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x
x) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxx,
x) xxxxxx xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxx x komunikací,
g) xxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx a xxxxxx,
x) xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxxxxx ochrany,
m) xxxxxxx xxxx xxxxxxxxx xxxxx a
n) nasazení x xxxxxxxxx xxxxxxxx xxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
(3) Orgán x xxxxx xxxxxxx x §3 xxxx. x) až e) xxxxxx xxxxxxxxxx hodnotí xxxxxxxx bezpečnostní xxxxxxxx x aktualizuje xx.
§6
Xxxxxxxxxxx xxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx zavede xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, x rámci xxxxx xxxx xxxxx pro xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxx role x xxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxx systémem xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxx informačním xxxxxxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx xxxxxxxxxxxx xxxx
x) manažer xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxxx bezpečnosti,
c) xxxxxxx xxxxxxxxxxxx bezpečnosti x
x) xxxxxx xxxxxx xxxxx §2 xxxx. x).
(3) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xxxx xxxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxx 2.
(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx, odpovědná xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx a xxxxxxx odbornou xxxxxxxxxxx xxxxx x xxxxxxx xxxxxxxxxxx informací xx xxxx xxxxxxx xxx xxx.
(5) Xxxxxxxxx kybernetické xxxxxxxxxxx xx xxxxx xxxxxxxxxxx xxxxx a xxxxxxxxxxxx xxxxxxxxxxxxxx opatření, xxxxx je xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx s xxxxxxxxxxx bezpečnostní architektury xx dobu xxxxxxx xxx let.
(6) Xxxxxxx xxxxxxxxxxxx bezpečnosti je xxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x prováděním xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx dobu xxxxxxx xxx xxx. Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx vykonává xxxxx xxxx xxxxxxxxx x výkon jeho xxxx je oddělen xx xxxxxx xxxx xxxxxxxxx x odstavci 2 xxxx. x), x) xxxx x).
(7) Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxx xxxxxxx tvořená xxxxxxx, které xxxx xxxxxxxx xxxxxxxx řízením x rozvojem informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xx xxxxxxxx xxxxxxxx na xxxxxx x koordinaci xxxxxxxx spojených s xxxxxxxxxxxxx bezpečností těchto xxxxxxx.
(8) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxx xxxxxxx xxxx, xxxxx xxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 odst. 1 písm. x).
§7
Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) až x) xxxxxx xxxxxx xxxxxxxx xxx xxxxxxxxxx, která xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, a xxxxxxxx xx u xxxxxxxxxx xxxx jiných xxxx, které xx xxxxxxxx xx xxxxxxx, xxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému kritické xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx informačního xxxxxxx. Xxxxxx xxxxxxxx xxxxxxxxxx xx rozvoji, xxxxxxx xxxx zajištění bezpečnosti xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx nebo významného xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx orgán x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxxxxx, jejíž xxxxxxxx xx ustanovení x xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx u xxxxxxxxxx xxxxxxxxx x xxxxxxxx 1 xxxx
x) xxxx xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxx přílohy č. 2 k xxxx xxxxxxxx, xxxxx xxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx smlouvu x xxxxxx xxxxxx, xxxxx xxxxxxx xxxxxxx x úrovně realizace xxxxxxxxxxxxxx opatření x xxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx za xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx opatření, x
x) xxxxxxx xxxxxxxxxx hodnocení xxxxx x xxxxxxxxxxx xxxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxx nebo xx xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxx.
§8
Xxxxxx aktiv
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxx xxxxxx aktiv
a) xxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxx,
x) určí xxxxxxx xxxxx, kteří xxxx xxxxxxxxx za primární xxxxxx, x
x) xxxxxxx xxxxxxxxxx primárních xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x xxxxxx je xx xxxxxxxxxxxx xxxxxx xxxxxxxxx x rozsahu xxxxx přílohy č. 1 x xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx xx xxxxx xxxxxxxxx xxxxxxxx
x) xxxxxx x důležitost xxxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxx,
x) rozsah xxxxxxxx xxxxxxxxx xxxxxxxx x kontrolních činností,
d) xxxxxxxxx xxxxxxxxx, xxxxxxxxxx xxxx xxxxxxxxxxxx zájmů,
e) xxxxx xxxxxxxx ztráty,
f) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x
x) xxxxxx xx zachování xxxxxxx xxxxx nebo xxxxxxx xxxxx pověsti.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxx
x) xxxxxxxxxxxx x eviduje xxxxxxxx xxxxxx,
x) xxxx xxxxxxx xxxxx, kteří xxxx xxxxxxxxx za xxxxxxxx aktiva, a
c) xxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.
(4) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxx
x) xxxxxxx xxxxxxxx xxxxxxx, xxxxx pro xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx xxx, že
1. xxxx způsoby xxxxxxxxxxx xxxxxxxxxxxx úrovní xxxxx,
2. xxxxxxx xxxxxxxx pro xxxxxxxxxx x xxxxxxxx x xxxxxx xxxxx xxxxxx xxxxx, včetně xxxxxxxx xxx bezpečné xxxxxxxxxxxx xxxxxxx x xxxxxxx přenášení xxxxx x
3. xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx,
x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx x
x) xxxx způsoby xxx spolehlivé smazání xxxx xxxxxx xxxxxxxxxxx xxxxxx xxx x xxxxxxx xx xxxxxx xxxxx.
§9
Xxxxxxxxxx xxxxxxxx zdrojů
(1) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) až x) xxxxxx x xxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx
x) stanoví xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, který xxxxxxxx xxxxx, xxxxx a xxxxxx potřebných xxxxxxx x xxxx xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx x xxxxx uvedeny,
b) x xxxxxxx s xxxxxx rozvoje bezpečnostního xxxxxxxx zajistí xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní xxxx x xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx x pravidelných xxxxxxx,
x) xxxxxxx kontrolu xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx strany xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) xxxxxxx vrácení xxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxx x uživateli, xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
(2) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxx x xxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxx a xxxxxx xxxx, xxxxx školení xxxxxxxxxxx.
(3) Xxxxx x xxxxx uvedená x §3 xxxx. c) x x) xxxxxx xxxx
x) stanoví xxxxxxxx xxx xxxxxx xxxx, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx xxxx, xxxx xxxxxxxxxxxxxx nebo xxxxxxxxx,
x) xxxxxxx xxxxxxxx plánu xxxxxxx xxxxxxxxxxxxxx povědomí, xxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) určí xxxxxxxx x postupy xxx xxxxxx případů xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx strany xxxxxxxxx, xxxxxxxxxxxxxx a osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) zajistí změnu xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
§10
Xxxxxx xxxxxxx x xxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx x xxxxx xxxxxx xxxxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx nástrojů xxxxxxxxx x §21 xx 23 xxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxx x xx xxxxxxxx nedostatky xxxxxxx x xxxxxxx x §13.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx e) zákona x rámci xxxxxx xxxxxxx x komunikací xxxx xxxxxxxxx xxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xx xxxxx xxxxxx xxxxxxx provozní xxxxxxxx x postupy.
(3) Xxxxxxxx xxxxxxxx a xxxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) zákona obsahují
a) xxxxx x xxxxxxxxxx xxxx zastávajících bezpečnostní xxxx, administrátorů a xxxxxxxxx,
x) xxxxxxx pro xxxxxxxx x xxxxxxxx xxxxx xxxxxxx, xxx xxxxxxx xxxx obnovení xxxxx systému po xxxxxxx x xxx xxxxxxxx xxxxxxxxx stavů xxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí x xxx xxxxxxx xxxxxxxx x záznamům x xxxxxx xxxxxxxxxx,
x) xxxxxxx xx xxxxxxxxx xxxxx, xxxxx xxxx xxxxxx xxxx xxxxxxx xxx řešení xxxxxxxxxxxxx xxxxxxxxxxx xxxx technických xxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxx a
f) postupy xxx xxxxxxxxx, xxxxxxxxx x řízení kapacity xxxxxxxx x xxxxxxxxxxx xxxxxx.
(4) Xxxxxx xxxxxxx xxxxxx x xxxxx xxxxxxx v §3 xxxx. c) xx x) zákona xxxxxxx x xxxxxxxxx pravidelného xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx záloh.
(5) Xxxxxx provozu orgánu x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxx x
x) xxxxxxxxx xxxxxxxx vývojového, xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) řešení reaktivních xxxxxxxx vydaných Xxxxxx xxx, že xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a d) xxxxxx
1. xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xx informační systém xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxxx systém xxxxxxxx informační infrastruktury x xx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, vyhodnotí xxxxx xxxxxxxxx xxxxxx x xxx xxxxxxxxxx xxxxxxx xx xxxxxx Xxxxx x
2. xxxxxxx xxxxxx xxxxxxxx provedení xxxxxxxxxxx opatření, xxxxx xxxxxxxxxxxx možné xxxxxxxxx xxxxxx, x xxxx xxxxxx xxxx xxxx xxxxxxxxx.
