Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
VYHLÁŠKA
ze xxx 15. xxxxxxxx 2014
x bezpečnostních xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, reaktivních opatřeních x o stanovení xxxxxxxxxxx xxxxxx v xxxxxxx kybernetické xxxxxxxxxxx (xxxxxxxx o xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx bezpečnostní xxxx xxxxxxx xxxxx §28 xxxx. 2 zákona x. 181/2014 Xx., x xxxxxxxxxxxx xxxxxxxxxxx x x xxxxx xxxxxxxxxxxxx xxxxxx (xxxxx x xxxxxxxxxxxx xxxxxxxxxxx), (xxxx xxx "xxxxx") x xxxxxxxxx §6 xxxx. x) až x), §8 xxxx. 4, §13 xxxx. 4 x §16 xxxx. 6 xxxxxx.
ČÁST PRVNÍ
ÚVODNÍ USTANOVENÍ
§1
Předmět xxxxxx
Xxxxx xxxxxxxxx xx xxxxxxx obsah x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx systém, xxxxx xxxxxxxxxxxxxx opatření, xxxxxx jejich xxxxxxxx, xxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx a xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx, xxxxxxxxxxx oznámení x provedení xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx x vzor xxxxxxxx xxxxxxxxxxx xxxxx x jeho formu.
§2
Xxxxxxxx xxxxx
X xxxx xxxxxxxx se xxxxxx
x) xxxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx xxxxxxx xxxxxx xxxxxx x xxxxx uvedené x §3 xxxx. x) xx e) xxxxxx xxxxxxxx xx přístupu x xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx, která xxxxxxx xxxxxx xxxxxxxx, zavádění, xxxxxx, monitorování, xxxxxxxxxxx, xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx informací,
b) aktivem xxxxxxxx aktivum x xxxxxxxx aktivum,
c) primárním xxxxxxx informace nebo xxxxxx, xxxxxx zpracovává xxxx xxxxxxxxx xxxxxxxxxx xxxxxx kritické informační xxxxxxxxxxxxxx, komunikační xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx významný informační xxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xx xx xxxxxxx, xxxxxxx, xxxxxx xxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx systému a xxxxxxx, xx kterých xxxx tyto xxxxxxx xxxxxxxx,
x) xxxxxxx možnost, xx určitá xxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x způsobí xxxxxxxxx aktiva,
g) xxxxxxxxxx xxxxx proces, xxx xxxx je xxxxxxxx xxxxxxxxxx xxxxx x xxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxx činnost xxxxxxxxxx hodnocení rizik, xxxxx a zavedení xxxxxxxx ke xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx x xxxxxx x xxxxxxxxx x přezkoumání xxxxx,
x) xxxxxxx xxxxxxxxxxxxx xxxxxxx kybernetické bezpečnostní xxxxxxxx nebo xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxx může xxx xxxxxxxxx aktiva,
j) xxxxxxxxxxxxx xxxxx xxxxx aktiva xxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx být xxxxxxxx jednou xxxx xxxx hrozbami,
k) xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx xxxxxxxx kritériím xxx xxxxxxxxxxxx rizik,
l) xxxxxxxxxxxx xxxxxxxxx soubor xxxxx x xxxxxxxx, které xxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxx orgánem x xxxxxx xxxxxxxx x §3 písm. x) xx e) xxxxxx,
x) xxxxxxxx xxxxxx xxxxxxx xxxxx xxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxx x §3 xxxx. c) xx x) zákona k xxxxxxxxx rozvoje, xxxxxxx x bezpečnosti xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxx xxxxx xxxxxxx xxxx, xxxxx xxxxxxx primární xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxx xxxxx xxxxxxxx xxxxxxxx xxxxxx zajišťující xxxxxx, xxxxxx, xxxxxxx, xxxxxx x bezpečnost technického xxxxxx.
XXXX DRUHÁ
BEZPEČNOSTNÍ XXXXXXXX
XXXXX X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx xxxxxx xxxxxxxxxxx informací
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx v xxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx x xxxxxxx xx xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xx xxxxxx xxxx, xxxxxxx xxxxxxxxxxxxx xxxxx x technických xxxxx se systém xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx,
x) řídí rizika xxxxx §4 odst. 1,
x) xxxxxxx x xxxxxxx bezpečnostní politiku x xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxx, cíle, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx xx xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxx x na xxxxxxx bezpečnostních potřeb x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx bezpečnostní xxxxxxxx x xxxxxxx xxxxxxxxx podle §5 x xxxxxx příslušná xxxxxxxxxxxx xxxxxxxx,
x) monitoruje xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx a xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx §5,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx podle §15, x to xxxxxxx xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx bezpečnosti informací, xxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxx, xxxxxxxxx výsledků xxxxxxxxxxx xxxxxxx a xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx systém xxxxxx xxxxxxxxxxx informací, x xx xxxxxxx xxxxxx ročně,
h) xxxxxxxxxxx xxxxxx xxxxxx bezpečnosti xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx, výsledků vyhodnocení xxxxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx x x souvislosti x xxxxxxxxxxx xxxx plánovanými xxxxxxx x
x) xxxx xxxxxx a xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxx xxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx rizik.
(2) Xxxxx x osoba xxxxxxx v §3 xxxx. x) xxxxxx x xxxxx systému xxxxxx xxxxxxxxxxx informací
a) xxxx xxxxxx podle §4 xxxx. 2,
x) xxxxxxx x xxxxxxx xxxxxxxxxxxx politiku x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx hlavní xxxxxx, xxxx, bezpečnostní xxxxxxx, xxxxx a povinnosti xx xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxx x xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x dalších oblastech xxxxx §5, a xxxxxx xxxxxxxxx bezpečnostní xxxxxxxx x
x) xxxxxxx xxxxxxxxxxx zprávy x xxxxxxxxx aktiv x xxxxx, bezpečnostní politiky, xxxxx xxxxxxxx rizik x xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, a xx xxxxxxx xxxxxx xx tři xxxx xxxx v xxxxxxxxxxx x prováděnými xxxx xxxxxxxxxxx xxxxxxx.
§4
Řízení rizik
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx x xxxxx xxxxxx rizik
a) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x hodnocení xxxxx x xxx xxxxxxxxxxxx x hodnocení xxxxx xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxx, xxxxx xxxxx do xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxx §8 x rozsahu přílohy č. 1 x xxxx vyhlášce x xxxxxxx xxxxxxxxx xx zprávy x xxxxxxxxx xxxxx a xxxxx,
x) xxxxxxxxxxxx xxxxxx, xxx kterých zohlední xxxxxx x xxxxxxxxxxxxx, xxxxxxx xxxxx xxxxxx xx xxxxxx, xxxxxxx xxxx rizika xxxxxxxxx x xxxxxxx xxxxx přílohy č. 2 x této xxxxxxxx, určí a xxxxxxx přijatelná xxxxxx x xxxxxxxx zprávu x hodnocení xxxxx x rizik,
d) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x výsledků xxxxxxxxx rizik xxxxxxxxxx x aplikovatelnosti, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxx bezpečnostních xxxxxxxx,
x) zpracuje a xxxxxx plán xxxxxxxx xxxxx, xxxxx obsahuje xxxx x přínosy xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, technické, lidské x xxxxxxxxxx xxxxxx, xxxxxx xxxxxx xxxxxxxx x popis xxxxx xxxx xxxxxx x xxxxxxxxxxx bezpečnostními xxxxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxxx odkladu reaktivní x xxxxxxxx xxxxxxxx xxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx (dále xxx "Xxxx") x xxxxxxxxx xxxxx x x xxxxxxx, že xxxxxxxxx xxxxx xxxxxxxxxxxxx o xxxx xxxxxxxxxxxxx spojené x xxxxxxxxx reaktivního xxxx xxxxxxxxxx opatření xxxxxxxx xxxxxxxxx kritéria xxx xxxxxxxxxxxx xxxxx, xxxxxx plán xxxxxxxx xxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx identifikaci x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx rizik,
b) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxx aktiv, xxxxx patří xx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, xxxxx §8 minimálně v xxxxxxx přílohy č. 1 x xxxx vyhlášce a xxxxxxx zapracuje xx xxxxxx o hodnocení xxxxx a xxxxx,
x) xxxxxxxxxxxx rizika, xxx xxxxxxx zohlední hrozby x zranitelnosti, xxxxxxx xxxxx xxxxxx xx xxxxxxxx aktiva, xxxxxxx xxxx rizika xxxxxxxxx x xxxxxxx podle přílohy č. 2 k xxxx xxxxxxxx a xxxxxxxx xxxxxx o xxxxxxxxx xxxxx x rizik,
d) xxxxxxxx na xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx o xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx a zavedených xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx x zavede xxxx xxxxxxxx xxxxx, xxxxx xxxxxxxx cíle a xxxxxxx bezpečnostních xxxxxxxx xxx xxxxxxxx rizik, xxxxxx osoby xxxxxxxxxxx xxxxxxxxxxx bezpečnostních opatření xxx xxxxxxxx xxxxx, xxxxxxxx finanční, xxxxxxxxx, xxxxxx a xxxxxxxxxx xxxxxx, xxxxxxx xxxxxx xxxxxxxx x xxxxx xxxxx xxxx xxxxxxxxxxxxxxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx opatřeními a
f) xxxxxxxx bez xxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxx xxxxxx Xxxxxx x xxxxxxxxx xxxxx a x xxxxxxx, xx xxxxxxxxx xxxxx xxxxxxxxxxxxx o xxxx xxxxxxxxxxxxx xxxxxxx x realizací xxxxxxxxxxx xxxx ochranného xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx xxx přijatelnost rizik, xxxxxx xxxx zvládání xxxxx.
(3) Xxxxxx xxxxx xxxx xxx xxxxxxxxx x xxxxxx xxxxxxx, xxx xxx xx xxxxxxxxx v odstavcích 1 x 2, xxxxx orgán x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxxxxxx, že xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx vyšší xxxxxx xxxxxx rizik.
(4) Xxxxx x osoba xxxxxxx x §3 písm. x) až e) xxxxxx xxx xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxx xxxxxx
x) xxxxxxxx xxxxxxxxxxxx politiky, xxxxxxxxx xxxxxxxxxxxxx činností, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx anebo programového xxxxxxxx,
x) xxxxxxxx xxxxxxxx xxxxxxx osoby,
d) xxxxxxx xxxxxxxxxxxx vybavení v xxxxxxx s xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx xxxx x komunikační xxxx,
x) xxxxxxxx xxx (xxxxxxxxx xxxx, xxxxxxx, xxxxxxx xxxx),
x) xxxxxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx komunikací xxxx xxxxxxx elektrické xxxxxxx,
x) zneužití xxxx xxxxxxxxxxx xxxxxxxxxx údajů,
k) xxxxxx xxxxxxxx hrozby x
x) xxxxxxxx xxxx xxxxxxxxx aktiva.
