Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
XXXXXXXX
xx dne 15. xxxxxxxx 2014
x bezpečnostních xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x o xxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxx kybernetické xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx xxxxxxxxxxxx xxxx xxxxxxx xxxxx §28 xxxx. 2 zákona x. 181/2014 Sb., x kybernetické xxxxxxxxxxx x x xxxxx xxxxxxxxxxxxx zákonů (zákon x kybernetické xxxxxxxxxxx), (xxxx jen "zákon") x provedení §6 xxxx. x) xx x), §8 odst. 4, §13 xxxx. 4 x §16 xxxx. 6 xxxxxx.
XXXX XXXXX
XXXXXX USTANOVENÍ
§1
Předmět xxxxxx
Xxxxx xxxxxxxxx xx xxxxxxx xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxx informační xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxx xxxxxxxxxx systém, xxxxx bezpečnostních opatření, xxxxxx jejich xxxxxxxx, xxxx x kategorie xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx x xxxxxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx, náležitosti oznámení x provedení reaktivního xxxxxxxx x xxxx xxxxxxxx x vzor xxxxxxxx kontaktních údajů x xxxx formu.
§2
Vymezení pojmů
V této xxxxxxxx se xxxxxx
x) xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx systému xxxxxx orgánu x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxxx xx přístupu x rizikům xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxx xxxxxx ustavení, xxxxxxxx, xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxxx informace xxxx xxxxxx, xxxxxx xxxxxxxxxx xxxx xxxxxxxxx informační xxxxxx kritické informační xxxxxxxxxxxxxx, komunikační systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx informační xxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, zaměstnanci x xxxxxxxxxx xxxxxxxxxx xx na xxxxxxx, xxxxxxx, správě xxxx xxxxxxxxxxx informačního systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx informačního systému,
e) xxxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx, komunikační prostředky x programové vybavení xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx, ve kterých xxxx xxxx xxxxxxx xxxxxxxx,
x) xxxxxxx možnost, xx určitá xxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného informačního xxxxxxx a způsobí xxxxxxxxx xxxxxx,
x) hodnocením xxxxx xxxxxx, xxx xxxx xx xxxxxxxx xxxxxxxxxx xxxxx x xxxxxx přijatelná xxxxxx,
x) xxxxxxx rizik xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx, xxxxx a xxxxxxxx xxxxxxxx xx zvládání xxxxx, sdílení xxxxxxxxx x xxxxxx x xxxxxxxxx a xxxxxxxxxxx xxxxx,
x) xxxxxxx potencionální xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx nebo kybernetického xxxxxxxxxxxxxx incidentu, xxxxxx xxxxxxxxx xxxx xxx xxxxxxxxx xxxxxx,
x) zranitelností xxxxx místo xxxxxx xxxx bezpečnostního xxxxxxxx, xxxxx xxxx xxx xxxxxxxx xxxxxx xxxx xxxx xxxxxxxx,
x) přijatelným xxxxxxx xxxxxx zbývající xx xxxxxxxxx bezpečnostních xxxxxxxx, jehož xxxxxx xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxx xxxxxx zásad x pravidel, xxxxx xxxxxx způsob xxxxxxxxx xxxxxxx xxxxx orgánem x xxxxxx xxxxxxxx x §3 písm. x) xx e) xxxxxx,
x) garantem aktiva xxxxxxx osoba pověřená xxxxxxx xxxx xxxxxx xxxxxxxx x §3 xxxx. x) xx x) zákona x xxxxxxxxx rozvoje, xxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxx xxxxx xxxxxxx xxxx, xxxxx xxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxx xxxxx xxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx správu, xxxxxx, použití, údržbu x bezpečnost xxxxxxxxxxx xxxxxx.