(6) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx x rámci xxxxxx xxxxxxxxxx
x) zajišťuje bezpečnost x integritu xxxxxxxxxxxxx xxxx a xxxxxxxxxx xxxxxxxxxxxxx služeb xxxxx §17,
x) xxxx pravidla x xxxxxxx pro xxxxxxx informací, xxxxx xxxx xxxxxxxxx komunikačními xxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxx xx xxxxxxx pravidel xxxxxxxxxxx xxxxxxxx předpisy xx xxxxxxxxxx zajištění xxxxxxxxxxx informací x xxxx xxxxxxxx xxxxxxxxxxx x
x) x ohledem xx xxxxxxxxxxx aktiv xxxxxxx xxxxxx a xxxxxxxxx informací xx xxxxxxx písemných xxxxx, xxxxxxx součástí xx xxxxxxxxxx x bezpečnosti xxxxxxxxx.
§11
Xxxxxx xxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xx xxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxx řídí xxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačnímu systému xxxxxxxx xxxxxxxxxx infrastruktury x významnému xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxx uživateli xxxxxxxxxxx xxxxxxxxxxxxx.
(2) Orgán a xxxxx uvedená x §3 písm. x) xx x) xxxxxx xxxxxx xxxxxxxx, která xxxxxx x zajištění xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx pro xxxxxxxxxx uživatelů x xxxxxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačního systému xxxxx §18 x 19, x xxxxx xxxxx ve xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(3) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx xxxx x xxxxx xxxxxx xxxxxxxx
x) xxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxx přidělování xxxxxxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx x xxxxxxx přístupová xxxxxxxxx x souladu x xxxxxxxxx xxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx přístupových xxxxxxxxx včetně rozdělení xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx nebo xxxxxx,
x) xxxxxxx nástroj xxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx §18 x xxxxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §19 x
x) xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxx x bezpečnostní xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxx orgán a xxxxx uvedená x §3 písm. c) x x) xxxxxx xxxxxxxxxxx.
§12
Akvizice, xxxxx x xxxxxx
(1) Orgán x xxxxx xxxxxxx v §3 xxxx. x) xx e) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxx xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx xxxxxxx x xxxxxx akvizicí, vývojem x xxxxxxx x xxxxxx je xx xxxxxxxx xxxxxxxx, xxxxxx x xxxxxx xxxxxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxxxxxxx, xxxxxxx x xxxx xxxxxx xxxxxxxxxxx x akvizicí, xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx; pro xxxxxxx xxxxxxxxx a řízení xxxxx xx metodiky xxxxx §4 odst. 1 xxxx. x) xxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx prostředí x xxxxxxx xxxxxxx xxxxxxxxxxx testovacích xxx x
x) provádí xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxx xxxxxxxxx xx xxxxxxx.
§13
Xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx
x) přijme nezbytná xxxxxxxx, která xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xx strany xxxxxxxxx, xxxxxxxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx xxxx x o xxxxxxxxxx xxxx xxxxxxx,
x) xxxxxxxx xxxxxxxxx pro xxxxxxxxxxx oznámených xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí xxxxxxxxxxxx xxxxxxxxxxx nástroji xxxxx §21 až 23, xxxxxxx jejich xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx bezpečnostní incidenty,
c) xxxxxxx klasifikaci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxx xxx xxxxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu, xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle §32 a xxxxxxx xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx,
x) xxxxxxxx x xxxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx x na xxxxxxx vyhodnocení xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx x zamezení xxxxxxxxx xxxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx a
e) dokumentuje xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
§14
Řízení kontinuity činností
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) až x) zákona x xxxxx xxxxxx kontinuity xxxxxxxx xxxxxxx
x) xxxxx x xxxxxxxxxx xxxxxxx xxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxx xxxxxx xxxxxxxxxx xxxxxxxx formou xxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx služeb, xxxxx xx xxxxxxxxxx xxx xxxxxxx, xxxxxx a xxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx informačního xxxxxxx,
2. xxxx obnovení xxxxx, xxxxx xxxxx xxxx xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx minimální xxxxxx poskytovaných xxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx, x
3. xxxx xxxxxxxx xxx xxxx xxxxxxx, ke xxxxxxx xxxxx obnovena xxxx xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx, a
c) xxxxxxxxx řízení xxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx b).
(2) Orgán x osoba uvedená x §3 xxxx. x) a x) xxxxxx xxxx
x) xxxxxxxxx x dokumentuje možné xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx a xxxxxxx xxxxx xxxxxx související x xxxxxxxxx xxxxxxxxxx xxxxxxxx,
x) xxxxxxx, aktualizuje x xxxxxxxxxx testuje xxxxx xxxxxxxxxx činností xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxxx bezpečnostnímu xxxxxxxxx x využívá xxxxxxx xxx xxxxxxxxxxx xxxxxx dostupnosti xxxxx §26 x
x) xxxxxxx x xxxxxxxxxxx postupy xxx xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx xxxxx §13 x 14 xxxxxx, xx xxxxxxx xxxxxxxx
1. xxxxxxxx hodnocení xxxxx xxxxxxxxx opatření,
2. xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
3. xxxxxxxxxxx xxxxxxxxxx negativních xxxxxx xx xxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.
§15
Xxxxxxxx x xxxxx xxxxxxxx informační xxxxxxxxxxxxxx x významných informačních xxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona x rámci xxxxxxxx x xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx (xxxx jen "audit xxxxxxxxxxxx xxxxxxxxxxx")
x) posuzuje xxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxx, xxxxxxxxx předpisy, jinými xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxxx xx x informačnímu systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury a xxxxxxxxxx informačnímu systému x xxxx xxxxxxxx xxx xxxx prosazování x
x) xxxxxxx a xxxxxxxxxxx pravidelné xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x výsledky těchto xxxxxxx xxxxxxxx x xxxxx xxxxxxx bezpečnostního xxxxxxxx x xxxxx xxxxxxxx rizik.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxxxxxxxx provedení xxxxxx xxxxxxxxxxxx bezpečnosti xxxxxx x odbornou xxxxxxxxxxx xxxxx §6 xxxx. 6, xxxxx xxxxxxx správnost a xxxxxxxx xxxxxxxxxx bezpečnostních xxxxxxxx.
(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) x x) zákona xxxx xxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x komunikační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx provádí kontrolu xxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx nástrojů x xxxxxx xxxxxxx xxxxxxxxxxx a xxxxxxx xx xxxxxxxx xxxxxxxxxxxxx.
XXXXX XX
XXXXXXXXX OPATŘENÍ
§16
Fyzická xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxx nezbytná xxxxxxxx k xxxxxxxx xxxxxxxxxxxxx vstupu xx xxxxxxxxxx prostor, xxx xxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxx technická xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx x zásahům xx xxxxxxxxxx xxxxxxx, xxx xxxx xxxxxxxx xxxxxxxxx x umístěna xxxxxxxxx xxxxxx xxxxxxxxxxxx systému xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x
x) xxxxxxxxx xxxxxxxxx, xxxxxxx xxxx xxxxxxxx xxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx.
(2) Orgán x xxxxx xxxxxxx v §3 xxxx. c) x d) xxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxx bezpečnosti
a) xxx xxxxxxxxx ochrany na xxxxxx xxxxxxx a
b) xxx xxxxxxxxx xxxxxxx x xxxxx objektů xxxxxxxxxx zvýšené xxxxxxxxxxx xxxxxxxxxx xxxxxxx, ve xxxxxxx jsou xxxxxxxx xxxxxxxxx aktiva xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx.
(3) Xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxx zejména
a) xxxxxxxxxx xxxxxxxx xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx,
x) prostředky xxxxxxxxx xxxxxxxx požárů,
d) xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxx xxxxxxxx xxxxxx,
x) xxxxxxxx systémy,
g) xxxxxxxx xxx zajištění xxxxxxx xxxx selháním xxxxxxx xxxxxxxxxxxx napájení x
x) xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx provozních xxxxxxxx.
§17
Xxxxxxx pro xxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxx xxxxxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx sítě, xxxxx xxxx xxx xxxxxxx xxxxxx xxxx xxxxx, x xxxxxxx xxxxxxxxxxx xxxx, xxxxx xx xxx správou xxxxxx xxxx xxxxx, xxxxxx
x) xxxxxx xxxxxxxxxx xxxxxxxx mezi xxxxxx x xxxxxxx xxxx,
x) xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxxxxxx xxx xxxx xxxxxxxxxxx xxxx xxxx xxxxxxxxxxx xx xxxxxxx xxxxxxxxxxx aplikací xxxxxxxxxx x vnější xxxx x k zamezení xxxxx xxxxxxxxxx xxxxxxx xxxx s xxxxxx xxxx,
x) xxxxxxxxxxxxxx xxxxxxxxxx (§25) xxx xxxxxxxx xxxxxxx, vzdálenou xxxxxx xxxx pro přístup xxxxxx bezdrátových xxxxxxxxxxx x
x) xxxxxxxx pro xxxxxxxxxx nebo blokování xxxxxxxxxxx xxx, které xxxxxxxxxxxx xxxxxxxxxx xx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx.