(5) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxx hodnocení xxxxx zvažuje xxxxxxx xxxx xxxxxxxxxxxxx
x) nedostatečná xxxxxxx vnějšího xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx povědomí xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) nevhodné xxxxxxxxx xxxxxxxxxxxx oprávnění,
e) xxxxxxxxxxxx xxxxxxx xxx identifikování x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxx, kybernetických xxxxxxxxxxxxxx událostí x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx monitorování xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx x neschopnost odhalit xxxxxx xxxxxxxx xxxx xxxxxxx způsoby xxxxxxx x
x) xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx pravidel, xxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxx xxxx a xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxxxxxxxx xxxx.
(6) Xxxxx x osoba uvedená x §3 písm. x) x x) xxxxxx při hodnocení xxxxx xxxx xxxxxxx xxxx xxxxxx
x) porušení xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, zneužití xxxxxxxxx xx strany xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xx xxxxxx zaměstnanců,
c) xxxxxxxx xxxxxxxxx prostředků, sabotáž,
d) xxxxxxxxxx přerušení xxxxxxxxxxx xxxxxx elektronických xxxxxxxxxx, xxxxxxx xxxxxxxxxx energie xxxx jiných xxxxxxxxxx xxxxxx,
x) xxxxxxxxxx zaměstnanců x xxxxxxxxx xxxxxxxx xxxxxx,
x) cílený kybernetický xxxx xxxxxx sociálního xxxxxxxxxxx, xxxxxxx špionážních xxxxxxx x
x) xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxx.
(7) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxx xxxxxxxxx rizik xxxx xxxxxxx tyto xxxxxxxxxxxxx
x) nedostatečná xxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx bezpečnostní xxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx a
d) xxxxxxxxxxx xxxxxxxx odhalení xxxxxxxxx ze xxxxxx xxxxxxxxxxx.
§5
Xxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx v oblastech
a) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxx,
x) xxxxxx xxxxxx x xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx xxxxxxxx zdrojů,
f) xxxxxx provozu a xxxxxxxxxx,
x) xxxxxx xxxxxxxx,
x) xxxxxxxx chování uživatelů,
i) xxxxxxxxxx a xxxxxx,
x) xxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx zranitelností,
l) bezpečné xxxxxxxxx mobilních xxxxxxxx,
x) xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x informací,
n) xxxxxxxxxx xxxxxxxx a archivace xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx sítě,
r) xxxxxxx xxxx xxxxxxxxx xxxxx,
x) xxxxxxxx a xxxxxxxxx nástroje xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx x xxxxxx nástroje xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxxxx
x) xxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) organizační bezpečnost,
c) xxxxxx xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) bezpečnost xxxxxxxx xxxxxx,
x) řízení provozu x xxxxxxxxxx,
x) řízení xxxxxxxx,
x) xxxxxxxx chování xxxxxxxxx,
x) xxxxxxxxxx x xxxxxx,
x) poskytování a xxxxxxxx xxxxxxx programového xxxxxxxx x xxxxxxxxx,
x) xxxxxxx xxxxxxxx údajů,
l) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx před xxxxxxxxx xxxxx x
x) nasazení x xxxxxxxxx xxxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx ji.
§6
Xxxxxxxxxxx xxxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 písm. x) až e) xxxxxx xxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, x xxxxx xxxxx xxxx výbor xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx role x xxxxxx práva x povinnosti xxxxxxxxxxx x xxxxxxxxxxx systémem xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx systémem.
(2) Xxxxx x osoba xxxxxxx v §3 xxxx. x) x x) zákona určí xxxxxxxxxxxx xxxx
x) xxxxxxx xxxxxxxxxxxx bezpečnosti,
b) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxx xxxxxx xxxxx §2 xxxx. x).
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxx xxxxxxxxxxxx xxxx přiměřeně xxxxx odstavce 2.
(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx, xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xx xxx tuto xxxxxxx vyškolena x xxxxxxx xxxxxxxx způsobilost xxxxx x řízením xxxxxxxxxxx xxxxxxxxx po xxxx xxxxxxx tří xxx.
(5) Xxxxxxxxx kybernetické xxxxxxxxxxx xx xxxxx xxxxxxxxxxx návrh x xxxxxxxxxxxx xxxxxxxxxxxxxx opatření, xxxxx xx xxx xxxx činnost vyškolena x xxxxxxx odbornou xxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxxxxx architektury xx xxxx xxxxxxx xxx xxx.
(6) Auditor xxxxxxxxxxxx xxxxxxxxxxx je xxxxx xxxxxxxxxxx audit xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xx pro xxxx xxxxxxx vyškolena x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x prováděním xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx dobu xxxxxxx xxx xxx. Xxxxxxx xxxxxxxxxxxx bezpečnosti xxxxxxxx xxxxx roli xxxxxxxxx x výkon xxxx xxxx xx xxxxxxx xx xxxxxx rolí xxxxxxxxx x xxxxxxxx 2 písm. x), x) xxxx x).
(7) Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxx skupina xxxxxxx xxxxxxx, xxxxx xxxx xxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx se xxxxxxxx xxxxxxxx xx xxxxxx a xxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx bezpečností xxxxxx xxxxxxx.
(8) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxxxxx odborné školení xxxx, xxxxx xxxxxxxxx xxxxxxxxxxxx xxxx v xxxxxxx s plánem xxxxxxx bezpečnostního povědomí xxxxx §9 odst. 1 písm. x).
§7
Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxxxx
(1) Orgán x xxxxx uvedená x §3 písm. x) až e) xxxxxx xxxxxx xxxxxxxx xxx dodavatele, která xxxxxxxxxx potřeby řízení xxxxxxxxxxx informací, x xxxxxxxx xx u xxxxxxxxxx xxxx xxxxxx xxxx, které xx xxxxxxxx xx xxxxxxx, xxxxxxx nebo zajištění xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xxxxxx xxxxxxxx dodavatelů xx xxxxxxx, xxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxx uvedená x §3 xxxx. c) xx e) xxxxxx xxxxxxxx, jejíž xxxxxxxx xx ustanovení o xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx x dodavatelů xxxxxxxxx x odstavci 1 xxxx
x) xxxx xxxxxxxxx smlouvy provádí xxxxxxxxx xxxxx podle přílohy č. 2 k xxxx xxxxxxxx, xxxxx jsou xxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxx x xxxxxx služeb, xxxxx xxxxxxx xxxxxxx x xxxxxx realizace xxxxxxxxxxxxxx opatření x xxxx vztah xxxxxxxx xxxxxxx xxxxxxxxxxxx xx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx opatření, x
x) xxxxxxx pravidelné hodnocení xxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxx xxxxxx a zjištěné xxxxxxxxxx xxxxxxxxxx xxxx xx xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxx.
§8
Řízení xxxxx
(1) Xxxxx x xxxxx uvedená x §3 písm. x) xx e) xxxxxx x xxxxx xxxxxx xxxxx
x) identifikuje x xxxxxxx xxxxxxxx xxxxxx,
x) xxxx garanty xxxxx, kteří xxxx xxxxxxxxx xx xxxxxxxx xxxxxx, x
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx aktiv x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x xxxxxx je xx xxxxxxxxxxxx xxxxxx xxxxxxxxx x rozsahu xxxxx přílohy č. 1 x xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx xxxxxxxxxxx primárních xxxxx xx xxxxx xxxxxxxxx posoudit
a) rozsah x xxxxxxxxxx xxxxxxxx xxxxx xxxx obchodního xxxxxxxxx,
x) rozsah xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxx,
x) rozsah xxxxxxxx vnitřních xxxxxxxx x xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx veřejných, xxxxxxxxxx xxxx ekonomických zájmů,
e) xxxxx finanční ztráty,
f) xxxxxx narušení xxxxxxx xxxxxxxx orgánu x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxx důvěrnosti, xxxxxxxxx x xxxxxxxxxxx x
x) xxxxxx xx zachování xxxxxxx xxxxx nebo xxxxxxx dobré pověsti.
(3) Xxxxx x osoba xxxxxxx v §3 xxxx. x) x x) xxxxxx dále
a) xxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxx,
x) xxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xx xxxxxxxx xxxxxx, a
c) xxxx xxxxx xxxx xxxxxxxxxx a podpůrnými xxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxx mezi xxxxxxxxxx a xxxxxxxxxx xxxxxx.
(4) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) zákona xxxx
x) xxxxxxx xxxxxxxx xxxxxxx, nutná xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx tím, xx
1. xxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxx pravidla pro xxxxxxxxxx x xxxxxxxx x aktivy xxxxx xxxxxx xxxxx, xxxxxx xxxxxxxx xxx bezpečné xxxxxxxxxxxx xxxxxxx a xxxxxxx přenášení aktiv x
3. xxxxxxx přípustné xxxxxxx xxxxxxxxx aktiv,
b) xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx x
x) xxxx způsoby xxx xxxxxxxxxx xxxxxxx xxxx xxxxxx technických xxxxxx xxx x xxxxxxx xx xxxxxx xxxxx.
§9
Xxxxxxxxxx xxxxxxxx zdrojů
(1) Xxxxx x osoba xxxxxxx v §3 xxxx. x) xx x) xxxxxx v xxxxx xxxxxx xxxxxxxxxxx xxxxxxxx zdrojů
a) stanoví xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx obsahuje xxxxx, xxxxx x xxxxxx potřebných xxxxxxx x určí xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx x xxxxx xxxxxxx,
x) x xxxxxxx s xxxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxxxx poučení xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx o xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) zajistí xxxxxxxx xxxxxxxxxx bezpečnostní politiky xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role x
x) zajistí vrácení xxxxxxxxx xxxxx x xxxxxxxx přístupových xxxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxx x uživateli, xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Xxxxx a osoba xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxx x xxxxxxx xxxxx xxxxxxxx 1 přehledy, xxxxx xxxxxxxx předmět xxxxxxx x xxxxxx xxxx, které xxxxxxx xxxxxxxxxxx.