XXXX DRUHÁ
BEZPEČNOSTNÍ XXXXXXXX
XXXXX X
XXXXXXXXXXX OPATŘENÍ
§3
Systém xxxxxx xxxxxxxxxxx xxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx v xxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx
x) stanoví x xxxxxxx na aktiva x xxxxxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xx xxxxxx xxxx, xxxxxxx xxxxxxxxxxxxx xxxxx a xxxxxxxxxxx xxxxx xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx,
x) xxxx xxxxxx xxxxx §4 odst. 1,
x) vytvoří a xxxxxxx xxxxxxxxxxxx xxxxxxxx x oblasti xxxxxxx xxxxxx xxxxxxxxxxx informací, xxxxx obsahuje hlavní xxxxxx, xxxx, bezpečnostní xxxxxxx, xxxxx x xxxxxxxxxx xx vztahu x xxxxxx xxxxxxxxxxx xxxxxxxxx a xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x výsledků xxxxxxxxx xxxxx xxxxxxx bezpečnostní xxxxxxxx v xxxxxxx xxxxxxxxx xxxxx §5 x xxxxxx xxxxxxxxx xxxxxxxxxxxx opatření,
d) monitoruje xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx §5,
f) zajistí xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §15, x xx nejméně xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx účinnosti xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxx, xxxxxxxxx xxxxxxxx provedených xxxxxxx x auditů xxxxxxxxxxxx bezpečnosti x xxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx informací, x xx xxxxxxx xxxxxx ročně,
h) xxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx na základě xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx vyhodnocení xxxxxxxxx systému řízení xxxxxxxxxxx informací x x xxxxxxxxxxx x xxxxxxxxxxx xxxx plánovanými xxxxxxx a
i) xxxx xxxxxx a zdroje xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, zaznamenává xxxxxxxx xxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x řízením xxxxx.
(2) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) xxxxxx x xxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx
x) xxxx xxxxxx xxxxx §4 xxxx. 2,
x) xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, která xxxxxxxx xxxxxx zásady, xxxx, bezpečnostní xxxxxxx, xxxxx x povinnosti xx xxxxxx k xxxxxx bezpečnosti informací x xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx hodnocení rizik xxxxxxx bezpečnostní xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §5, x xxxxxx příslušná xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxx xxxxxxxxxxx zprávy x xxxxxxxxx xxxxx x xxxxx, xxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxx x xxxxx rozvoje xxxxxxxxxxxxxx povědomí, x xx nejméně xxxxxx xx xxx xxxx xxxx v xxxxxxxxxxx x prováděnými xxxx xxxxxxxxxxx xxxxxxx.
§4
Xxxxxx xxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx v xxxxx xxxxxx xxxxx
x) stanoví xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x hodnocení rizik xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxx, xxxxx xxxxx xx xxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx, xxxxx §8 x xxxxxxx přílohy č. 1 x této xxxxxxxx x xxxxxxx zapracuje xx xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxxxxxx rizika, xxx xxxxxxx xxxxxxxx xxxxxx x zranitelnosti, xxxxxxx xxxxx dopady xx xxxxxx, xxxxxxx xxxx xxxxxx xxxxxxxxx x xxxxxxx xxxxx přílohy č. 2 k xxxx xxxxxxxx, xxxx x xxxxxxx xxxxxxxxxx rizika x xxxxxxxx zprávu x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxx xx xxxxxxx bezpečnostních xxxxxx x výsledků xxxxxxxxx rizik xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx přehled xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) zpracuje x xxxxxx plán xxxxxxxx xxxxx, xxxxx obsahuje xxxx a xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, určení xxxxx xxxxxxxxxxx prosazování xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, lidské x xxxxxxxxxx xxxxxx, xxxxxx xxxxxx xxxxxxxx x xxxxx vazeb xxxx xxxxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxxx xxxxxxx xxxxxxxxx x ochranná opatření xxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx (xxxx xxx "Xxxx") x xxxxxxxxx xxxxx a x xxxxxxx, xx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx ochranného opatření xxxxxxxx stanovená kritéria xxx přijatelnost xxxxx, xxxxxx xxxx zvládání xxxxx.