(2) Orgán x xxxxx xxxxxxx v §3 písm. c) x x) xxxxxx xxxx xxxxxxx xxxxxxxx xxx ochranu xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxx, xxxxx zajistí xxxx xxxxxxxxxx.
§18
Xxxxxxx pro xxxxxxxxx xxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx používá nástroje xxx ověření xxxxxxxx xxxxxxxxx a administrátorů xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významného xxxxxxxxxxxx xxxxxxx.
(2) Nástroj xxx xxxxxxxxx xxxxxxxx xxxxxxxxx x administrátorů xxxxxxxxx ověření xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxx xxxxxxxxx xxxxxx xxxxxxx x informačním xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxx xxxxxxxxxxx xxxxxxx.
(3) Xxxxxxx pro xxxxxxxxx identity uživatelů, xxxxx používá autentizaci xxxxx xxxxxx, xxxxxxxxx
x) xxxxxxxxx xxxxx xxxxx xxx xxxxx,
x) xxxxxxxxx xxxxxxxxx xxxxx tak, xx heslo bude xxxxxxxxx xxxxxxx 3 x xxxxxxxxxxxxx xxxx xxxxxxxxx
1. xxxxxxx xxxxx xxxxx xxxxxxx,
2. xxxxxxx xxxxx xxxx xxxxxxx,
3. xxxxxxx xxxxx číslici, xxxx
4. nejméně xxxxx xxxxxxxxx xxxx odlišný xx xxxxxxxxx xxxxxxxxx x xxxxxx 1 xx 3,
x) xxxxxxxxx xxxx pro povinnou xxxxxx hesla xxxxxxxxxxxxx xxx dnů; tento xxxxxxxxx xxxx vyžadován xxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(4) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) x d) xxxxxx xxxx
x) xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxx, xxxxx
1. xxxxxx opětovnému xxxxxxxxx xxxxx xxxxxxxxxxx xxxxx x xxxxxxxx xxxx změn xxxxx xxxxxxx xxxxxxxxx během xxxxxxxxxxx období, xxxxx xxxx xxx xxxxxxx 24 xxxxx, a
2. xxxxxxx xxxxxxxx ověření xxxxxxxx xx xxxxxx xxxx nečinnosti x
x) xxxxxxx nástroj pro xxxxxxxxx identity administrátorů. X případě, xx xxxxx xxxxxxx xxxxxxx xxxxxxxxxxx heslem, xxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxx patnáct xxxxx xxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx. x) a x).
(5) Xxxxxxx pro xxxxxxxxx identity xxxxxxxxx xxxx xxx xxxxxxxx x xxxxxx xxxxxxx, xxx xxxx xxxx xxxxxxxxx v xxxxxxxxxx 3 až 5, xxxxx xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx e) zákona xxxxxxxxx, xx používá xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx vyšší úroveň xxxxxxxxx xxxxx.
§19
Xxxxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx používá xxxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx xxxxxx oprávnění
a) pro xxxxxxx x xxxxxxxxxxx xxxxxxxxx a xxxxx x
x) pro čtení xxx, pro xxxxx xxx a xxx xxxxx oprávnění.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a d) xxxxxx dále xxxxxxx xxxxxxx pro řízení xxxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxx x xxxxxxxxxxxxxx potřebami x výsledky hodnocení xxxxx.
§20
Xxxxxxx xxx xxxxxxx xxxx xxxxxxxxx kódem
Orgán x xxxxx uvedená x §3 xxxx. x) až x) xxxxxx pro řízení xxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx, xxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxx
x) xxxxxxxxxx xxxx xxxxxxx xxxx x vnější xxxx,
x) xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxx x
x) xxxxxxxxxx xxxxxx,
xxxxxxx xxxxxxx pravidelnou x xxxxxxx xxxxxxxxxxx xxxxxxxx xxx ochranu xxxx xxxxxxxxx xxxxx, xxxx xxxxxxx x xxxxxxxx.
§21
Xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systémů, xxxxxx xxxxxxxxx x administrátorů
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) zákona používá xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačního xxxxxxx, xxxxx xxxxxxx
x) sběr xxxxxxxxx o xxxxxxxxxx x bezpečnostních xxxxxxxxxx, xxxxxxx xxx xxxxxxxx, xxxxx x čas, xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, xxxxx xxxxxxx xxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx a xxxxx xxxxxxxx a xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx a
b) xxxxxxx xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxx čtením xxxx xxxxxx.
(2) Xxxxx x xxxxx uvedená v §3 xxxx. x) xx x) xxxxxx xxxx xxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x významného xxxxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxxxxxx a odhlášení xxxxxxxxx a xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxx xx xxxxx přístupových oprávnění,
d) xxxxxxxxxxx xxxxxxxx x xxxxxxxx nedostatku xxxxxxxxxxxx xxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxx xxxx xxxxxxx xxxxxxx technických xxxxx,
x) xxxxxxxx x xxxxxxxx x xxxxxxxxxx, xxxxxx x xxxxxxxxxx xx xxxxxxx x činnostech x xxxxx xxxxxxxxx xxxxxxxx xxx zaznamenávání xxxxxxxx a
h) xxxxxxx xxxxxxxxxx identifikace x xxxxxxxxxxx xxxxxx xxxxx xxxxx, xxxxx xxxxxx x xxxxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx podle xxxxxxxx 2 xxxxxxxx xxxxxxx xx xxxx 3 xxxxxx.
(4) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxxxxxxx xxxxxxx xxxxxx xx 24 xxxxx xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx technických aktiv xxxxxxxxx xx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
§22
Xxxxxxx xxx detekci xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx xx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxx x výsledků xxxxxxxxx xxxxx x xxxxx xxxxxxx xxxxxxx, xxxxxxxx x xxxxxxxx zablokování xxxxxxxxxx mezi xxxxxxx xxxxxxxxxxx xxxx x xxxxxx xxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx dále xxxxxxx xxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx zajistí ověření, xxxxxxxx x případně xxxxxxxxxxx xxxxxxxxxx
x) x xxxxx xxxxxxx xxxxxxxxxxx xxxx x
x) serverů xxxxxxxxx xx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.
§23
Xxxxxxx xxx xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxxxxxx xxxxxxx xxx xxxx a xxxxxxxx vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx
x) xxxxxxxxxxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) poskytování xxxxxxxxx xxx xxxxxx xxxxxxxxxxxx role o xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx v xxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx xxxx é xxxxxxxxxx infrastruktury x
x) xxxxxxxxxxx vyhodnocování kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx incidentů, včetně xxxxxxxx xxxxxxxx určených xxxxxxxxxxxxxx xxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx xxxx zajistí
a) xxxxxxxxxxx aktualizaci nastavení xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx, xxx xxxx xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxx xxxxxxx xxxxxxxxx varování, x
x) xxxxxxxxx informací, které xxxx připraveny xxxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx optimální xxxxxxxxx bezpečnostních opatření xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§24
Xxxxxxxxx xxxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx aplikací, xxxxx xxxx xxxxxxxxx x vnější sítě, x to xxxx xxxxxx uvedením xx xxxxxxx x po xxxxx xxxxxxx xxxxx xxxxxxxxxxxxxx xxxxxxxxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx v xxxxx xxxxxxxxx bezpečnosti xxxxxxx trvalou ochranu
a) xxxxxxxx x xxxxxxxxx xxxxxxxxxx z xxxxxx xxxx před neoprávněnou xxxxxxxx, popřením provedených xxxxxxxx, xxxxxxxxxxxx nebo xxxxxxxxxxxxxxx xxxxxx x
x) xxxxxxxxx xxxx jejich xxxxxxxxxxxx, xxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxx.
§25
Xxxxxxxxxxxxxx xxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx
x) xxx xxxxxxxxx xxxxxxxxxxxxxx ochrany xxxxxxx
1. xxxxxx xxxxxxx x xxxxxxx na xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx a
2. pravidla xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx xxxx xxx uložení xx xxxxxxx xxxxxxxx nebo xxxxxxxxxxx xxxxxxxxx nosiče xxx x
x) x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx ochranu xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxx xxx x xxxxxxxxx identifikaci xxxxx xx xxxxxxxxx xxxxxxxx.