(3) Orgán x xxxxx uvedená x §3 písm. x) x d) xxxxxx xxxx
x) xxxxxxx xxxxxxxx xxx xxxxxx xxxx, xxxxx xxxxx zastávat xxxxxxxxxxxx xxxx, xxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx,
x) xxxxxxx účinnost xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxxxxx školení x xxxxxxx xxxxxxxx spojených x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) určí xxxxxxxx x postupy xxx xxxxxx případů xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx pravidel xx strany xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) zajistí xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxxx uživatelů, xxxxxxxxxxxxxx nebo osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
§10
Xxxxxx xxxxxxx x xxxxxxxxxx
(1) Orgán a xxxxx xxxxxxx v §3 písm. x) xx e) xxxxxx x xxxxx řízení xxxxxxx a xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx x §21 xx 23 xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxxx xxxxxxxxxxx získané xxxxxxxxx x na xxxxxxxx xxxxxxxxxx reaguje x xxxxxxx s §13.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxx xxxxxx xxxxxxx a xxxxxxxxxx xxxx zajišťuje bezpečný xxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx systému. Xx xxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxx x postupy.
(3) Provozní xxxxxxxx a xxxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxxxxxx
x) xxxxx a xxxxxxxxxx xxxx zastávajících xxxxxxxxxxxx xxxx, administrátorů a xxxxxxxxx,
x) xxxxxxx xxx xxxxxxxx a ukončení xxxxx systému, pro xxxxxxx xxxx obnovení xxxxx systému po xxxxxxx x xxx xxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxx sledování xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxx ochranu xxxxxxxx k xxxxxxxx x xxxxxx xxxxxxxxxx,
x) xxxxxxx xx xxxxxxxxx xxxxx, xxxxx xxxx xxxxxx xxxx xxxxxxx xxx řešení neočekávaných xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxx řízení x schvalování xxxxxxxxxx xxxx x
x) xxxxxxx xxx xxxxxxxxx, xxxxxxxxx x xxxxxx kapacity xxxxxxxx a xxxxxxxxxxx xxxxxx.
(4) Xxxxxx xxxxxxx xxxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx spočívá x provádění xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx provedených xxxxx.
(5) Xxxxxx provozu orgánu x xxxxx uvedené x §3 xxxx. x) x x) xxxxxx xxxxxxx x
x) xxxxxxxxx oddělení xxxxxxxxxx, xxxxxxxxxxx a xxxxxxxxxxx xxxxxxxxx,
x) řešení xxxxxxxxxxx xxxxxxxx vydaných Úřadem xxx, xx xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a d) xxxxxx
1. xxxxxxx očekávané xxxxxx xxxxxxxxxxx xxxxxxxx xx informační xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxx systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xx zavedená xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxx xxxxxxxxx účinky x bez zbytečného xxxxxxx xx xxxxxx Xxxxx x
2. xxxxxxx xxxxxx xxxxxxxx provedení xxxxxxxxxxx xxxxxxxx, který xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxx, a xxxx xxxxxx xxxx jeho xxxxxxxxx.
(6) Xxxxx x xxxxx uvedená x §3 písm. x) x x) xxxxxx x xxxxx řízení xxxxxxxxxx
x) xxxxxxxxx xxxxxxxxxx x integritu komunikačních xxxx x xxxxxxxxxx xxxxxxxxxxxxx služeb xxxxx §17,
x) určí xxxxxxxx x postupy pro xxxxxxx informací, které xxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxx xx základě xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx xx současného xxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxx xxxxxxxx xxxxxxxxxxx x
x) x ohledem xx xxxxxxxxxxx xxxxx xxxxxxx výměnu x xxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxx xxxxx, xxxxxxx xxxxxxxx xx xxxxxxxxxx o bezpečnosti xxxxxxxxx.
§11
Řízení přístupu x xxxxxxxx xxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) až x) xxxxxx na xxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxx k informačnímu xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačnímu xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významnému xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxx uživateli jednoznačný xxxxxxxxxxxxx.
(2) Orgán x xxxxx uvedená x §3 xxxx. c) xx e) zákona xxxxxx xxxxxxxx, xxxxx xxxxxx x xxxxxxxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému xxxxx §18 x 19, a která xxxxx xx xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x d) zákona xxxx v xxxxx xxxxxx xxxxxxxx
x) přidělí xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxx přidělování xxxxxxxxxxxxxxxxxx oprávnění,
c) xxxxxxxxx x odebírá xxxxxxxxxx xxxxxxxxx v souladu x xxxxxxxxx řízení xxxxxxxx,
x) xxxxxxx pravidelné xxxxxxxxxxx nastavení přístupových xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxx,
x) využívá nástroj xxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx §18 x nástroj xxx xxxxxx přístupových xxxxxxxxx xxxxx §19 x
x) xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx technických zařízení, xxxxxxx xxxxx x xxxxx uvedená v §3 xxxx. x) x x) xxxxxx xxxxxxxxxxx.
§12
Xxxxxxxx, vývoj a xxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. c) xx x) xxxxxx xxxxxxx xxxxxxxxxxxx požadavky xx xxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx informačního xxxxxxx xxxxxxx x xxxxxx xxxxxxxx, vývojem x údržbou x xxxxxx je do xxxxxxxx xxxxxxxx, xxxxxx x údržby xxxxxxx.
(2) Xxxxx a osoba xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxx
x) xxxxxxxxxxxx, hodnotí x xxxx xxxxxx xxxxxxxxxxx x xxxxxxxx, xxxxxxx x údržbou xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx xxxx komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx; xxx postupy xxxxxxxxx a xxxxxx xxxxx xx xxxxxxxx xxxxx §4 xxxx. 1 písm. x) xxxxxxx obdobně,
b) xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx x zajistí ochranu xxxxxxxxxxx xxxxxxxxxxx xxx x
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxx xxxxxxxxx do xxxxxxx.
§13
Xxxxxxxx kybernetických bezpečnostních xxxxxxxx x incidentů
Orgán x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx
x) přijme nezbytná xxxxxxxx, která xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx u informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx ze strany xxxxxxxxx, administrátorů a xxxx zastávajících bezpečnostní xxxx x o xxxxxxxxxx vede xxxxxxx,
x) xxxxxxxx xxxxxxxxx pro xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx bezpečnostních událostí xxxxxxxxxxxx technickými xxxxxxxx xxxxx §21 xx 23, xxxxxxx xxxxxx xxxxxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx,
x) xxxxxxx klasifikaci xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů, xxxxxxx xxxxxxxx xxx odvrácení x xxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx, xxxxxxx xxxxxxx kybernetického xxxxxxxxxxxxxx incidentu podle §32 a xxxxxxx xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu,
d) xxxxxxxx x určí xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx, vyhodnotí účinnost xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a xx xxxxxxx xxxxxxxxxxx stanoví xxxxx xxxxxxxxxxxx xxxxxxxx x zamezení xxxxxxxxx xxxxxxxx kybernetického bezpečnostního xxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
§14
Řízení xxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona x xxxxx řízení xxxxxxxxxx xxxxxxxx xxxxxxx
x) práva x xxxxxxxxxx xxxxxxx xxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) cíle xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx, která xx přijatelná xxx xxxxxxx, xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx systému kritické xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx systému,
2. xxxx obnovení xxxxx, xxxxx xxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, komunikačního xxxxxxx kritické informační xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, a
3. xxxx xxxxxxxx dat xxxx termínu, ke xxxxxxx xxxxx obnovena xxxx xx kybernetickém xxxxxxxxxxxxx incidentu, x
x) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx cílů xxxxx xxxxxxx x).
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) vyhodnotí x xxxxxxxxxxx xxxxx xxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx rizika xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxxx,
x) stanoví, xxxxxxxxxxx x pravidelně xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury,
c) xxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému xxxxxxxx informační infrastruktury xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx pro zajišťování xxxxxx xxxxxxxxxxx podle §26 a
d) xxxxxxx x aktualizuje xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx xxxxx §13 x 14 xxxxxx, xx xxxxxxx xxxxxxxx
1. výsledky xxxxxxxxx xxxxx xxxxxxxxx xxxxxxxx,
2. xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a
3. vyhodnocení xxxxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.
§15
Xxxxxxxx x xxxxx xxxxxxxx xxxxxxxxxx infrastruktury x významných xxxxxxxxxxxx xxxxxxx
(1) Orgán a xxxxx uvedená x §3 xxxx. x) xx e) zákona x rámci xxxxxxxx x auditu kritické xxxxxxxxxx infrastruktury a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx (xxxx jen "xxxxx xxxxxxxxxxxx xxxxxxxxxxx")
x) xxxxxxxx xxxxxx bezpečnostních xxxxxxxx x xxxxxxxx předpisy, xxxxxxxxx předpisy, xxxxxx xxxxxxxx a smluvními xxxxxxx xxxxxxxxxxxx xx x informačnímu xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx informačnímu systému x xxxx opatření xxx xxxx xxxxxxxxxxx x
x) provádí x xxxxxxxxxxx pravidelné kontroly xxxxxxxxxx bezpečnostní xxxxxxxx x xxxxxxxx xxxxxx xxxxxxx zohlední x xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx a xxxxx xxxxxxxx xxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) a d) xxxxxx zajišťuje xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx x odbornou xxxxxxxxxxx podle §6 xxxx. 6, xxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxx bezpečnostních xxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x d) zákona xxxx pro xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx prostředků xxxxxx xxxxxxxxxxxxxxxx xxxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxx x xxxxxxx xx xxxxxxxx xxxxxxxxxxxxx.
XXXXX XX
XXXXXXXXX XXXXXXXX
§16
Xxxxxxx xxxxxxxxxx
(1) Xxxxx a xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx x xxxxx fyzické xxxxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxxxx xx xxxxxxxxxx prostor, xxx xxxx zpracovávány xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx systému,
b) xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx poškození x xxxxxxx xx xxxxxxxxxx xxxxxxx, xxx xxxx xxxxxxxx informace x xxxxxxxx xxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního systému, x
x) xxxxxxxxx xxxxxxxxx, xxxxxxx xxxx xxxxxxxx xxxxx nebo přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxx xxxxxxxxx ochrany xx xxxxxx objektů a
b) xxx xxxxxxxxx ochrany x xxxxx xxxxxxx xxxxxxxxxx zvýšené bezpečnosti xxxxxxxxxx prostor, xx xxxxxxx jsou xxxxxxxx xxxxxxxxx aktiva xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.
(3) Xxxxxxxxxx fyzické xxxxxxxxxxx xxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxx xxxxxxxxxx,
x) xxxxxxxx elektrické xxxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx omezující xxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxx xxxxxxxx xxxxxx,
x) xxxxxxxx systémy,
g) xxxxxxxx xxx xxxxxxxxx xxxxxxx xxxx xxxxxxxx dodávky xxxxxxxxxxxx napájení x
x) xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxx.