(2) Xxxxx x xxxxx uvedená v §3 xxxx. x) xxxxxx x rámci xxxxxx rizik
a) xxxxxxx xxxxxxxx xxx identifikaci x xxxxxxxxx aktiv x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx xxxxxxxx xxx přijatelnost xxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxx aktiv, xxxxx patří xx xxxxxxx xxxxxxx řízení xxxxxxxxxxx informací, xxxxx §8 xxxxxxxxx x xxxxxxx přílohy č. 1 x xxxx xxxxxxxx x xxxxxxx xxxxxxxxx do xxxxxx x hodnocení xxxxx a rizik,
c) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx zohlední xxxxxx x xxxxxxxxxxxxx, posoudí xxxxx dopady na xxxxxxxx xxxxxx, xxxxxxx xxxx xxxxxx xxxxxxxxx x xxxxxxx podle přílohy č. 2 x xxxx xxxxxxxx a xxxxxxxx xxxxxx o hodnocení xxxxx a rizik,
d) xxxxxxxx na základě xxxxxxxxxxxxxx xxxxxx x xxxxxxxx hodnocení xxxxx xxxxxxxxxx o aplikovatelnosti, xxxxx obsahuje xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) zpracuje x xxxxxx plán xxxxxxxx xxxxx, který xxxxxxxx cíle x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxx osoby xxxxxxxxxxx xxxxxxxxxxx bezpečnostních xxxxxxxx xxx xxxxxxxx rizik, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx a xxxxxxxxxx xxxxxx, xxxxxxx jejich xxxxxxxx x popis xxxxx xxxx identifikovanými xxxxxx a příslušnými xxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx opatření xxxxxx Xxxxxx v xxxxxxxxx xxxxx x v xxxxxxx, že xxxxxxxxx xxxxx xxxxxxxxxxxxx o xxxx xxxxxxxxxxxxx spojené x realizací xxxxxxxxxxx xxxx ochranného opatření xxxxxxxx stanovená kritéria xxx xxxxxxxxxxxx rizik, xxxxxx plán zvládání xxxxx.
(3) Xxxxxx rizik xxxx být xxxxxxxxx x xxxxxx způsoby, xxx xxx je xxxxxxxxx x xxxxxxxxxx 1 a 2, xxxxx xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxxxxxx, že xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx vyšší úroveň xxxxxx rizik.
(4) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxx xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxx hrozby
a) porušení xxxxxxxxxxxx xxxxxxxx, provedení xxxxxxxxxxxxx činností, xxxxxxxx xxxxxxxxx xx strany xxxxxxxxx a xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxx selhání xxxxxxxxxxx anebo xxxxxxxxxxxx xxxxxxxx,
x) zneužití xxxxxxxx xxxxxxx osoby,
d) užívání xxxxxxxxxxxx xxxxxxxx v xxxxxxx x xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx útok x xxxxxxxxxxx xxxx,
x) xxxxxxxx xxx (například xxxx, xxxxxxx, xxxxxxx xxxx),
x) xxxxxxxxxx při xxxxxxxxxxx služeb informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
x) narušení xxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx elektrické xxxxxxx,
x) zneužití xxxx xxxxxxxxxxx xxxxxxxxxx údajů,
k) xxxxxx xxxxxxxx xxxxxx x
x) xxxxxxxx xxxx xxxxxxxxx aktiva.
(5) Orgán x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx při xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxx zranitelnosti
a) xxxxxxxxxxxx xxxxxxx xxxxxxxx perimetru,
b) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxxxxx údržba xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx xxx identifikování x odhalení negativních xxxxxxxxxxxxxx jevů, kybernetických xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
f) xxxxxxxxxxxx monitorování činnosti xxxxxxxxx a administrátorů x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxx xxxx xxxxxxx xxxxxxx chování x
x) nedostatečné xxxxxxxxx xxxxxxxxxxxxxx pravidel, nepřesné xxxx xxxxxxxxxxxxx xxxxxxxx xxxx x xxxxxxxxxx xxxxxxxxx, administrátorů a xxxxxxxxxxxxxx rolí.
(6) Orgán x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxx xxxxxxxxx xxxxx dále xxxxxxx xxxx hrozby
a) xxxxxxxx xxxxxxxxxxxx politiky, xxxxxxxxx xxxxxxxxxxxxx činností, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xx xxxxxx zaměstnanců,
c) zneužití xxxxxxxxx xxxxxxxxxx, sabotáž,
d) xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx elektrické xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxx,
x) nedostatek xxxxxxxxxxx x potřebnou odbornou xxxxxx,
x) xxxxxx kybernetický xxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxx x
x) zneužití xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxx.
(7) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x d) xxxxxx xxx xxxxxxxxx xxxxx xxxx xxxxxxx xxxx xxxxxxxxxxxxx
x) nedostatečná ochrana xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) nevhodná xxxxxxxxxxxx xxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxx xxxxxxxxx kontroly x
x) xxxxxxxxxxx xxxxxxxx odhalení xxxxxxxxx ze xxxxxx xxxxxxxxxxx.