(2) Xxxxx a xxxxx xxxxxxx v §3 písm. x) x x) xxxxxx xxxx
x) xxxxxxx xxx xxxxxxxxx kryptografických xxxxxxxxxx xxxxxx správy xxxxx, xxxxx xxxxxxx generování, xxxxxxxxxx, xxxxxxxx, xxxxxxxxx, xxxxx, ničení, kontrolu x xxxxx xxxxx, x
x) xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxx; x xxxxxxx xxxxxxxxx s xxxxxxxxxxx xxxxxxxxx na xxxxxxxxxxxxxx algoritmy uvedenými x příloze č. 3 x xxxx vyhlášce xxxx xxxxxx xxxxxxx s xxxxx xxxxxxxxxx.
§26
Xxxxxxx xxx zajišťování xxxxxx xxxxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx e) xxxxxx x souladu x bezpečnostními potřebami x výsledky hodnocení xxxxx xxxxxxx nástroj xxx xxxxxxxxxxx úrovně xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x osoba uvedená x §3 xxxx. x) x d) xxxxxx xxxxxxx xxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx informací, xxxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxx xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentům, xxxxx xx xxxxx xxxxxx xxxxxxxxxx, x
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx
1. xxxxxxxx xxxxxxxxxx x návrhu xxxxxx x
2. xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx aktiv x xxxxxxx xxxx.
§27
Xxxxxxxxxx xxxxxxxxxxxx a xxxxxxxx systémů
Orgán x xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx x řídicích xxxxxxx, xxxxx xxxx informačním xxxxxxxx kritické informační xxxxxxxxxxxxxx nebo komunikačním xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxx xxxxxx součástí, používá xxxxxxxx, které xxxxxxx
x) xxxxxxx xxxxxxxxx xxxxxxxx x síti x xxxxxxxxx průmyslových a xxxxxxxx systémů,
b) xxxxxxx xxxxxxxxx a vzdáleného xxxxxxxx x síti xxxxxxxxxxxx x řídicích xxxxxxx,
x) ochranu xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx x řídicích systémů xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxx po xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu.
HLAVA XXX
XXXXXXXXXXXX DOKUMENTACE
§28
Bezpečnostní xxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. c) x x) xxxxxx xxxx a aktualizuje xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxx xxxxx §5 xxxx. 1,
x) xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §3 odst. 1 xxxx. f),
c) xxxxxx z přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx podle §3 xxxx. 1 písm. x),
x) xxxxxxxx xxx xxxxxxxxxxxx x hodnocení xxxxx a xxx xxxxxxxxxxxx a hodnocení xxxxx,
x) zprávu o xxxxxxxxx xxxxx x xxxxx,
x) prohlášení x xxxxxxxxxxxxxxxx,
x) xxxx xxxxxxxx xxxxx,
x) plán xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx bezpečnostních incidentů xxxxx §13 písm. x),
x) strategii řízení xxxxxxxxxx xxxxxxxx xxxxx §14 xxxx. 1 xxxx. c) x
x) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx podle §15 xxxx. 1 xxxx. a).
(2) Orgán x xxxxx uvedená x §3 xxxx. x) xxxxxx vede x aktualizuje xxxxxxxxxxxx xxxxxxxxxxx, která obsahuje
a) xxxxxxxxxxxx xxxxxxxx xxxxx §5 xxxx. 2,
x) xxxxxxxx xxx identifikaci x hodnocení xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxx §4 odst. 2 písm. x),
x) xxxxxx o xxxxxxxxx xxxxx a xxxxx xxxxx §4 odst. 2 písm. b) x c),
d) xxxxxxxxxx x aplikovatelnosti xxxxx §4 xxxx. 2 xxxx. x),
x) plán xxxxxxxx xxxxx xxxxx §4 xxxx. 2 xxxx. e),
f) plán xxxxxxx bezpečnostního povědomí xxxxx §9 odst. 1 xxxx. a),
g) xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx podle §13 xxxx. e),
h) xxxxxxxxx xxxxxx xxxxxxxxxx činností xxxxx §14 odst. 1 xxxx. x) x
x) přehled právních xxxxxxxx, vnitřních předpisů x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxx §15 xxxx. 1 písm. x).
(3) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx xxx, xxx xxxxxxx x xxxxxxxxxxx činnostech xxxx xxxxx, čitelné, xxxxxx xxxxxxxxxxxxxxxxx a xxx xx daly snadno xxxxxxxx. Xxxxxxxx xxxxxxxx x identifikaci, uložení, xxxxxxx, vyhledání, době xxxxxxxxx x xxxxxxxxxx xxxxxxx o xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx dokumentace xx xxxxxxxxx x příloze č. 4 x xxxx xxxxxxxx.
§29
Xxxxxxxxx xxxxxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx, xxxxx xxxxxxxxxx systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx systém xx xxxxx xxxxxxx xx rozsahu xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxx xxxxxxxxxxxx xxxxx příslušné xxxxxxxxx xxxxx1) akreditovaným xxxxxxxxxxxxx xxxxxxx, a která xxxx xxxxxxxxx xxxxxxxxxx
x) xxxxx rozsahu xxxxxxx xxxxxx xxxxxxxxxxx informací,
b) xxxxxxxxxx xxxxxxxx x xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxx metody hodnocení xxxxx x xxxxxx x xxxxxxxxx xxxxx,
x) xxxxxxxxxx o xxxxxxxxxxxxxxxx,
x) xxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx technické xxxxx zabývající se xxxxxxxxxxx xxxxxxxxx1),
x) xxxxxx x přezkoumání systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx souvisejících vstupů x xxxxxxx přezkoumání x
x) xxxxxx z xxxxxx provedených xxxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx o xxxxxxx xxxxxxxxxx xxxxxx s xxxxxxxxxx xxxxxx,
xxxxxxx xxxxxxxxx xx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx x této xxxxxxxx.
ČÁST TŘETÍ
KYBERNETICKÝ XXXXXXXXXXXX XXXXXXXX
§30
Xxxx kybernetických bezpečnostních xxxxxxxxx
(1) Xxxxx příčiny xxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx typů
a) kybernetický xxxxxxxxxxxx incident xxxxxxxxx xxxxxxxxxxxxx útokem xxxx xxxxx xxxxxxxx xxxxxxx x xxxxxxx xx xxxxxxx xxxx x xxxxxxx xxxxxxxxxxx služeb,
b) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx,
x) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx trvale xxxxxxxxxx xxxxxx x
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx.
(2) Xxxxx xxxxxx xxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx do xxxxxxxxxxxxx typů
a) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx aktiv,
b) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx,
x) kybernetický xxxxxxxxxxxx xxxxxxxx způsobující narušení xxxxxxxxxxx xxxxx, xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxx x) xx x).
§31
Kategorie xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx se xxxxx xxxxxxxx a xxxxxxxxxxx xxxxxxx kybernetické bezpečnostní xxxxxxxxx xxxx do xxxxxxxxxxxxx xxxxxxxxx
x) Kategorie XXX - xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx xxxxx a xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx s tím, xx xxxx xxx xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx dalšímu xxxxxx xxxxxxxxxxxxxx bezpečnostního incidentu xxxxxx xxxxxxxxxxxx vzniklých x xxxxxxxxxxxxx xxxx.
x) Xxxxxxxxx II - xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx narušena bezpečnost xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x xxx, xx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx kybernetického xxxxxxxxx xxxxxx minimalizace xxxxxxxxx škod.
c) Xxxxxxxxx X - xxxx xxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, při xxxxxx xxxxxxx k méně xxxxxxxxxx xxxxxxxx bezpečnosti xxxxxxxxxxxxx služeb xxxx xxxxx. Jeho xxxxxx xxxxxxxx xxxxxx obsluhy x xxx, že xxxx xxx vhodnými xxxxxxxxxx xxxxxxx další xxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxxxxx xxxxxxxxx xxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxx kategorizaci xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx podle odstavce 1 xxxxxxxx
x) důležitost xxxxxxxxx xxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného informačního xxxxxxx,
x) dopady xx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury, xxxx významného informačního xxxxxxx,
x) xxxxxx xx xxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, komunikačními xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x
x) xxxxxxxxxxxxx xxxxx a xxxxx xxxxxx.
§32
Xxxxx x náležitosti xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 písm. x) xx e) xxxxxx xxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx
x) v elektronické xxxxxx xxxxxxxxxxxxxxx
1. xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx,
2. xxxxxx xx adresu xxxxxxxxxxxx pošty Xxxxx xxxxxx pro xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, zveřejněné xx xxxxxxxxxxxxx stránkách Xxxxx,
3. xxxxxx xxxxxx do xxxxxx schránky Xxxxx, xxxx
4. xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx, jehož xxxxx je xxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx, anebo
b) x xxxxxxxx podobě xx xxxxxx Xxxxxxxxx centra xxxxxxxxxxxx xxxxxxxxxxx, zveřejněné xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxx x xxxxxxxx xxxxxx xx xxxxxx xxxxx x xxxxxxxxx, xxx nelze xxxxxx xxxxx xx xxxxxxx uvedených x xxxxxxxx 1 xxxx. x).