§17
Nástroj xxx ochranu xxxxxxxxx komunikačních xxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxx xxxxxxx xxxxxxxxx rozhraní xxxxxx komunikační sítě, xxxxx xxxx pod xxxxxxx xxxxxx xxxx xxxxx, x xxxxxxx xxxxxxxxxxx sítě, xxxxx xx xxx správou xxxxxx xxxx xxxxx, xxxxxx
x) řízení xxxxxxxxxx xxxxxxxx xxxx xxxxxx x xxxxxxx sítí,
b) xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxxxxxx xxx xxxx xxxxxxxxxxx xxxx xxxx xxxxxxxxxxx xx zvýšení xxxxxxxxxxx aplikací dostupných x xxxxxx xxxx x x zamezení xxxxx komunikace vnitřní xxxx x xxxxxx xxxx,
x) xxxxxxxxxxxxxx xxxxxxxxxx (§25) xxx xxxxxxxx xxxxxxx, xxxxxxxxx správu xxxx xxx xxxxxxx xxxxxx bezdrátových xxxxxxxxxxx x
x) xxxxxxxx pro xxxxxxxxxx nebo xxxxxxxxx xxxxxxxxxxx dat, které xxxxxxxxxxxx xxxxxxxxxx xx xxxxxxx xxxxxxxxx komunikační xxxx.
(2) Orgán x xxxxx uvedená v §3 písm. c) x d) xxxxxx xxxx využívá xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxx komunikační xxxx, xxxxx xxxxxxx xxxx xxxxxxxxxx.
§18
Nástroj xxx xxxxxxxxx xxxxxxxx uživatelů
(1) Orgán x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx xxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx x administrátorů xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x významného xxxxxxxxxxxx systému.
(2) Xxxxxxx xxx ověřování identity xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx xxxxxxx identity xxxxxxxxx x administrátorů xxxx xxxxxxxxx xxxxxx xxxxxxx v informačním xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxx informačním xxxxxxx.
(3) Nástroj xxx xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxx xxxxxxx xxxxxxxxxxx xxxxx xxxxxx, xxxxxxxxx
x) xxxxxxxxx xxxxx hesla xxx xxxxx,
x) minimální xxxxxxxxx xxxxx xxx, xx xxxxx bude xxxxxxxxx xxxxxxx 3 x xxxxxxxxxxxxx čtyř xxxxxxxxx
1. xxxxxxx jedno xxxxx xxxxxxx,
2. xxxxxxx xxxxx xxxx xxxxxxx,
3. xxxxxxx jednu xxxxxxx, xxxx
4. xxxxxxx xxxxx xxxxxxxxx xxxx xxxxxxx xx požadavků uvedených x bodech 1 xx 3,
c) xxxxxxxxx xxxx xxx povinnou xxxxxx hesla nepřesahující xxx xxx; xxxxx xxxxxxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(4) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) zákona xxxx
x) používá nástroj xxx ověření identity, xxxxx
1. xxxxxx opětovnému xxxxxxxxx xxxxx používaných xxxxx x xxxxxxxx xxxx xxxx xxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxx, xxxxx xxxx xxx xxxxxxx 24 hodin, x
2. xxxxxxx xxxxxxxx xxxxxxx xxxxxxxx xx určené xxxx nečinnosti x
x) xxxxxxx xxxxxxx pro xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx. X xxxxxxx, xx xxxxx xxxxxxx využívá xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxxxx minimální xxxxx xxxxx xxxxxxx xxxxx xxx xxxxxxxx požadavků xxxxx xxxxxxxx 3 xxxx. b) a x).
(5) Xxxxxxx xxx xxxxxxxxx identity xxxxxxxxx xxxx xxx xxxxxxxx x xxxxxx způsoby, xxx jaké jsou xxxxxxxxx x xxxxxxxxxx 3 až 5, xxxxx xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxxxxxxxx, xx používá xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxxxx úroveň xxxxxxxxx hesla.
§19
Xxxxxxx pro řízení xxxxxxxxxxxx xxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx používá xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx xxxxxx xxxxxxxxx
x) pro xxxxxxx x xxxxxxxxxxx xxxxxxxxx a xxxxx x
x) xxx čtení xxx, pro zápis xxx x xxx xxxxx xxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxx xxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx v xxxxxxx x bezpečnostními xxxxxxxxx x výsledky xxxxxxxxx xxxxx.
§20
Xxxxxxx pro xxxxxxx xxxx xxxxxxxxx kódem
Orgán x xxxxx uvedená x §3 xxxx. x) až x) xxxxxx pro xxxxxx xxxxx spojených s xxxxxxxxx škodlivého kódu xxxxxxx nástroj xxx xxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačního xxxxxxx xxxx xxxxxxxxx kódem, xxxxx zajistí ověření x xxxxxx kontrolu
a) xxxxxxxxxx xxxx vnitřní xxxx a xxxxxx xxxx,
x) serverů x xxxxxxxxx datových xxxxxxx x
x) xxxxxxxxxx stanic,
přičemž xxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxx xxx ochranu před xxxxxxxxx xxxxx, xxxx xxxxxxx x xxxxxxxx.
§21
Xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významných xxxxxxxxxxxx systémů, jejich xxxxxxxxx a administrátorů
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx používá xxxxxxx pro xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx systému, xxxxx xxxxxxx
x) sběr xxxxxxxxx x xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx typ xxxxxxxx, xxxxx x xxx, xxxxxxxxxxxx technického xxxxxx, xxxxx činnost xxxxxxxxxxx, xxxxxxxxxxxx původce x xxxxx činnosti a xxxxxxxxx nebo xxxxxxxxxxx xxxxxxxx x
x) xxxxxxx xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxx xxxxxx nebo xxxxxx.
(2) Xxxxx x xxxxx uvedená v §3 písm. c) xx x) zákona xxxx pomocí nástroje xxx zaznamenávání činnosti xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx zaznamenává
a) xxxxxxxxxx x odhlášení xxxxxxxxx x administrátorů,
b) xxxxxxxx provedené administrátory,
c) xxxxxxxx xxxxxxx ke xxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx činností x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx a xxxxx xxxxxxxxx činnosti xxxxxxxxx,
x) xxxxxxxx x ukončení xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému,
f) xxxxxxxxxxx xxxxxxx nebo chybová xxxxxxx xxxxxxxxxxx aktiv,
g) xxxxxxxx x xxxxxxxx x xxxxxxxxxx, xxxxxx x xxxxxxxxxx xx xxxxxxx o činnostech x xxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx x
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxx xxxxxx xxxxx xxxxx, xxxxx xxxxxx x xxxxxxxxxx.
(3) Orgán x xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxxx xxxxxxx xx xxxx 3 xxxxxx.
(4) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) zákona xxxxxxxxx nejméně xxxxxx xx 24 hodin xxxxxxxxxxxxx jednotného xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxx xxxxxxxxx xx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx významného xxxxxxxxxxxx xxxxxxx.
§22
Xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
(1) Xxxxx a osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx xx xxxxxxxxxxx xxxxxxxxxxxxxx potřeb x výsledků xxxxxxxxx xxxxx x xxxxx xxxxxxx xxxxxxx, xxxxxxxx x xxxxxxxx zablokování xxxxxxxxxx xxxx vnitřní xxxxxxxxxxx xxxx x xxxxxx xxxx.
(2) Orgán x osoba xxxxxxx x §3 písm. x) a x) xxxxxx xxxx používá xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx xxxxxxx, xxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxx
x) v xxxxx xxxxxxx xxxxxxxxxxx xxxx a
b) serverů xxxxxxxxx do xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§23
Xxxxxxx xxx sběr x vyhodnocení kybernetických xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxxxxx xxxxxxx xxx xxxx x xxxxxxxx vyhodnocení kybernetických xxxxxxxxxxxxxx xxxxxxxx, který x xxxxxxx x xxxxxxxxxxxxxx potřebami x xxxxxxxx hodnocení rizik xxxxxxx
x) xxxxxxxxxxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx pro xxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx xxxx x xxxxxxxxxx xxxxxxxxxxxxxx a
c) xxxxxxxxxxx vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxx.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxx xxxxxxx
x) xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxx xxxxxxxx, xxx xxxx xxxxxxxxx xxxxxxx nesprávného xxxxxxxxxxx xxxxxxxx xxxx případy xxxxxxxxx varování, a
b) xxxxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxxxx xxxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxx xxxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§24
Aplikační bezpečnost
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxxxxxx bezpečnostní xxxxx xxxxxxxxxxxxx aplikací, xxxxx xxxx xxxxxxxxx x xxxxxx sítě, x xx xxxx xxxxxx xxxxxxxx do xxxxxxx x po xxxxx zásadní změně xxxxxxxxxxxxxx xxxxxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) a x) xxxxxx xxxx v xxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx
x) xxxxxxxx x xxxxxxxxx xxxxxxxxxx x vnější xxxx xxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxx provedených xxxxxxxx, xxxxxxxxxxxx xxxx xxxxxxxxxxxxxxx xxxxxx x
x) xxxxxxxxx před xxxxxx xxxxxxxxxxxx, nesprávným směrováním, xxxxxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxxxxxxxx nebo xxxxxxxxxx.
§25
Xxxxxxxxxxxxxx prostředky
(1) Orgán x osoba xxxxxxx x §3 písm. x) až x) xxxxxx
x) xxx xxxxxxxxx xxxxxxxxxxxxxx ochrany stanoví
1. xxxxxx ochrany x xxxxxxx xx xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx x
2. pravidla xxxxxxxxxxxxxx ochrany xxxxxxxxx xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx nebo xxx uložení xx xxxxxxx zařízení xxxx xxxxxxxxxxx technické xxxxxx xxx x
x) x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx a výsledky xxxxxxxxx rizik xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, které xxxxxxx xxxxxxx xxxxxxxxxx x integrity předávaných xxxx xxxxxxxxxx xxx x xxxxxxxxx xxxxxxxxxxxx xxxxx xx provedené xxxxxxxx.
(2) Xxxxx x xxxxx uvedená v §3 písm. x) x x) xxxxxx xxxx
x) xxxxxxx pro xxxxxxxxx xxxxxxxxxxxxxxxx prostředků xxxxxx správy klíčů, xxxxx zajistí xxxxxxxxxx, xxxxxxxxxx, xxxxxxxx, xxxxxxxxx, xxxxx, ničení, kontrolu x xxxxx xxxxx, x
x) xxxxxxx xxxxxx xxxxxxxxxxxxxx algoritmy a xxxxxxxxxxxxxx xxxxx; x xxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxx na xxxxxxxxxxxxxx algoritmy xxxxxxxxx x příloze č. 3 x xxxx vyhlášce xxxx xxxxxx spojená s xxxxx nesouladem.