§5
Xxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx stanoví xxxxxxxxxxxx xxxxxxxx x oblastech
a) xxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) organizační xxxxxxxxxx,
x) xxxxxx vztahů x xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxx a xxxxxxxxxx,
x) řízení xxxxxxxx,
x) xxxxxxxx chování xxxxxxxxx,
x) xxxxxxxxxx x obnova,
j) xxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx zranitelností,
l) xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx x nabývání xxxxxxx programového vybavení x xxxxxxxxx,
x) dlouhodobé xxxxxxxx x archivace xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx,
x) fyzická bezpečnost,
q) xxxxxxxxxx komunikační xxxx,
x) xxxxxxx xxxx xxxxxxxxx xxxxx,
x) nasazení x xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx a xxxxxx xxxxxxxx xxx xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x
x) používání xxxxxxxxxxxxxx xxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) xxxxxx xxxxxxx bezpečnostní xxxxxxxx x xxxxxxxxx
x) xxxxxx řízení bezpečnosti xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxx,
x) xxxxxx xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx lidských xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxxx,
x) xxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x xxxxxx,
x) xxxxxxxxxxx x xxxxxxxx licencí programového xxxxxxxx x xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx,
x) xxxxxxxxx kryptografické ochrany,
m) xxxxxxx xxxx xxxxxxxxx xxxxx x
x) xxxxxxxx x používání nástroje xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx x xxxxx uvedená x §3 písm. x) xx x) xxxxxx xxxxxxxxxx hodnotí xxxxxxxx xxxxxxxxxxxx xxxxxxxx x aktualizuje xx.
§6
Xxxxxxxxxxx bezpečnost
(1) Orgán x xxxxx uvedená x §3 písm. x) až x) xxxxxx xxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, x rámci které xxxx výbor xxx xxxxxx xxxxxxxxxxxx bezpečnosti x bezpečnostní role x xxxxxx práva x xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxx systémem kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxx xxxxxxxxxxx xxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx určí xxxxxxxxxxxx role
a) manažer xxxxxxxxxxxx xxxxxxxxxxx,
x) architekt xxxxxxxxxxxx bezpečnosti,
c) auditor xxxxxxxxxxxx xxxxxxxxxxx a
d) xxxxxx xxxxxx podle §2 xxxx. m).
(3) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xxxx xxxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxx 2.
(4) Xxxxxxx xxxxxxxxxxxx bezpečnosti xx osoba, xxxxxxxxx xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx, která xx pro xxxx xxxxxxx xxxxxxxxx x xxxxxxx odbornou xxxxxxxxxxx xxxxx x xxxxxxx xxxxxxxxxxx informací xx xxxx nejméně tří xxx.
(5) Architekt xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx xxxxxxxxxxx xxxxx a xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx je pro xxxx činnost xxxxxxxxx x prokáže xxxxxxxx xxxxxxxxxxx praxí s xxxxxxxxxxx xxxxxxxxxxxx architektury xx xxxx xxxxxxx xxx xxx.
(6) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx je xxxxx xxxxxxxxxxx audit xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xx pro xxxx xxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxx způsobilost xxxxx s xxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxx xxxxxxx xxx xxx. Xxxxxxx xxxxxxxxxxxx bezpečnosti xxxxxxxx xxxxx xxxx nestranně x xxxxx jeho xxxx xx oddělen xx xxxxxx xxxx xxxxxxxxx x xxxxxxxx 2 písm. x), x) xxxx d).
(7) Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx je xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx, které jsou xxxxxxxx xxxxxxxx řízením x xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, anebo xx xxxxxxxx xxxxxxxx xx xxxxxx a xxxxxxxxxx xxxxxxxx spojených x xxxxxxxxxxxxx bezpečností xxxxxx xxxxxxx.
(8) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxxxx xxxxxxx xxxxxxx xxxx, xxxxx xxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxx s xxxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxx §9 xxxx. 1 xxxx. x).
§7
Xxxxxxxxx xxxxxxxxxxxxxx požadavků xxx xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxx xxxxxxxx xxx xxxxxxxxxx, která xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, x xxxxxxxx xx u xxxxxxxxxx nebo jiných xxxx, které xx xxxxxxxx xx xxxxxxx, xxxxxxx xxxx zajištění xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx systému. Xxxxxx xxxxxxxx xxxxxxxxxx xx rozvoji, xxxxxxx xxxx xxxxxxxxx bezpečnosti xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxxxxxx xxxxxxxxxxx xxxxx a xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxxxxxxx, jejíž součástí xx xxxxxxxxxx x xxxxxxxxxxx informací.