(3) Xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxx xxxxxxx x příloze č. 5 x této xxxxxxxx.
XXXX XXXXXX
XXXXXXXXX XXXXXXXX X KONTAKTNÍ ÚDAJE
§33
Reaktivní xxxxxxxx
Xxxxx x osoba xxxxxxx x §3 xxxx. x) až x) zákona xxxxxx xxxxxxxxx xxxxxxxxxxx opatření x xxxx výsledek xx xxxxxxxxx, xxxxx xxxx je xxxxxx x příloze č. 6 x xxxx xxxxxxxx.
§34
Kontaktní xxxxx
Xxxxx x xxxxx xxxxxxx x §3 zákona oznamuje xxxxxxxxx údaje xx xxxxxxxxx, jehož xxxx xx xxxxxx v příloze č. 7 x xxxx xxxxxxxx. Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) zákona xxxxxxxx kontaktní údaje xxxxxx xxxxxxxx v §32 xxxx. 1 xxxx. a).
XXXX XXXX
XXXXXXXX
§35
Xxxx vyhláška xxxxxx xxxxxxxxx xxxx 1. xxxxx 2015.
Xxxxxxx:
Xxx. Xxxxxxxx x. x.
Příloha č. 1 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx x xxxxxx xxxxxxxxxxx aktiv
Pro xxxxxxxxx důležitosti xxxxx xxxx xxxxxxx stupnice x xxxxxxx úrovních. Xxxxx xxxx osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx může xxxxxxxx odlišný xxxxx xxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxx xxxx xx xxxxxx x xxxx xxxxxxx, xxxxxx-xx jednoznačné xxxxx xxxx xx používaným xxxxxxxx xxxxxxxxx důležitosti xxxxx a xxxxxxxxxx x xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx aktiv, xxxxx xxxx uvedeny x xxxx xxxxxxx.
X xxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx je xxxxxxxxx xxxxxxx xxx úrovně xxxxx x xxxxxxx, xxxx xxxxxx xxxxxx x xxxxxxxx.
Xxxxxxxx pro xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxx jsou xxxxxxx přístupná xxxx xxxx xxxxxx xx xxxxxxxxxx (např. na xxxxxxx xxxxxx č. 106/1999 Sb., x xxxxxxxxx xxxxxxxx x xxxxxxxxxx, ve xxxxx xxxxxxxxxx xxxxxxxx). Xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx v §3 xxxx. c) až x) xxxxxx. |
Xxxx vyžadována xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx a xxxxx xxxx-xxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx, xxxxxxx aktiv xxxx vyžadována xxxxxx xxxxxxx předpisem xxxx xxxxxxxx xxxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxx xxxx využívány xxxxxxxxxx xxx xxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxx nejsou veřejně xxxxxxxxx a xxxxxx xxxxxxx je vyžadována xxxxxxxx předpisy, xxxxxx xxxxxxxx nebo smluvními xxxxxxxxxx (xxxx. xxxxxxxx xxxxxxxxx podle xxxxxx č. 89/2012 Sb., xxxxxxxx xxxxxxx, xxxxxx údaje podle xxxxxx č. 101/2000 Sb., o xxxxxxx osobních údajů, xx xxxxx xxxxxxxxxx xxxxxxxx). |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx řízení x xxxxxxxxxxxxx přístupu. Xxxxxxx xxxxxxxxx vnější xxxxxxxxxxx xxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxx xxx rámec předchozí xxxxxxxxx (xxxx. xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxx xxxxx). |
Xxx xxxxxxx xxxxxxxxxx je xxxxxxxxxx xxxxxxxx osob, které x xxxxxxx xxxxxxxxxxx, x xxxxxx xxxxxxx xxxxxxxxxxx zneužití aktiv xx xxxxxx xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx jsou xxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx. |
Xxxx xxxxxxxxxx xxxxx ochrana. |
|
Střední |
Aktivum xxxx xxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx aktiva může xxxx x xxxxxxxxx xxxxxxxxxxx zájmů orgánu x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxx se xxxxxxxx xxxx xxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx (např. omezení xxxxxxxxxxxx xxxx xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxxxx xxxx x poškození xxxxxxxxxxx zájmů xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x podstatnými xxxxxx xx primární xxxxxx. |
Xxx ochranu integrity xxxx využívány xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx x xxxxxxxxxx xxxxxxxx xxxxx provádějící xxxxx. Xxxxxxx integrity xxxxxxxxx xxxxxxxxxxx vnějšími komunikačními sítěmi xx xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx vyžaduje xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx x velmi xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx orgánu x xxxxx uvedené x §3 xxxx. x) xx x) xxxxxx x xxxxxxx a xxxxx xxxxxxx xxxxxx xx xxxxxxxx aktiva. |
Pro ochranu xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx jednoznačné xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (xxxx. xxxxxx xxxxxxxxxxx xxxxxxxxxxx podpisu). |
Stupnice xxx xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xxxx xxxxxxxx a v xxxxxxx xxxxxxx xx xxxxx xxxxxxxxxx delší xxxxxx období xxx xxxxxxx (cca xx 1 týdne). |
Pro xxxxxxx xxxxxxxxxxx xx postačující xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx nemělo xxxxxxxxx dobu xxxxxxxxxx xxx, xxxxxxxxxxxxx xxxxxxx xxxx x xxxxxxx xxxxxxxx zájmů orgánu x osoby xxxxxxx x §3 xxxx. x) až x) xxxxxx. |
Xxx xxxxxxx dostupnosti xxxx využívány xxxxx xxxxxx xxxxxxxxxx x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx dobu xxxxxxxx xxxxx. Jakýkoli xxxxxxx xx nutné xxxxx xxxxxxxxxx, xxxxxxx xxxx x xxxxxxx xxxxxxxx zájmů orgánu x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx. Xxxxxx xxxx xxxxxxxxxx xxxx xxxxx xxxxxxxx. |
Xxx xxxxxxx dostupnosti jsou xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx xxxx xxx xxxxxxxxx zásahy xxxxxxx xxxx výměnou technických xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx přípustné x x krátkodobá xxxxxxxxxxxx (x xxxx xxxxxxxx xxxxx) xxxx x xxxxxxx ohrožení zájmů orgánu x osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx. Xxxxxx jsou xxxxxxxxxx xxxx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx záložní xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx je xxxxxxxxxx x automatizovaná. |
Xxxxxxx č. 2 x vyhlášce x. 316/2014 Xx.
Xxxxxxxxx rizik
Hodnocení xxxxx xx xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxx dopad, hrozba x xxxxxxxxxxxx.
Xxx xxxxxxxxx xxxxx xxx xxxxxx xxxxxxx tuto xxxxxx
xxxxxx = xxxxx x xxxxxx x xxxxxxxxxxxx.