§26
Xxxxxxx xxx zajišťování xxxxxx xxxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx v xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x výsledky xxxxxxxxx xxxxx používá xxxxxxx xxx zajišťování xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) a d) xxxxxx používá xxxxxxx xxx zajišťování úrovně xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxx
x) xxxxxxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxx xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxx,
x) odolnost xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x komunikačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx xxxxx xxxxxx xxxxxxxxxx, x
x) xxxxxxxxxx xxxxxxxxxx technických xxxxx xxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx
1. xxxxxxxx xxxxxxxxxx x návrhu xxxxxx x
2. xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxx x určeném xxxx.
§27
Xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx
Xxxxx a xxxxx xxxxxxx v §3 xxxx. c) x x) xxxxxx xxx xxxxxxxxxx průmyslových x xxxxxxxx xxxxxxx, xxxxx xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxx xxxxxx xxxxxxxx, xxxxxxx xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx xxxxxxxxx přístupu x síti x xxxxxxxxx průmyslových a xxxxxxxx xxxxxxx,
x) omezení xxxxxxxxx a xxxxxxxxxx xxxxxxxx k síti xxxxxxxxxxxx x xxxxxxxx xxxxxxx,
x) ochranu xxxxxxxxxxxx xxxxxxxxxxx aktiv průmyslových x xxxxxxxx xxxxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxx xx xxxxxxxxxxxxx bezpečnostním xxxxxxxxx.
XXXXX XXX
XXXXXXXXXXXX DOKUMENTACE
§28
Bezpečnostní xxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx xxxx a xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx
x) bezpečnostní politiku xxxxx §5 xxxx. 1,
x) xxxxxx x xxxxxx kybernetické xxxxxxxxxxx xxxxx §3 xxxx. 1 písm. x),
x) xxxxxx z xxxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx xxxxx §3 xxxx. 1 xxxx. x),
x) xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx a xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx,
x) xxxxxx o xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxxxx x xxxxxxxxxxxxxxxx,
x) xxxx zvládání xxxxx,
x) xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx bezpečnostních incidentů xxxxx §13 xxxx. x),
x) xxxxxxxxx řízení xxxxxxxxxx činností xxxxx §14 xxxx. 1 xxxx. x) a
k) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx předpisů a xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxx §15 xxxx. 1 xxxx. x).
(2) Orgán x xxxxx uvedená x §3 xxxx. x) xxxxxx vede x aktualizuje xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxx podle §5 odst. 2,
x) xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxx aktiv x pro xxxxxxxxxxxx x xxxxxxxxx rizik xxxxx §4 xxxx. 2 xxxx. x),
x) xxxxxx x xxxxxxxxx xxxxx a xxxxx xxxxx §4 odst. 2 písm. x) x x),
x) xxxxxxxxxx x xxxxxxxxxxxxxxxx podle §4 xxxx. 2 xxxx. x),
x) plán xxxxxxxx rizik xxxxx §4 odst. 2 xxxx. x),
x) xxxx xxxxxxx bezpečnostního xxxxxxxx xxxxx §9 xxxx. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. x),
x) xxxxxxxxx xxxxxx kontinuity xxxxxxxx xxxxx §14 xxxx. 1 xxxx. c) x
x) xxxxxxx xxxxxxxx xxxxxxxx, vnitřních xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxx §15 xxxx. 1 xxxx. a).
(3) Xxxxx x osoba xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx xxx, xxx xxxxxxx o xxxxxxxxxxx činnostech byly xxxxx, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx x xxx xx xxxx xxxxxx xxxxxxxx. Opatření xxxxxxxx x xxxxxxxxxxxx, uložení, xxxxxxx, xxxxxxxxx, době xxxxxxxxx x xxxxxxxxxx xxxxxxx x provedených xxxxxxxxxx xxxxxxxxxxx.
(4) Doporučená xxxxxxxxx xxxxxxxxxxxx dokumentace xx xxxxxxxxx x příloze č. 4 x této xxxxxxxx.
§29
Xxxxxxxxx certifikace
Orgán x xxxxx xxxxxxx x §3 písm. x) xx x) zákona, xxxxx xxxxxxxxxx systém xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx informační systém xx zcela xxxxxxx xx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx byl xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx xxxxx1) xxxxxxxxxxxxx certifikačním xxxxxxx, x která xxxx xxxxxxxxx obsahující
a) xxxxx rozsahu xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx x xxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) popis xxxxxxx metody hodnocení xxxxx a xxxxxx x xxxxxxxxx xxxxx,
x) xxxxxxxxxx o xxxxxxxxxxxxxxxx,
x) xxxxxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx příslušné technické xxxxx xxxxxxxxxx xx xxxxxxxxxxx informací1),
f) xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx souvisejících xxxxxx x výstupů xxxxxxxxxxx x
x) zprávu x xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxx příslušných xxxxxxx x xxxxxxx xxxxxxxxxx xxxxxx s xxxxxxxxxx xxxxxx,
xxxxxxx xxxxxxxxx xx zavedení bezpečnostních xxxxxxxx xxxxx zákona x xxxx vyhlášky.
XXXX TŘETÍ
KYBERNETICKÝ XXXXXXXXXXXX XXXXXXXX
§30
Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx xxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx rozděleny xx xxxxxxxxxxxxx xxxx
x) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx xxxxxxxx vedoucí x xxxxxxx xx xxxxxxx nebo k xxxxxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx,
x) kybernetický xxxxxxxxxxxx xxxxxxxx způsobený porušením xxxxxxxxxxxxx opatření,
e) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxx x xxxxxxxx trvale xxxxxxxxxx hrozeb a
f) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx.
(2) Xxxxx xxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx incident způsobující xxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx narušení integrity xxxxx,
x) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx narušení xxxxxxxxxxx xxxxx, xxxx
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxx x) xx x).
§31
Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Pro xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx se xxxxx xxxxxxxx x negativních xxxxxxx kybernetické bezpečnostní xxxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxx
x) Kategorie XXX - xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, při kterém xx přímo x xxxxxxxx narušena bezpečnost xxxxxxxxxxxxx xxxxxx nebo xxxxx. Xxxx řešení xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x tím, xx xxxx xxx xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx dalšímu šíření xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxx.
x) Xxxxxxxxx XX - xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx xxxxxx xx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx zásahy xxxxxxx s xxx, xx xxxx být xxxxxxxx xxxxxxxxxx zabráněno xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
x) Xxxxxxxxx X - xxxx xxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, při kterém xxxxxxx x méně xxxxxxxxxx xxxxxxxx bezpečnosti xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho xxxxxx xxxxxxxx xxxxxx xxxxxxx x xxx, xx xxxx xxx vhodnými xxxxxxxxxx omezeno xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
(2) Xxxxx x osoba uvedená x §3 xxxx. x) xx x) xxxxxx při xxxxxxxxxxxx xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx podle odstavce 1 xxxxxxxx
x) xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxx na xxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, komunikačními xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x
x) xxxxxxxxxxxxx xxxxx x xxxxx xxxxxx.
§32
Xxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Xxxxx x xxxxx uvedená v §3 xxxx. c) xx x) xxxxxx xxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx
x) x xxxxxxxxxxxx xxxxxx prostřednictvím
1. elektronického xxxxxxxxx xxxxxxxxxxxx xx xxxxxxxxxxxxx stránkách Úřadu,
2. xxxxxx xx xxxxxx xxxxxxxxxxxx xxxxx Xxxxx xxxxxx pro xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
3. xxxxxx zprávy xx xxxxxx schránky Xxxxx, xxxx
4. xxxxxxxxxxxxxxx určeného xxxxxxxx rozhraní, xxxxx xxxxx xx xxxxxxxxx xx internetových xxxxxxxxx Xxxxx, xxxxx
x) x xxxxxxxx podobě na xxxxxx Xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxx v xxxxxxxx xxxxxx se xxxxxx xxxxx v xxxxxxxxx, xxx xxxxx xxxxxx žádný xx xxxxxxx xxxxxxxxx x xxxxxxxx 1 xxxx. x).
(3) Xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxx uvedeny v příloze č. 5 x této xxxxxxxx.
ČÁST ČTVRTÁ
REAKTIVNÍ XXXXXXXX X XXXXXXXXX XXXXX
§33
Xxxxxxxxx xxxxxxxx
Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) až x) zákona xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx výsledek xx xxxxxxxxx, xxxxx xxxx xx xxxxxx x příloze č. 6 x xxxx vyhlášce.
§34
Kontaktní xxxxx
Xxxxx x xxxxx uvedená x §3 xxxxxx oznamuje xxxxxxxxx xxxxx na xxxxxxxxx, xxxxx xxxx xx xxxxxx v příloze č. 7 x xxxx xxxxxxxx. Orgán x xxxxx xxxxxxx x §3 písm. x) xx e) zákona xxxxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxx x §32 xxxx. 1 xxxx. x).
ČÁST XXXX
XXXXXXXX
§35
Xxxx vyhláška xxxxxx xxxxxxxxx xxxx 1. ledna 2015.
Xxxxxxx:
Xxx. Xxxxxxxx x. r.
Xxxxxxx x. 1 x vyhlášce x. 316/2014 Xx.
Xxxxxxxxx x xxxxxx xxxxxxxxxxx xxxxx
Xxx xxxxxxxxx xxxxxxxxxxx aktiv xxxx použity xxxxxxxx x čtyřech úrovních. Xxxxx xxxx xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona xxxx xxxxxxxx odlišný počet xxxxxx pro xxxxxxxxx xxxxxxxxxxx aktiv, než xxxx xx xxxxxx x xxxx xxxxxxx, xxxxxx-xx jednoznačné vazby xxxx jí používaným xxxxxxxx xxxxxxxxx důležitosti xxxxx a xxxxxxxxxx x úrovněmi xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx jsou uvedeny x této příloze.
V xxxxxxx použití xxx xxxxxx hodnocení xxxxxxxxxxx xxxxx xx xxxxxxxxx xxxxxxx buď xxxxxx xxxxx a střední, xxxx úrovně xxxxxx x xxxxxxxx.