(2) Xxxxx x xxxxx uvedená x §3 písm. x) x d) xxxxxx u xxxxxxxxxx xxxxxxxxx x odstavci 1 xxxx
x) xxxx xxxxxxxxx smlouvy provádí xxxxxxxxx xxxxx xxxxx přílohy č. 2 k xxxx xxxxxxxx, která xxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxx x xxxxxx služeb, xxxxx stanoví způsoby x xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx x xxxx xxxxx xxxxxxxx xxxxxxx odpovědnosti xx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx opatření, x
x) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxxxxx bezpečnostních xxxxxxxx u xxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxx xx xxxxxx s xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxx.
§8
Řízení aktiv
(1) Xxxxx x osoba uvedená x §3 xxxx. x) xx e) xxxxxx x rámci xxxxxx aktiv
a) xxxxxxxxxxxx x eviduje primární xxxxxx,
x) xxxx garanty xxxxx, xxxxx xxxx xxxxxxxxx za xxxxxxxx xxxxxx, x
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx aktiv x hlediska xxxxxxxxxx, xxxxxxxxx a dostupnosti x xxxxxx je xx jednotlivých úrovní xxxxxxxxx x rozsahu xxxxx přílohy č. 1 k xxxx vyhlášce.
(2) Xxx xxxxxxxxx xxxxxxxxxxx primárních xxxxx xx xxxxx xxxxxxxxx xxxxxxxx
x) xxxxxx x důležitost xxxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxx závazků,
c) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxxxx činností,
d) xxxxxxxxx xxxxxxxxx, xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxx,
x) xxxxx finanční xxxxxx,
x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx xxxxxx x xxxxx uvedené x §3 písm. c) xx e) xxxxxx,
x) xxxxxx spojené s xxxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x
x) xxxxxx xx xxxxxxxxx xxxxxxx jména xxxx xxxxxxx xxxxx xxxxxxx.
(3) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx dále
a) xxxxxxxxxxxx x eviduje xxxxxxxx aktiva,
b) xxxx xxxxxxx xxxxx, kteří xxxx xxxxxxxxx xx xxxxxxxx xxxxxx, x
x) xxxx vazby mezi xxxxxxxxxx x xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxx mezi xxxxxxxxxx x xxxxxxxxxx xxxxxx.
(4) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxx
x) stanoví xxxxxxxx xxxxxxx, xxxxx xxx xxxxxxxxxxx xxxxxxxxxxxx úrovní xxxxx xxx, xx
1. xxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxx xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx x xxxxxx podle xxxxxx xxxxx, včetně xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxxxx a xxxxxxx přenášení xxxxx x
3. stanoví xxxxxxxxx xxxxxxx používání xxxxx,
x) xxxxxx xxxxxxxx ochrany xxxxxxxxxxxx xxxxxx xxxxx x
x) xxxx xxxxxxx xxx spolehlivé smazání xxxx xxxxxx technických xxxxxx xxx x xxxxxxx xx úroveň xxxxx.
§9
Xxxxxxxxxx xxxxxxxx xxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. c) xx x) xxxxxx x xxxxx řízení xxxxxxxxxxx xxxxxxxx xxxxxx
x) xxxxxxx xxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxx, xxxxx x xxxxxx potřebných xxxxxxx x xxxx xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx jsou x plánu uvedeny,
b) x xxxxxxx x xxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx xxxxxxx poučení xxxxxxxxx, administrátorů x xxxx xxxxxxxxxxxxx bezpečnostní xxxx x xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx xxxxxxxx formou xxxxxxxxx a xxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx bezpečnostní politiky xx strany uživatelů, xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx role x
x) xxxxxxx xxxxxxx xxxxxxxxx aktiv x xxxxxxxx přístupových xxxxxxxxx xxx ukončení xxxxxxxxx xxxxxx x xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxx x xxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxx a seznam xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
(3) Orgán x xxxxx xxxxxxx v §3 xxxx. c) x x) xxxxxx xxxx
x) xxxxxxx xxxxxxxx xxx xxxxxx xxxx, xxxxx xxxxx zastávat xxxxxxxxxxxx role, xxxx xxxxxxxxxxxxxx nebo xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxx x xxxxxxx činností spojených x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxx xxxxxxxx x xxxxxxx pro xxxxxx případů xxxxxxxx xxxxxxxxxxx bezpečnostních pravidel xx xxxxxx uživatelů, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní role x
x) zajistí změnu xxxxxxxxxxxx xxxxxxxxx při xxxxx postavení xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx bezpečnostní xxxx.