Xxxxxxxxxxx xxxxxx xxxxxx xxx xxxxxx xxxxxx xx xxxxxxxxx součástí metodiky xxx identifikaci x xxxxxxxxx rizika
|
Stupnice pro xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxx xx x xxxxxxxx xxxxxxx xxxxxx a xxxxxx xxxxxxx x xxxxx xxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxx x) 10 xxxxxxxxx xxxx x xxxxxxxxx hospitalizací xx xxxx xxxxx než 24 hodin nebo b) xxxxxxxx nebo materiální xxxxxx xx 5 000 000 Xx xxxxx x) xxxxxxxxxxx xxxxx na xxxxxxxxx x rozsáhlým omezením xxxxxxxxxx služeb xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxxx 250 xxxx. |
|
Xxxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx x x xxxxxxxx xxxxxxx xxxxxx. Xxxxxx xxxxxxxxxx škod se xxxxxxxx x rozmezí a) xx 10 xxxxxxx xxxx xx 11 xx 100 xxxx x následnou hospitalizací xx xxxx delší xxx 24 xxxxx xxxx x) finanční xxxx xxxxxxxxxx xxxxxx xx 5&xxxx;000&xxxx;000 Xx xx 50&xxxx;000&xxxx;000 Xx anebo c) xxxxxxxxxxx dopad xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx jiného xxxxxxxxx xxxxxx do xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xx 251 xx 2 500 xxxx. |
|
Xxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx, xxx xxxxxx xxxx katastrofický. Rozsah případných xxxx xx pohybuje x xxxxxxx x) xx 11 xx 100 xxxxxxx xxxx od 101 do 1 000 xxxx s xxxxxxxxx hospitalizací xx xxxx delší xxx 24 xxxxx nebo b) xxxxxxxx xxxx xxxxxxxxxx xxxxxx od 50 000 000 Xx do 500 000 000 Xx xxxxx x) xxxxxxxxxxx xxxxx na xxxxxxxxx x rozsáhlým xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx každodenního života xxxxxxxxxxxxx xx 2 501 xx 25&xxxx;000 xxxx. |
|
Xxxxxxxx |
Xxxxx xx xxxxxx xxxxxxxx, xxxxxx a xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xx xxxxxxxx v xxxxxxx x) 10 a více xxxxxxx x 1 001 x xxxx xxxx x xxxxxxxxx xxxxxxxxxxxxx xx dobu xxxxx xxx 24 xxxxx nebo b) finanční xxxx xxxxxxxxxx ztráty xxxxxxxxxxx 500&xxxx;000&xxxx;000 Kč xxxxx x) xxxxxxxxxxx dopad xx xxxxxxxxx x xxxxxxxxx xxxxxxxx nezbytných xxxxxx nebo xxxxxx xxxxxxxxx xxxxxx do xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxx xxx 25 000 xxxx. |
|
Xxxxxxxx pro xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx xxxx xx málo pravděpodobná. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxx xxxxxxxx xxx xxxxxx za 5 xxx. |
|
Xxxxxxx |
Xxxxxx je málo xxxxxxxxxxxxx xx pravděpodobná. Xxxxxxxxxxxxx realizace xxxxxx xx v xxxxxxx xx 1 xxxx xx 5 xxx. |
|
Xxxxxx |
Xxxxxx xx pravděpodobná xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx hrozby je x rozpětí xx 1 xxxxxx xx 1 xxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx pravděpodobná xx xxxxxxxx jistá. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx xxxxxxxx xxx xxxxxx xx xxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx xxxx xx xxxxxxxx xxxxxxxxxxxxx xxxx pravděpodobné. Xxxxxxxx kvalitní xxxxxxxxxxxx xxxxxxxx, které jsou xxxxxxx včas xxxxxxxxx xxxxx slabiny xxxx xxxxxxxx xxxxxx o xxxxxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxxxxxx xx xxxx pravděpodobná xx xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxxxxx xx pravidelně xxxxxxxxxxxx. Schopnost xxxxxxxxxxxxxx xxxxxxxx včas xxxxxxxxx xxxxx xxxxxxx xxxx xxxxxxxx pokusy x xxxxxxxxx xxxxxxxx xx xxxxxxx. Nejsou známé xxxxx xxxxxxx pokusy x překonání xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx je pravděpodobná xx velmi xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx a není xxxxxxxxxx kontrolována. Xxxx xxxxx xxxxx xxxxxxx xxxxxx x překonání xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx xx xx xxxxxxxx xxxxx xxxxxxxx. Xxxxxxxxxxxx opatření xxxxxx xxxxxxxxxxx xxxxx xx xxxxxx xxxxxxxx xxxxxx omezena. Neprobíhá xxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx. Jsou xxxxx xxxxxxx pokusy xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx xx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx být xxxxxxx xxxx náročnými opatřeními xxxx v xxxxxxx xxxxx xxxxxxxxxx opatření xx xxxxxx přijatelné. |
|
Vysoké |
Riziko xx dlouhodobě nepřípustné x musí být xxxxxxxx xxxxxxxxxxxx xxxxx x xxxx odstranění. |
|
Kritické |
Riziko xx xxxxxxxxxxx x xxxx xxx xxxxxxxxxx xxxxxxxx kroky x xxxx xxxxxxxxxx. |
X xxxxxxx, xx orgán xxxx xxxxx xxxxxxx v §3 xxxx. c) xx x) xxxxxx xxxxxxx xxxxxx pro xxxxxxxxxxxx a xxxxxxxxx xxxxx, xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx, xx xxxxx xxxxxxxx xxx hodnocení xxxxxx x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxx xx nemělo xxxx xx ztrátě schopnosti xxxxxxxxx xxxx hrozby x xxxxxxxxxxxxx. Za xxxxx účelem xxx xxxxxx například xxxxxxxx, xxxxx zřetelně vyjádří xxx xxxxxx hrozby, xxx x xxxxxx xxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx x xxxxx xxxx xxxxx xxxxxxx v §3 xxxx. x) xx e) xxxxxx, xxxxx používá jiný xxxxx xxxxxx xxx xxxxxxxxx dopadů, xxxxxx, xxxxxxxxxxxxx x xxxxx.
Příloha x. 3 x vyhlášce x. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx algoritmy
(1) Xxxxxxxxxx algoritmy
a) Xxxxxxx x xxxxxxxx šifry xxx ochranu xxxxxxxxxx x xxxxxxxxx
1. Advanced Xxxxxxxxxx Xxxxxxxx (XXX) x xxxxxxxx délky xxxxx 128, 192 x 256 xxxx Xxxxxx Data Xxxxxxxxxx Xxxxxxxx (3DES) x xxxxxxxx délky xxxxx 168 bitů, xxxxxxx xxxxxxx jen xx xxxxxxxxx klíče xxxxxx xxx 10 GB, xxxxxxxx xxxxxxxxx xx XXX.
2. Triple Xxxx Xxxxxxxxxx Standard (3DES) x xxxxxxxx délky xxxxx 112 bitů, xxxxxxx použití xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX, xxxxxxxx přecházet xx XXX. Xxxxxxxxxx xxxxxxx jedinečného klíče xxx xxxxxx xxxxxx.
3. Xxxxxxxx x xxxxxxxx xxxxxxxxx délky xxxxx 128 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 GB.
4. Xxxxxx x xxxxxxxx xxxxx xxxxx 128 xxxx, xxxxxxx xxxxxxx xxx xx zatížením xxxxx xxxxxx než 10 XX.
5. Twofish x xxxxxxxx xxxxx xxxxx 128 xx 256 xxxx.
6. Xxxxxxx x využitím xxxxx xxxxx 128, 192, 256 xxxx.
7. Camellia x xxxxxxxx xxxxx xxxxx 128, 192 x 256 xxxx.
8. XXXX 2.0, SNOW 3X x xxxxxxxx xxxxx klíčů 128, 256 bitů.
b) Xxxx xxxxxxxxx x ochranou xxxxxxxxx
1. XXX,
2. EAX,
3. XXX,
4. Xxxxxxx xxxxxxxx xxxx "Encrypt-then-MAC".
Poznámka:
Schémata xxxx "Xxxxxxx-xxxx-XXX",xxxx xxxxxxxx k xxxxxxxxx pouze xxxxxxx xxxxxxxxx xxxx x x xxxxxxx MAC xxxxx uvedené xxxx xxx ochranu xxxxxxxxx.
x) Xxxx xxxxxxxxx
1. CTR,
2. XXX,
3. XXX,
4. CFB,
Poznámka:
Módy XXX x XXX xxxx xxx xxxxxxx x náhodným, xxx xxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxxx xxxx OFB xx xxx xxxx xxxx xxxxx xxxxxxxx hodnota xxxxxxxxxxxxxxx vektoru, xxx xxxxxxx módu XXX xx pro daný xxxx xxxxx xxxxxxxx xxxxxxx xxxxxx, x xxxxxxx xxxxxxx XXX xxxx x šifrování xxx ochrany integrity xx třeba xxxxxx xxxxxxxx proti útoku xx xxxxxxx XXX xxxx.
x) Xxxx xxx xxxxxxx integrity
1. XXXX,
2. XXX-XXX-X9.19, omezené xxxxxxx xxx xx xxxxxxxxx xxxxxx než 109 XXX,
3. XXX-XXX-XXXX,
4. XXXX.
(2) Xxxxxxxxxxx algoritmy
a) Xxx xxxxxxxxxxx digitálního podpisu
1. Xxxxxxx Xxxxxxxxx Algorithm (XXX) x využitím xxxxx xxxxx 2048 xxxx a xxxx, xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx 224 xxxx x xxxx.
2. Xxxxxxxx Xxxxx Digital Xxxxxxxxx Xxxxxxxxx (XX-XXX) x xxxxxxxx xxxxx xxxxx 224 bitů x xxxx.
3. Xxxxxx-Xxxxxx-Xxxxxxx Probablistic Xxxxxxxxx Scheme (XXX-XXX) x xxxxxxxx délky xxxxx 2048 xxxx x xxxx.
x) Pro xxxxxxx dohod xx xxxxx x xxxxxxxxx xxxxx
1. Xxxxxx-Xxxxxxx (XX) x využitím délky xxxxx 2048 xxxx x xxxx, xxxxx xxxxxxxxx xxxxxxx xxxxxxxx 224 bitů a xxxx.
2. Xxxxxxxx Xxxxx Xxxxxx-Xxxxxxx (XXXX) s xxxxxxxx xxxxx xxxxx 224 xxxx x xxxx.
3. Elliptic Xxxxx Xxxxxxxxxx Encryption Xxxxxx - Xxx Encapculation Xxxxxxxxx (ECIES-KEM) x xxxxxxxx xxxxx xxxxx 256 xxxx x xxxx.