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxx jsou xxxxxxx xxxxxxxxx nebo xxxx xxxxxx xx xxxxxxxxxx (xxxx. xx xxxxxxx xxxxxx č. 106/1999 Sb., x xxxxxxxxx xxxxxxxx x informacím, xx xxxxx pozdějších xxxxxxxx). Xxxxxxxx důvěrnosti xxxxx xxxxxxxxxx oprávněné xxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx. |
Xxxx vyžadována xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx nejsou xxxxxxx přístupná x xxxxx xxxx-xxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx, xxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxxxx ujednáním. |
Pro ochranu xxxxxxxxxx jsou xxxxxxxxx xxxxxxxxxx xxx xxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx a jejich xxxxxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx (xxxx. xxxxxxxx xxxxxxxxx podle xxxxxx č. 89/2012 Sb., občanský xxxxxxx, xxxxxx údaje podle xxxxxx č. 101/2000 Sb., o xxxxxxx osobních xxxxx, xx xxxxx xxxxxxxxxx xxxxxxxx). |
Xxx xxxxxxx důvěrnosti xxxx xxxxxxxxx xxxxxxxxxx, xxxxx zajistí řízení x zaznamenávání přístupu. Xxxxxxx xxxxxxxxx vnější xxxxxxxxxxx sítí jsou xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx nejsou veřejně xxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx míru xxxxxxx xxx rámec xxxxxxxxx xxxxxxxxx (např. xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxx xxxxx). |
Xxx ochranu xxxxxxxxxx xx xxxxxxxxxx xxxxxxxx osob, které x xxxxxxx xxxxxxxxxxx, x xxxxxx ochrany xxxxxxxxxxx xxxxxxxx xxxxx xx xxxxxx xxxxxxxxxxxxxx. Xxxxxxx informací jsou xxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx nevyžaduje xxxxxxx x xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx aktiva xxxxxxxxxx oprávněné zájmy xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx xxxxxxxxx xxxxxxx z xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx xxxxxx xxxx xxxx x poškození xxxxxxxxxxx xxxxx orgánu x xxxxx uvedené v §3 xxxx. c) xx x) xxxxxx x xxxx xx xxxxxxxx xxxx závažnými xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx integrity xxxx xxxxxxxxx standardní xxxxxxxx (např. xxxxxxx xxxxxxxxxxxx xxxx pro xxxxx). |
|
Xxxxxx |
Xxxxxxx vyžaduje xxxxxxx x xxxxxxxx integrity. Xxxxxxxx integrity xxxxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx x osoby xxxxxxx x §3 písm. x) xx x) xxxxxx x xxxxxxxxxxx xxxxxx na primární xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx speciální xxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx historii xxxxxxxxxxx xxxx a zaznamenat xxxxxxxx xxxxx xxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx vnějšími komunikačními xxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxx x xxxxx xxxxxxx xxxxxxxxx oprávněných xxxxx xxxxxx x xxxxx uvedené x §3 písm. x) xx x) xxxxxx x xxxxxxx x xxxxx xxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx jsou využívány xxxxxxxxx prostředky xxxxxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (xxxx. xxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx). |
Xxxxxxxx xxx xxxxxxxxx dostupnosti
|
Úroveň |
Popis |
Ochrana |
|
Nízká |
Narušení xxxxxxxxxxx aktiva xxxx xxxxxxxx x x xxxxxxx xxxxxxx xx xxxxx xxxxxxxxxx delší xxxxxx xxxxxx pro xxxxxxx (xxx xx 1 xxxxx). |
Xxx ochranu xxxxxxxxxxx je postačující xxxxxxxxxx zálohování. |
|
Střední |
Narušení xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx dobu pracovního xxx, xxxxxxxxxxxxx xxxxxxx xxxx x možnému xxxxxxxx xxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx a xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx překročit xxxx xxxxxxxx xxxxx. Jakýkoli xxxxxxx je xxxxx xxxxx xxxxxxxxxx, xxxxxxx xxxx x xxxxxxx xxxxxxxx zájmů xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx. Xxxxxx xxxx xxxxxxxxxx xxxx velmi xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx může xxx xxxxxxxxx xxxxxx xxxxxxx xxxx xxxxxxx technických xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xxxx xxxxxxxxx a x xxxxxxxxxx nedostupnost (x řádu několika xxxxx) xxxx k xxxxxxx xxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx. Aktiva xxxx xxxxxxxxxx jako xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx záložní xxxxxxx x xxxxxx poskytování xxxxxx je xxxxxxxxxx x automatizovaná. |
Xxxxxxx x. 2 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx xxxxx
Xxxxxxxxx xxxxx xx xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxx dopad, hrozba x xxxxxxxxxxxx.
Xxx xxxxxxxxx xxxxx xxx použít xxxxxxx xxxx xxxxxx
xxxxxx = xxxxx x xxxxxx x xxxxxxxxxxxx.
Xxxxxxxxxxx xxxxxx funkce xxx xxxxxx rizika xx xxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx rizika
|
Stupnice xxx xxxxxxxxx dopadů |
|
|
Úroveň |
Popis |
|
Nízký |
Dopad je x omezeném xxxxxxx xxxxxx x xxxxxx xxxxxxx x nesmí xxx katastrofický. Rozsah případných xxxx xxxxxxxxxxx x) 10 xxxxxxxxx osob s xxxxxxxxx xxxxxxxxxxxxx po xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx do 5 000 000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx veřejnost x rozsáhlým xxxxxxxx xxxxxxxxxx služeb nebo xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx nejvýše 250 xxxx. |
|
Xxxxxxx |
Xxxxx xx omezeného xxxxxxx a x xxxxxxxx časovém xxxxxx. Xxxxxx xxxxxxxxxx škod se xxxxxxxx x rozmezí a) xx 10 mrtvých xxxx od 11 xx 100 xxxx x následnou hospitalizací xx xxxx xxxxx xxx 24 xxxxx xxxx x) finanční xxxx xxxxxxxxxx ztráty od 5&xxxx;000&xxxx;000 Xx xx 50&xxxx;000&xxxx;000 Kč xxxxx x) xxxxxxxxxxx dopad xx xxxxxxxxx x rozsáhlým xxxxxxxx nezbytných služeb xxxx jiného xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx postihujícího od 251 xx 2&xxxx;500 xxxx. |
|
Xxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx, ale trvalý xxxx xxxxxxxxxxxxx. Xxxxxx případných xxxx xx xxxxxxxx x xxxxxxx x) od 11 xx 100 xxxxxxx xxxx xx 101 xx 1 000 xxxx x xxxxxxxxx xxxxxxxxxxxxx po xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx nebo xxxxxxxxxx xxxxxx od 50 000 000 Xx xx 500&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx na veřejnost x xxxxxxxxx xxxxxxxx xxxxxxxxxx služeb xxxx xxxxxx xxxxxxxxx zásahu xx xxxxxxxxxxxx života xxxxxxxxxxxxx xx 2&xxxx;501 xx 25 000 osob. |
|
Kritický |
Dopad xx xxxxxx rozsahem, xxxxxx a katastrofický. Rozsah xxxxxxxxxx xxxx se xxxxxxxx x rozmezí a) 10 a xxxx xxxxxxx x 1 001 x xxxx xxxx s následnou xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx xxxx x) finanční xxxx materiální ztráty xxxxxxxxxxx 500&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx omezením xxxxxxxxxx xxxxxx nebo xxxxxx xxxxxxxxx zásahu do xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxx xxx 25&xxxx;000 xxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx neexistuje xxxx xx xxxx pravděpodobná. Xxxxxxxxxxxxx xxxxxxxxx hrozby xxxx xxxxxxxx xxx xxxxxx xx 5 xxx. |
|
Xxxxxxx |
Xxxxxx je málo xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxxxxxxxxxxx realizace hrozby xx x xxxxxxx xx 1 xxxx xx 5 xxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxxxxx xx xxxxx pravděpodobná. Předpokládaná xxxxxxxxx xxxxxx xx x xxxxxxx od 1 xxxxxx do 1 xxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. Xxxxxxxxxxxxx xxxxxxxxx hrozby xx xxxxxxxx než jednou xx měsíc. |
|
Stupnice pro xxxxxxxxx xxxxxxxxxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx neexistuje xxxx xx zneužití xxxxxxxxxxxxx xxxx xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxx včas detekovat xxxxx xxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxxxxxx xx xxxx xxxxxxxxxxxxx až xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxxxxx xx pravidelně xxxxxxxxxxxx. Schopnost xxxxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx je xxxxxxx. Xxxxxx xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx je pravděpodobná xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx existují, xxx xxxxxx účinnost xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx a xxxx xxxxxxxxxx xxxxxxxxxxxx. Jsou xxxxx xxxxx xxxxxxx xxxxxx o xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxxxxxx je xxxxx xxxxxxxxxxxxx až xx xxxxxxxx xxxxx xxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxx xx jejich xxxxxxxx xxxxxx xxxxxxx. Neprobíhá xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Xxxx xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx pro xxxxxxxxx xxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx za xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx xxxxxxx xxxx náročnými xxxxxxxxxx xxxx x xxxxxxx xxxxx náročnosti xxxxxxxx xx xxxxxx přijatelné. |
|
Vysoké |
Riziko xx xxxxxxxxxx xxxxxxxxxxx x xxxx být xxxxxxxx xxxxxxxxxxxx xxxxx x xxxx odstranění. |
|
Kritické |
Riziko xx xxxxxxxxxxx x xxxx být xxxxxxxxxx xxxxxxxx xxxxx k xxxx xxxxxxxxxx. |
X xxxxxxx, xx orgán xxxx xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxxx xxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx, xxxxx nerozlišuje xxxxxxxxx xxxxxx x xxxxxxxxxxxxx, xx xxxxx xxxxxxxx pro xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxx xx xxxxxx xxxx xx xxxxxx xxxxxxxxxx xxxxxxxxx xxxx hrozby x xxxxxxxxxxxxx. Xx xxxxx xxxxxx lze xxxxxx xxxxxxxxx xxxxxxxx, xxxxx zřetelně xxxxxxx xxx xxxxxx xxxxxx, xxx x xxxxxx xxxxxxxxxxxxx. Xxxxxxx postupuje x orgán nebo xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx, xxxxx používá jiný xxxxx xxxxxx xxx xxxxxxxxx xxxxxx, hrozeb, xxxxxxxxxxxxx x xxxxx.
Xxxxxxx č. 3 x vyhlášce x. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxx
x) Xxxxxxx x xxxxxxxx xxxxx xxx xxxxxxx xxxxxxxxxx x xxxxxxxxx
1. Xxxxxxxx Xxxxxxxxxx Xxxxxxxx (XXX) x xxxxxxxx xxxxx xxxxx 128, 192 x 256 xxxx Xxxxxx Data Encryption Xxxxxxxx (3XXX) x xxxxxxxx xxxxx klíčů 168 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx klíče xxxxxx xxx 10 GB, xxxxxxxx xxxxxxxxx xx XXX.