§10
Xxxxxx xxxxxxx x xxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx x xxxxx řízení xxxxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx x §21 xx 23 detekuje xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxxxxxxxxx xxxxxxxxxxx získané xxxxxxxxx x xx xxxxxxxx xxxxxxxxxx reaguje x souladu x §13.
(2) Orgán a xxxxx uvedená x §3 písm. x) xx x) zákona x xxxxx xxxxxx xxxxxxx a xxxxxxxxxx xxxx zajišťuje xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx systému. Xx tímto xxxxxx xxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx.
(3) Xxxxxxxx xxxxxxxx a xxxxxxx xxxxxx x xxxxx xxxxxxx v §3 xxxx. x) x x) zákona xxxxxxxx
x) xxxxx x povinnosti xxxx xxxxxxxxxxxxx bezpečnostní xxxx, xxxxxxxxxxxxxx x xxxxxxxxx,
x) postupy xxx xxxxxxxx a xxxxxxxx xxxxx systému, xxx xxxxxxx xxxx obnovení xxxxx systému po xxxxxxx a xxx xxxxxxxx chybových xxxxx xxxx mimořádných xxxx,
x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxx ochranu xxxxxxxx x xxxxxxxx x xxxxxx xxxxxxxxxx,
x) xxxxxxx xx kontaktní xxxxx, xxxxx xxxx xxxxxx xxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxx technických xxxxxx,
x) postupy xxxxxx x xxxxxxxxxxx provozních xxxx x
x) xxxxxxx xxx xxxxxxxxx, plánování x řízení kapacity xxxxxxxx a xxxxxxxxxxx xxxxxx.
(4) Xxxxxx xxxxxxx xxxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx spočívá x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxx.
(5) Xxxxxx xxxxxxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxxxxxx v
a) xxxxxxxxx oddělení xxxxxxxxxx, xxxxxxxxxxx a produkčního xxxxxxxxx,
x) xxxxxx reaktivních xxxxxxxx xxxxxxxx Xxxxxx xxx, xx orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx
1. xxxxxxx xxxxxxxxx xxxxxx reaktivního opatření xx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x na zavedená xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxx xxxxxxxxx xxxxxx x xxx xxxxxxxxxx xxxxxxx je oznámí Xxxxx a
2. stanoví xxxxxx rychlého xxxxxxxxx xxxxxxxxxxx opatření, který xxxxxxxxxxxx možné negativní xxxxxx, a určí xxxxxx xxxx xxxx xxxxxxxxx.
(6) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx x xxxxx xxxxxx xxxxxxxxxx
x) zajišťuje xxxxxxxxxx x integritu xxxxxxxxxxxxx xxxx x xxxxxxxxxx xxxxxxxxxxxxx xxxxxx podle §17,
x) xxxx pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxxx komunikačními xxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxxxxxxx právními xxxxxxxx xx xxxxxxxxxx zajištění xxxxxxxxxxx xxxxxxxxx x xxxx pravidla dokumentuje x
x) x xxxxxxx xx xxxxxxxxxxx aktiv xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxx smluv, xxxxxxx xxxxxxxx xx xxxxxxxxxx x bezpečnosti xxxxxxxxx.
§11
Řízení xxxxxxxx a xxxxxxxx chování xxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. c) xx x) xxxxxx xx xxxxxxx provozních x xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxx x xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačnímu xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxx xxxxxxxxx jednoznačný xxxxxxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) zákona xxxxxx xxxxxxxx, která xxxxxx x xxxxxxxxx xxxxxxx údajů, které xxxx xxxxxxxxx xxx xxxxxxxxxx uživatelů a xxxxxxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx §18 a 19, x xxxxx xxxxx xx zneužití xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(3) Xxxxx a xxxxx xxxxxxx v §3 písm. c) x x) xxxxxx xxxx x xxxxx xxxxxx přístupu
a) xxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx x xxxxxxx přístupová xxxxxxxxx x xxxxxxx x xxxxxxxxx řízení xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx přístupových xxxxxxxxx včetně xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx nebo xxxxxx,
x) xxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx §18 x xxxxxxx xxx xxxxxx xxxxxxxxxxxx oprávnění xxxxx §19 a
f) xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx pro xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxx i bezpečnostní xxxxxxxx spojená x xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxxxxxxxxx.