4. Provably Secure Xxxxxxxx Xxxxx - Xxx Encapculation Xxxxxxxxx (XXXX-XXX) x využitím xxxxx xxxxx 256 xxxx více.
5. Xxxxxxxxx Xxxxxxx and Key Xxxxxxxxxxxxx Xxxxxxxxx (ACE-KEM) x xxxxxxxx xxxxx xxxxx 256 bitů x xxxx.
6. Xxxxxx Xxxxxx Xxxxxxx - Xxxxxxx Asymetrie Encryption Xxxxxxx (RSA-OAEP) x xxxxxxxx xxxxx xxxxx 2048 x xxxx.
7. Xxxxxx Shamir Adleman - Key Xxxxxxxxxxxxx Xxxxxxxxx (RSA-KEM) x xxxxxxxx xxxxx klíčů 2048 x xxxx.
(3) Xxxxxxxxx hash funkcí
a) XXX-2
1. SHA-224,
2. XXX-256,
3. XXX-384,
4. XXX-512,
5. XXX-512/224,
6. XXX-512/256.
x) XXX-3
1. SHA3-224,
2. XXX3-256,
3. SHA3-384,
4. XXX3-512,
5. XXXXX-128,
6. SHAKE-256.
c) Xxxxxxx xxxxxxxx funkce
1. Whirpool,
2. XXXXXX-160,
3. XXX 1 x omezeným použitím.
Poznámka x. 1:
XXX-1 xx xxxxx xxxxxxxx xxx xxxxxxxxxx xxxxxx digitálních xxxxxxx, časových razítek, xxxxxxxxx jiné xxxxxxxx xxxxxxxxxx xxxxxxxxx XXX-1.
Xxxxxxxx x. 2:
XXX-1 xxx xxxxxxxx pouze pro xxxxxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxx, xxxxxxxxxx x xxxxxxxxx XXXX-XXX1, xxxxxx xxx odvozování xxxxx a pseudonáhodné xxxxxxxxxx.
Příloha x. 4 x vyhlášce x. 316/2014 Xx.
Xxxxxxxxx bezpečnostní xxxxxxxxxxx
Xxxx xxxxxxx xxxxxxxx xxxxxxxxxx obsah bezpečnostní xxxxxxxxxxx. Xxxxxxxxxx struktury xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx, která jednotlivé xxxxxxxxx xxxxx xxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx struktury dokumentů xxxxxx závazné x xx xx orgánu xxxx xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx, jaký přístup x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx. Přípustná xx x xxxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxx více xxxxx xx xxxxxxx xxxxxxxxx.
X. Xxxxxxxxx xxxxxxxxxxxx xxxxxxxx
(1) Politika systému xxxxxx xxxxxxxxxxx informací*
[§5 xxxx. 1 písm. x), §5 odst. 2 xxxx. x)]
x) Xxxx, xxxxxxxx x xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Rozsah x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x postupy pro xxxxxx xxxxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxx zdrojů x xxxxxxx xxxxxxx řízení xxxxxxxxxxx informací.
e) Pravidla x xxxxxxx pro xxxxxxxxx auditů kybernetické xxxxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxx x xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
(2) Politika xxxxxxxxxxx xxxxxxxxxxx**
[§5 xxxx. 1 xxxx. b), §5 xxxx. 2 xxxx. x)]
x) Určení xxxxxxxxxxxxxx xxxx x jejich xxxx x xxxxxxxxxx,
1. xxxxx a xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
2. xxxxx a povinnosti xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
3. xxxxx x povinnosti xxxxxxxx xxxxxxxxxxxx bezpečnosti,
4. xxxxx x xxxxxxxxxx xxxxxxx xxxxx,
5. xxxxx x xxxxxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx rolí.
(3) Xxxxxxxx řízení xxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. c)]
a) Xxxxxxxx x xxxxxxxx xxx xxxxx xxxxxxxxxx.
x) Xxxxxxxx xxx hodnocení xxxxx xxxxxxxxxx.
x) Náležitosti xxxxxxx o úrovni xxxxxx x xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření x x určení xxxxxxxx xxxxxxx xxxxxxxxxxxx.
x) Pravidla xxx xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx pro hodnocení xxxxxxxxxx.
(4) Xxxxxxxx xxxxxxxxxxx xxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Identifikace, hodnocení x evidence xxxxxxxxxx xxxxx
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx garanta,
2. xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxxxxxxx, hodnocení a xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx a xxxxxxxx xxxxxxxxxxxx podpůrných xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.
x) Pravidla xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx
1. xxxxxxx rozlišování xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx xxx manipulaci x evidenci xxxxx xxxxx xxxxxx xxxxx,
3. xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxxx nosičů xxx.
(5) Xxxxxxxx xxxxxxxxxxx lidských xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx povědomí x xxxxxxx xxxx xxxxxxxxx
1. xxxxxxx x formy xxxxxxx uživatelů,
2. způsoby x xxxxx poučení xxxxxxx xxxxx,
3. způsoby x formy xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx x xxxxx xxxxxxx xxxxxxx xxxx zastávajících bezpečnostní xxxx.
x) Bezpečnostní xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxx řešení xxxxxxx xxxxxxxx bezpečnostní xxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx pro xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxx xxxxxxxx xxxxxx.
1. xxxxxxx svěřených xxxxx x xxxxxxxx xxxx xxx xxxxxxxx xxxxxxxxxx vztahu,
2. xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxx xxxxxx.
(6) Xxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. f)]
a) Xxxxxxxxx x xxxxxxxxxxxx spojené x xxxxxxxxx provozem.
b) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx a xxxxxxxxx xxxxxxxxxx xxxxxxx.
x) Řízení xxxxxxxxxxx xxxxxxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx.
(7) Xxxxxxxx xxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. g), §5 xxxx. 2 písm. x)]
x) Xxxxxxx minimálních xxxxxxxxx/xxxxxxx xxxx (xxxx xx know).
b) Xxxxxxxxx xx xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxx xxxxxxxx.
x) Xxxxxx privilegovaných xxxxxxxxx.
x) Xxxxxx přístupu xxx xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx uživatelů v xxxxxxxxxxxx skupinách.
(8) Xxxxxxxx xxxxxxxxxx chování xxxxxxxxx*
[§5 xxxx. 1 písm. x), §5 odst. 2 písm. x)]
x) Xxxxxxxx xxx xxxxxxxx xxxxxxxxx x aktivy.
b) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx pošty x xxxxxxxx xx xxxxxxxx.
x) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx xxxxxxx na xxxxxxxxxx sítích.
f) Xxxxxxxxxx xx xxxxxx x xxxxxxxx xxxxxxxxx.
(9) Xxxxxxxx xxxxxxxxxx a xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxxx xx zálohování x obnovu.
b) Xxxxxxxx x xxxxxxx xxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxx xxxxxxxxxx x xxxxxx.
(10) Xxxxxxxx xxxxxxxxxx předávání x xxxxxx xxxxxxxxx**
[§5 xxxx. 1 písm. x)]
x) Xxxxxxxx x xxxxxxx xxx ochranu xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(11) Xxxxxxxx xxxxxx technických xxxxxxxxxxxxx**
[§5 odst. 1 xxxx. x)]
x) Xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx vybavení,
b) Pravidla x xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx balíčků,
c) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
(12) Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx*
[§5 xxxx. 1 xxxx. 1)]
a) Xxxxxxxx x postupy xxx xxxxxxxx používání xxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx zařízení, xxxxxxx xxxxx a osoba xxxxxxx v §3 xxxx. x) a x) xxxxxx nedisponuje.
(13) Xxxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
(14) Politika xxxxxxxxxxxx xxxxxxxx a xxxxxxxxx informací*
[§5 xxxx. x xxxx. x)]
x) Xxxxxxxx a postupy xxxxxxxxx dokumentů x xxxxxxx.
x) Xxxxxxx xxxxxxxxxxxxx xxxxxxxxx x xxxxxxx.
x) Xxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx.
(15) Xxxxxxxx ochrany xxxxxxxx údajů*
[§5 xxxx. x xxxx. o), §5 xxxx. 2 xxxx. x)]
x) Charakteristika xxxxxxxxxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
x) Xxxxx přijatých x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
(16) Xxxxxxxx xxxxxxx xxxxxxxxxxx**
[§5 xxxx. x písm. x)]
x) Xxxxxxxx pro xxxxxxx xxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxx osob.
c) Xxxxxxxx xxx xxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxx bezpečnosti.