2. Xxxxxx Xxxx Xxxxxxxxxx Standard (3XXX) x xxxxxxxx xxxxx xxxxx 112 xxxx, xxxxxxx použití jen xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX, xxxxxxxx xxxxxxxxx xx XXX. Doporučeno xxxxxxx xxxxxxxxxxx klíče xxx xxxxxx xxxxxx.
3. Xxxxxxxx x využitím xxxxxxxxx délky xxxxx 128 bitů, omezené xxxxxxx xxx se xxxxxxxxx xxxxx xxxxxx xxx 10 XX.
4. Xxxxxx x xxxxxxxx xxxxx klíčů 128 xxxx, xxxxxxx použití xxx xx xxxxxxxxx xxxxx xxxxxx než 10 XX.
5. Xxxxxxx x xxxxxxxx xxxxx xxxxx 128 xx 256 bitů.
6. Xxxxxxx x xxxxxxxx xxxxx xxxxx 128, 192, 256 bitů.
7. Xxxxxxxx x xxxxxxxx délky xxxxx 128, 192 x 256 bitů.
8. XXXX 2.0, XXXX 3X s xxxxxxxx xxxxx klíčů 128, 256 xxxx.
x) Módy xxxxxxxxx s xxxxxxxx xxxxxxxxx
1. XXX,
2. EAX,
3. XXX,
4. Xxxxxxx xxxxxxxx xxxx "Xxxxxxx-xxxx-XXX".
Xxxxxxxx:
Xxxxxxxx typu "Xxxxxxx-xxxx-XXX",xxxx používat k xxxxxxxxx pouze xxxxxxx xxxxxxxxx módy x x xxxxxxx MAC xxxxx xxxxxxx xxxx xxx ochranu xxxxxxxxx.
x) Xxxx xxxxxxxxx
1. XXX,
2. XXX,
3. XXX,
4. XXX,
Xxxxxxxx:
Xxxx XXX x XXX xxxx být xxxxxxx x xxxxxxxx, xxx xxxxxxxx nepředpověditelným inicializačním xxxxxxxx, xxx xxxxxxx xxxx XXX se xxx daný xxxx xxxxx xxxxxxxx hodnota xxxxxxxxxxxxxxx xxxxxxx, xxx xxxxxxx xxxx XXX xx pro xxxx xxxx nesmí xxxxxxxx xxxxxxx čítače, x xxxxxxx použití XXX xxxx k šifrování xxx xxxxxxx xxxxxxxxx xx xxxxx ověřit xxxxxxxx xxxxx xxxxx xx xxxxxxx XXX xxxx.
x) Xxxx xxx xxxxxxx xxxxxxxxx
1. HMAC,
2. XXX-XXX-X9.19, xxxxxxx použití xxx xx zatížením xxxxxx xxx 109 XXX,
3. CBC-MAC-EMAC,
4. XXXX.
(2) Xxxxxxxxxxx algoritmy
a) Xxx xxxxxxxxxxx xxxxxxxxxxx podpisu
1. Xxxxxxx Xxxxxxxxx Algorithm (XXX) x xxxxxxxx xxxxx xxxxx 2048 xxxx a xxxx, xxxxx parametru xxxxxxxx xxxxxxxx 224 bitů x více.
2. Xxxxxxxx Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxxxxx (XX-XXX) x xxxxxxxx délky klíčů 224 xxxx x xxxx.
3. Rivest-Shamir-Adleman Xxxxxxxxxxxx Xxxxxxxxx Xxxxxx (RSA-PSS) x xxxxxxxx délky xxxxx 2048 xxxx x xxxx.
x) Pro xxxxxxx xxxxx na xxxxx x xxxxxxxxx xxxxx
1. Xxxxxx-Xxxxxxx (DH) x využitím xxxxx xxxxx 2048 bitů x xxxx, délky xxxxxxxxx xxxxxxx podgrupy 224 bitů x xxxx.
2. Elliptic Xxxxx Xxxxxx-Xxxxxxx (XXXX) x xxxxxxxx xxxxx xxxxx 224 bitů a xxxx.
3. Xxxxxxxx Xxxxx Xxxxxxxxxx Xxxxxxxxxx System - Xxx Encapculation Xxxxxxxxx (ECIES-KEM) s xxxxxxxx xxxxx xxxxx 256 xxxx x xxxx.
4. Xxxxxxxx Xxxxxx Xxxxxxxx Xxxxx - Xxx Xxxxxxxxxxxxx Mechanism (XXXX-XXX) x využitím xxxxx xxxxx 256 xxxx xxxx.
5. Asymetrie Xxxxxxx xxx Key Xxxxxxxxxxxxx Xxxxxxxxx (ACE-KEM) x využitím xxxxx xxxxx 256 xxxx x xxxx.
6. Rivest Xxxxxx Adleman - Xxxxxxx Asymetrie Encryption Xxxxxxx (XXX-XXXX) s xxxxxxxx xxxxx xxxxx 2048 x více.
7. Xxxxxx Xxxxxx Adleman - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (RSA-KEM) x xxxxxxxx délky xxxxx 2048 a xxxx.
(3) Xxxxxxxxx xxxx xxxxxx
x) XXX-2
1. XXX-224,
2. SHA-256,
3. XXX-384,
4. SHA-512,
5. SHA-512/224,
6. XXX-512/256.
x) XXX-3
1. XXX3-224,
2. XXX3-256,
3. XXX3-384,
4. XXX3-512,
5. XXXXX-128,
6. XXXXX-256.
x) Ostatní xxxxxxxx xxxxxx
1. Xxxxxxxx,
2. XXXXXX-160,
3. XXX 1 x omezeným xxxxxxxx.
Xxxxxxxx x. 1:
SHA-1 xx xxxxx xxxxxxxx pro xxxxxxxxxx xxxxxx digitálních xxxxxxx, xxxxxxxx razítek, xxxxxxxxx jiné xxxxxxxx xxxxxxxxxx nekolizní SHA-1.
Poznámka x. 2:
XXX-1 xxx xxxxxxxx xxxxx pro xxxxxxxxx xxx existujících xxxxxxxxxxx xxxxxxx a xxxxxxxx razítek, generování x xxxxxxxxx XXXX-XXX1, xxxxxx xxx odvozování xxxxx x xxxxxxxxxxxxx xxxxxxxxxx.
Xxxxxxx č. 4 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx bezpečnostní xxxxxxxxxxx
Xxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx zahrnují xxxxxx, která xxxxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxx pokrývají, xxxxxxx xxxxxxx struktury dokumentů xxxxxx závazné x xx xx orgánu xxxx xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx, jaký xxxxxxx x tvorbě bezpečnostní xxxxxxxxxxx xxxxxxx. Xxxxxxxxx xx x xxxxx xxxxx xxxxxxxxxxxx dokumentů xxxx integrování více xxxxx xx xxxxxxx xxxxxxxxx.
X. Xxxxxxxxx xxxxxxxxxxxx xxxxxxxx
(1) Politika systému xxxxxx bezpečnosti informací*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxx, principy a xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxx a xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.
c) Xxxxxxxx x postupy xxx xxxxxx dokumentace.
d) Xxxxxxxx x postupy xxx xxxxxx xxxxxx a xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx přezkoumání xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxx x xxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
(2) Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx**
[§5 xxxx. 1 xxxx. b), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx bezpečnostních xxxx x jejich xxxx x xxxxxxxxxx,
1. xxxxx x povinnosti xxxxxxxx kybernetické xxxxxxxxxxx,
2. xxxxx x xxxxxxxxxx xxxxxxxxxx kybernetické bezpečnosti,
3. xxxxx x povinnosti xxxxxxxx kybernetické bezpečnosti,
4. xxxxx a xxxxxxxxxx xxxxxxx xxxxx,
5. práva x xxxxxxxxxx xxxxxx xxx řízení kybernetické xxxxxxxxxxx.
x) Požadavky na xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxx.
(3) Xxxxxxxx řízení dodavatelů**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx a xxxxxxxx xxx xxxxx xxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxx xxxxxxxxxx.
x) Xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxx x xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x x xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx xxx hodnocení xxxxxxxxxx.
(4) Xxxxxxxx xxxxxxxxxxx xxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Identifikace, hodnocení x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx a xxxxxxxx jednotlivých xxxxxxxxxx xxxxx včetně xxxxxx xxxxxx xxxxxxx,
2. hodnocení xxxxxxxxxxx xxxxxxxxxx xxxxx x hlediska xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxxxxxxx, xxxxxxxxx a xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x evidence xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx
1. způsoby xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx xxxxx xxxxx xxxxxx aktiv,
3. xxxxxxxxx způsoby používání xxxxx.
x) Způsoby xxxxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx xxx.
(5) Xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Pravidla xxxxxxx xxxxxxxxxxxxxx povědomí x xxxxxxx xxxx xxxxxxxxx
1. xxxxxxx x xxxxx xxxxxxx xxxxxxxxx,
2. xxxxxxx x xxxxx xxxxxxx xxxxxxx xxxxx,
3. způsoby x xxxxx xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx x xxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx bezpečnostní xxxx.
x) Xxxxxxxxxxxx školení xxxxxx xxxxxxxxxxx.
x) Pravidla xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx.
x) Pravidla pro xxxxxxxx pracovního xxxxxx xxxx xxxxx xxxxxxxx xxxxxx.
1. xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx xxxx při xxxxxxxx xxxxxxxxxx xxxxxx,
2. xxxxx xxxxxxxxxxxx oprávnění xxx xxxxx pracovní xxxxxx.
(6) Xxxxxxxx řízení xxxxxxx x xxxxxxxxxx**
[§5 odst. 1 písm. f), §5 xxxx. 2 xxxx. x)]
x) Pravomoci x odpovědnosti xxxxxxx x bezpečným xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx a standardy xxxxxxxxxx provozu.
d) Xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x bezpečnostních xxxxx.
(7) Xxxxxxxx řízení xxxxxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Princip xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (need xx know).
b) Požadavky xx xxxxxx přístupu.
c) Xxxxxxx xxxxxx xxxxxx xxxxxxxx.
x) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.
x) Řízení xxxxxxxx xxx mimořádné xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx v xxxxxxxxxxxx xxxxxxxxx.
(8) Xxxxxxxx xxxxxxxxxx chování xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxx xxx xxxxxxxx xxxxxxxxx x aktivy.
b) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx použití xxxxxxxxxxxx xxxxx x xxxxxxxx xx internet.
d) Xxxxxxxx xxxxxxxx přístup.
e) Xxxxxxxx xxxxxxx xx xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx xx vztahu x xxxxxxxx zařízením.
(9) Politika xxxxxxxxxx x xxxxxx**
[§5 xxxx. 1 písm. x), §5 odst. 2 písm. x)]
x) Xxxxxxxxx xx xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx.
x) Xxxxxxxx bezpečného xxxxxxx xxxxx.
x) Pravidla a xxxxxxx xxxxxx.
x) Pravidla x postupy xxxxxxxxx xxxxxxxxxx x obnovy.
(10) Xxxxxxxx xxxxxxxxxx předávání x výměny informací**
[§5 xxxx. 1 písm. x)]
x) Xxxxxxxx x xxxxxxx xxx ochranu xxxxxxxxxxx informací.
b) Xxxxxxx xxxxxxx elektronické xxxxxx xxxxxxxxx.
x) Pravidla pro xxxxxxxxx xxxxxxxxxxxxxx ochrany.
(11) Xxxxxxxx xxxxxx technických xxxxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx vybavení,
b) Xxxxxxxx x postupy xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) Xxxxxxxx a xxxxxxx xxxxxxxxx xxxxx programového xxxxxxxx,
x) Pravidla x xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
(12) Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx*
[§5 xxxx. 1 xxxx. 1)]
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxx x xxxxx xxxxxxx v §3 xxxx. x) a x) xxxxxx xxxxxxxxxxx.
(13) Xxxxxxxx poskytování a xxxxxxxx licencí programového xxxxxxxx x xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x postupy xxxxxxxx xxxxxxxxxxxx vybavení x xxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx podmínek.
(14) Xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx informací*
[§5 odst. x písm. n)]
a) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxx.
x) Xxxxxxx xxxxxxxxxxxxx xxxxxxxxx a záznamů.
c) Xxxxxxxx xxxxxxxx k xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxx.
(15) Xxxxxxxx xxxxxxx xxxxxxxx xxxxx*
[§5 xxxx. x xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx osobních xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx organizačních xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
x) Popis xxxxxxxxx x provedených xxxxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxx xxxxx.
(16) Xxxxxxxx xxxxxxx xxxxxxxxxxx**
[§5 xxxx. x písm. x)]
x) Xxxxxxxx xxx xxxxxxx xxxxxxx.
x) Xxxxxxxx pro xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx pro ochranu xxxxxxxx.
x) Xxxxxxx narušení xxxxxxx xxxxxxxxxxx.
(17) Xxxxxxxx xxxxxxxxxxx komunikační xxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx sítě.
b) Určení xxxx x povinností xx bezpečný xxxxxx xxxx.
x) Pravidla x xxxxxxx pro řízení xxxxxxxx x xxxxx xxxx.
x) Pravidla x xxxxxxx xxx ochranu xxxxxxxxxx xxxxxxxx x xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.
(18) Politika xxxxxxx xxxx škodlivým xxxxx*
[§5 xxxx. x xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Pravidla x xxxxxxx xxx ochranu xxxxxxxxxx xxxx xxxxxxx x xxxxxx xxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxx.
(19) Xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí**
[§5 xxxx. 1 písm. x), §5 odst. 2 písm. x)]
x) Xxxxxxxx a xxxxxxx xxxxxxxx nástroje pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Provozní xxxxxxx xxx xxxxxxxxxxxxx a xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
(20) Xxxxxxxx využití x xxxxxx xxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla x xxxxxxx xxx xxxxxxxx x vyhodnocení kybernetických xxxxxxxxxxxxxx událostí.
b) Xxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx optimální xxxxxxxxx xxxxxxxxxxxxxx vlastností xxxxxxxx xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(21) Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Úroveň ochrany x xxxxxxx xx xxx a sílu xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx ochrany informací
1. xxx přenosu xx xxxxxxxxxxxxx sítích,
2. xxx xxxxxxx xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxx xxx,
x) Xxxxxx xxxxxx xxxxx.
XX. Xxxxxxxxx xxxxx xxxxxxxxxxx
(1) Xxxxxx x auditu xxxxxxxxxxxx xxxxxxxxxxx**
[§28 odst. 1 xxxx. x)]
x) Xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Předmět xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx xxxx xxxxxxxx x xxxx, které xx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx.
x) Xxxxx x xxxxx, xxx xxxx xxxxxxxxx xxxxxxxx xxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxx kybernetické bezpečnosti.
g) Xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(2) Xxxxxx z xxxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 xxxx. x)]
x) Xxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti informací,
b) Xxxxxxxxxxxx xxxx x xxxxxxxxx, xxxxx xxxxx xxx xxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Zpětná vazba x výkonnosti xxxxxx xxxxxxxxxxx xxxxxxxxx
1. neshody x nápravná xxxxxxxx,
2. xxxxxxxx xxxxxxxxxxxx x xxxxxx,
3. výsledky xxxxxx,
4. xxxxxxxx cílů bezpečnosti,
d) Xxxxxxxx hodnocení xxxxx x stav xxxxx xxxxxxxx xxxxx.
x) Identifikace xxxxxxxx pro neustálé xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx opatření x xxxx zajišťujících xxxxx xxxxxxxxxxxx xxxxxxxx.
(3) Xxxxxxxx xxx identifikaci x xxxxxxxxx aktiv x pro xxxxxxxxxxxx x xxxxxxxxx xxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. b)]
a) Xxxxxx xxxxxxxx xxx xxxxxxxxx primárních aktiv
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx důvěrnosti xxxxx,
2. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxxxxxx xxxxx,
3. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxxxxxxxx xxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx pro hodnocení xxxxxx xxxxxx,
2. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxxx,
3. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxxxxxxxxxx,
4. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxx,
x) Metody x xxxxxxxx xxx xxxxxxxx xxxxx.
x) Způsoby xxxxxxxxxxx xxxxxxxxxxxx xxxxx.
(4) Xxxxxx x xxxxxxxxx xxxxx x rizik**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. x)]
x) Xxxxxxx primárních xxxxx
1. xxxxxxxxxxxx x popis xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx primárních xxxxx,
3. xxxxxxxxx xxxxxxxxxx xxxxx x hlediska xxxxxxxxxx, xxxxxxxxx x dostupnosti.
b) Xxxxxxx podpůrných aktiv (xxxxxxx xxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) xxxxxx)
1. xxxxxxxxxxxx x popis xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx aktiv,
3. xxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx aktivy,
c) Xxxxxxxxxxxxxx x xxxxxxxxx xxxxx
1. xxxxxxxxx možných xxxxxx na xxxxxx,
2. xxxxxxxxx existujících hrozeb,
3. xxxxxxxxx existujících xxxxxxxxxxxxx, xxxxxxxxx existujících xxxxxxxx,
4. xxxxxxxxx xxxxxx rizika, xxxxxxxxx xxxx xxxxxx x xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
5. určení x xxxxxxxxx xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxx
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. návrh opatření x jejich realizace.
(5) Xxxxxxxxxx o aplikovatelnosti*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 písm. x)]
x) Xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxx xxxxxx a xxxxxx xxxxx xx xxxxxxxxxxxxxx xxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx opatření.
(6) Xxxx zvládání rizik**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. x)]
x) Xxxxx x xxxx xxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx.
x) Xxxxxxxx zdroje xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
c) Xxxxx zajišťující jednotlivá xxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxx jednotlivých xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxxxx zavedení xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
(7) Xxxx xxxxxxx xxxxxxxxxxxxxx povědomí*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. f)]
a) Xxxxx a xxxxxxx xxxxxxx xxxxxxxxx.
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxx xxxxx (xxxxxxx xxx xxxxxx x xxxxx uvedené v §3 xxxx. x) xxxxxx).
x) Obsah x xxxxxxx poučení xxxxxxxxxxxxxx (xxxxxxx xxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) zákona).
d) Obsah x termíny xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
e) Xxxxx x termíny xxxxxxx xxxxxx xxxxxxxxxxx.
x) Formy x způsoby xxxxxxxxx xxxxx.
(8) Zvládání kybernetických xxxxxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Definování xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx pro xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla a xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů x xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(9) Xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Cíle xxxxxx kontinuity činností
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx,
2. xxxx xxxxxxxx xxxxx,
3. bod obnovení xxxxx.
x) Xxxxxxxxx řízení xxxxxxxxxx činností xxx xxxxxxxx xxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx kontinuitu x xxxxxxxxxx xxxxxxxxxxxxx rizik.
e) Xxxxxx x xxxxx xxxxxxxxxx plánů xxxxxxxxxx.
x) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx.
(10) Xxxxxxx xxxxxx závazných xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx předpisů x xxxxxxxxx xxxxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. i)]
a) Xxxxxxx obecně xxxxxxxxx xxxxxxxx předpisů.
b) Přehled xxxxxxxxx předpisů x xxxxxx předpisů.
c) Xxxxxxx xxxxxxxxx závazků.
Poznámka:
* Xxxxxxxxx xxxxxxxxx xxxxxxxxx xx xx xxxxxx xxxxxxx xxxxx xxxxxxxx uvedené x příloze č. 1: Xxxxxxxxx x xxxxxx aktiv.
** Xxxxxxxxx xxxxxxxxx xxxxxxxxx xx xx xxxxxx xxxxxx xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.
Xxxxxxx x. 5 x vyhlášce x. 316/2014 Xx.
Xxxxxxxx hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx x. 6 x vyhlášce x. 316/2014 Sb.
Formulář xxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx a xxxx xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx č. 7 x xxxxxxxx x. 316/2014 Sb.
Formulář xxx xxxxxxx xxxxxxxxxxx xxxxx
Vyplnitelný formulář ve formátu PDF
Informace
Právní xxxxxxx x. 316/2014 Sb. xxxxx xxxxxxxxx dnem 1.1.2015.
Xx xxx xxxxxxxx xxxxxx xxxxxxx xxxxx měněn xx doplňován.
Právní xxxxxxx x. 316/2014 Xx. xxx zrušen xxxxxxx xxxxxxxxx č. 82/2018 Sb. x xxxxxxxxx od 28.5.2018.
Xxxxx xxxxxxxxxxxx právních norem xxxxxx právních předpisů x odkazech xxxx xxxxxxxxxxxxx, xxxxx xx xxxx xxxxxx xxxxxxxxx xxxxx shora xxxxxxxxx xxxxxxxx xxxxxxxx.
1) XXX/XXX 27001:2013, xxxxxxxx ČSN ISO/IEC 27001:2014