(17) Politika xxxxxxxxxxx xxxxxxxxxxx sítě**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxxxxxxx sítě.
b) Xxxxxx xxxx x xxxxxxxxxx xx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxx xxxxxxxx x xxxxx xxxx.
x) Pravidla x xxxxxxx pro xxxxxxx xxxxxxxxxx xxxxxxxx k xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxxx xxxxxxxxxx záznamů.
(18) Xxxxxxxx xxxxxxx před škodlivým xxxxx*
[§5 xxxx. x xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxx ochranu xxxxxxxxxx xxxx xxxxxxx x vnější xxxx.
x) Xxxxxxxx x postupy xxx xxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxxxxxx stanic.
(19) Xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx xxx detekci xxxxxxxxxxxxxx bezpečnostních xxxxxxxx**
[§5 xxxx. 1 písm. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx a postupy xxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx postupy xxx xxxxxxxxxxxxx x xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx optimalizaci xxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(20) Xxxxxxxx xxxxxxx x xxxxxx nástroje xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla x xxxxxxx xxx xxxxxxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí.
b) Pravidla x postupy xxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxxxx xxxxxxxx xxx xxxx x vyhodnocení kybernetických xxxxxxxxxxxxxx xxxxxxxx.
(21) Politika xxxxxxxxxx xxxxxxxxx kryptografické xxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxx ochrany x ohledem na xxx x sílu xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxx informací
1. xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx,
2. xxx xxxxxxx xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx nosič xxx,
x) Xxxxxx správy xxxxx.
XX. Xxxxxxxxx xxxxx dokumentace
(1) Xxxxxx x auditu xxxxxxxxxxxx xxxxxxxxxxx**
[§28 xxxx. 1 xxxx. b)]
a) Xxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Předmět xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Kritéria xxxxxx xxxxxxxxxxxx bezpečnosti.
d) Xxxxxxxxxxxxxx xxxx auditorů x xxxx, které xx auditu xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx.
x) Xxxxx x xxxxx, xxx xxxx xxxxxxxxx činnosti xxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxx xxxxxx kybernetické xxxxxxxxxxx.
(2) Xxxxxx z xxxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx informací**
[§28 odst. 1 xxxx. c)]
a) Xxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) Xxxxxxxxxxxx změn x xxxxxxxxx, xxxxx xxxxx xxx xxxx xx xxxxxx řízení bezpečnosti xxxxxxxxx.
x) Xxxxxx vazba x výkonnosti řízení xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x nápravná xxxxxxxx,
2. xxxxxxxx xxxxxxxxxxxx x xxxxxx,
3. xxxxxxxx auditu,
4. xxxxxxxx cílů xxxxxxxxxxx,
x) Xxxxxxxx xxxxxxxxx xxxxx x stav xxxxx xxxxxxxx xxxxx.
x) Xxxxxxxxxxxx xxxxxxxx xxx neustálé xxxxxxxxxx.
x) Xxxxxxxxxx potřebných xxxxxxxxxx, stanovení xxxxxxxx x osob xxxxxxxxxxxxx xxxxx jednotlivých činností.
(3) Xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx aktiv x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. b)]
a) Xxxxxx xxxxxxxx xxx xxxxxxxxx primárních xxxxx
1. xxxxxx stupnice xxx xxxxxxxxx úrovní xxxxxxxxxx xxxxx,
2. určení stupnice xxx xxxxxxxxx úrovní xxxxxxxxx xxxxx,
3. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxxxxxxxx aktiv.
b) Xxxxxx xxxxxxxx pro xxxxxxxxx rizik
1. určení xxxxxxxx pro hodnocení xxxxxx dopadu,
2. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx hrozby,
3. xxxxxx xxxxxxxx xxx hodnocení xxxxxx zranitelnosti,
4. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx rizik,
a) Xxxxxx x přístupy xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx.
(4) Xxxxxx o xxxxxxxxx xxxxx a rizik**
[§28 xxxx. 1 písm. x), §28 xxxx. 2 písm. x)]
x) Xxxxxxx xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx xxxxx,
2. určení xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx aktiv (xxxxxxx xxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) xxxxxx)
1. identifikace x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx garantů xxxxxxxxxx xxxxx,
3. xxxxxx xxxxx xxxx xxxxxxxxxx x podpůrnými xxxxxx,
x) Xxxxxxxxxxxxxx a xxxxxxxxx xxxxx
1. posouzení xxxxxxx xxxxxx xx xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx hrozeb,
3. xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx existujících xxxxxxxx,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx xxxx xxxxxx x xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
5. určení x schválení xxxxxxxxxxxx xxxxx.
x) Zvládání xxxxx
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. xxxxx opatření x xxxxxx xxxxxxxxx.
(5) Xxxxxxxxxx x aplikovatelnosti*
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. x)]
x) Xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxx xxxxxx a xxxxxx vazby xx xxxxxxxxxxxxxx xxxxxx.
x) Přehled xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(6) Xxxx xxxxxxxx xxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. e)]
a) Xxxxx x xxxx xxxxxxxxx bezpečnostních xxxxxxxx xxx zvládání xxxxx.
x) Xxxxxxxx xxxxxx xxx xxxxxxxxxx bezpečnostní xxxxxxxx xxx xxxxxxxx rizik.
c) Xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
x) Způsoby hodnocení xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx rizik.
(7) Xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. x)]
x) Xxxxx a xxxxxxx xxxxxxx xxxxxxxxx.
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxx xxxxx (xxxxxxx xxx xxxxxx a xxxxx xxxxxxx x §3 písm. x) xxxxxx).
x) Obsah x xxxxxxx xxxxxxx xxxxxxxxxxxxxx (xxxxxxx xxx xxxxxx x osoby xxxxxxx x §3 písm. x) xxxxxx).
x) Xxxxx x termíny xxxxxxx xxxxxxx xxxx zastávajících xxxxxxxxxxxx xxxx.
x) Xxxxx x xxxxxxx xxxxxxx xxxxxx zaměstnanců.
f) Formy x způsoby xxxxxxxxx xxxxx.
(8) Zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx x zvládání xxxxxxxxxxxx xxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx testování xxxxxxx xxxxxxxx kybernetických bezpečnostních xxxxxxxxx.
x) Pravidla x xxxxxxx xxx vyhodnocení xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx x xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(9) Strategie xxxxxx xxxxxxxxxx činností**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. h)]
a) Xxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxx xxxxxx kontinuity činností
1. xxxxxxxxx úroveň poskytovaných xxxxxx,
2. xxxx obnovení xxxxx,
3. xxx xxxxxxxx xxxxx.
x) Xxxxxxxxx řízení xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxx kontinuity.
d) Xxxxxxx xxxxxxxxx dopadů xxxxxxxxxxxxxx bezpečnostních incidentů xx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxx xxxxx.
x) Xxxxxx x obsah xxxxxxxxxx plánů xxxxxxxxxx.
x) Xxxxxxx xxx realizaci xxxxxxxx xxxxxxxx Xxxxxxxx xxxxxxxxxxxxx úřadem.
(10) Xxxxxxx xxxxxx xxxxxxxxx právních xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. i)]
a) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx předpisů.
b) Přehled xxxxxxxxx předpisů x xxxxxx předpisů.
c) Xxxxxxx xxxxxxxxx závazků.
Poznámka:
* Očekávaná xxxxxxxxx xxxxxxxxx xx xx úrovni xxxxxxx xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx x úroveň xxxxx.
** Xxxxxxxxx důvěrnost xxxxxxxxx xx xx úrovni xxxxxx xxxxx xxxxxxxx xxxxxxx v příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.
Xxxxxxx x. 5 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního incidentu
Vyplnitelný formulář ve formátu PDF
Xxxxxxx x. 6 x xxxxxxxx x. 316/2014 Sb.
Formulář xxxxxxxx x xxxxxxxxx reaktivního xxxxxxxx x xxxx xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx x. 7 x xxxxxxxx x. 316/2014 Sb.
Formulář xxx xxxxxxx xxxxxxxxxxx údajů
Vyplnitelný formulář ve formátu PDF
Xxxxxxxxx
Xxxxxx předpis č. 316/2014 Xx. xxxxx xxxxxxxxx xxxx 1.1.2015.
Xx xxx uzávěrky právní xxxxxxx xxxxx xxxxx xx xxxxxxxxx.
Xxxxxx xxxxxxx x. 316/2014 Sb. xxx xxxxxx xxxxxxx xxxxxxxxx č. 82/2018 Sb. x xxxxxxxxx xx 28.5.2018.
Xxxxx xxxxxxxxxxxx právních xxxxx xxxxxx právních předpisů x xxxxxxxx není xxxxxxxxxxxxx, xxxxx se xxxx netýká xxxxxxxxx xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
1) ISO/IEC 27001:2013, xxxxxxxx XXX XXX/XXX 27001:2014