§12
Xxxxxxxx, xxxxx x xxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx spojené x xxxxxx akvizicí, vývojem x xxxxxxx x xxxxxx je xx xxxxxxxx akvizice, vývoje x xxxxxx xxxxxxx.
(2) Xxxxx a osoba xxxxxxx x §3 xxxx. c) x x) zákona dále
a) xxxxxxxxxxxx, xxxxxxx a xxxx xxxxxx xxxxxxxxxxx x xxxxxxxx, xxxxxxx x údržbou xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx komunikačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx; pro xxxxxxx xxxxxxxxx x xxxxxx xxxxx xx xxxxxxxx xxxxx §4 xxxx. 1 písm. a) xxxxxxx obdobně,
b) xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx x zajistí xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxx x
x) provádí xxxxxxxxxxxx xxxxxxxxx xxxx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx xxxx jejich xxxxxxxxx xx provozu.
§13
Xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x incidentů
Orgán x osoba xxxxxxx x §3 písm. x) až x) xxxxxx xxx zvládání xxxxxxxxxxxxxx událostí x xxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx, xxxxx xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxx informačního xxxxxxx ze xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x x xxxxxxxxxx vede xxxxxxx,
x) xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí a xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí xxxxxxxxxxxx technickými xxxxxxxx xxxxx §21 xx 23, xxxxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx bezpečnostní incidenty,
c) xxxxxxx klasifikaci kybernetických xxxxxxxxxxxxxx xxxxxxxxx, přijímá xxxxxxxx xxx xxxxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu, xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu podle §32 x xxxxxxx xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx pro analýzu xxxxxxxxxxxxxx bezpečnostního incidentu,
d) xxxxxxxx x určí xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx, vyhodnotí xxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx x xx xxxxxxx xxxxxxxxxxx stanoví xxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxx opakování xxxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
§14
Xxxxxx xxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx x xxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxxx
x) xxxxx x xxxxxxxxxx garantů xxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) cíle xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx, xxxxx xx přijatelná pro xxxxxxx, provoz a xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx systému,
2. xxxx xxxxxxxx xxxxx, xxxxx xxxxx xxxx xx xxxxxxxxxxxxx bezpečnostním xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx poskytovaných xxxxxx xxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx nebo významného xxxxxxxxxxxx xxxxxxx, x
3. xxxx xxxxxxxx xxx xxxx xxxxxxx, xx xxxxxxx budou obnovena xxxx xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx, a
c) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxx podle xxxxxxx x).
(2) Xxxxx x osoba xxxxxxx x §3 písm. x) a x) xxxxxx xxxx
x) xxxxxxxxx x xxxxxxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxx xxxxx xxxxxx xxxxxxxxxxx x ohrožením kontinuity xxxxxxxx,
x) stanoví, xxxxxxxxxxx x xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury,
c) realizuje xxxxxxxx pro xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxxx bezpečnostnímu xxxxxxxxx a xxxxxxx xxxxxxx xxx zajišťování xxxxxx dostupnosti xxxxx §26 a
d) xxxxxxx x aktualizuje xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Úřadem podle §13 x 14 xxxxxx, xx kterých xxxxxxxx
1. výsledky xxxxxxxxx xxxxx xxxxxxxxx xxxxxxxx,
2. xxxx xxxxxxxxx bezpečnostních xxxxxxxx x
3. vyhodnocení xxxxxxxxxx xxxxxxxxxxx xxxxxx xx provoz x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§15
Xxxxxxxx a audit xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Orgán x xxxxx uvedená v §3 xxxx. c) xx e) zákona x rámci xxxxxxxx x xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx informačních systémů (xxxx xxx "xxxxx xxxxxxxxxxxx bezpečnosti")
a) xxxxxxxx xxxxxx bezpečnostních xxxxxxxx x právními xxxxxxxx, xxxxxxxxx xxxxxxxx, jinými xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxxx xx x informačnímu systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x určí xxxxxxxx xxx xxxx xxxxxxxxxxx x
x) xxxxxxx x xxxxxxxxxxx xxxxxxxxxx kontroly xxxxxxxxxx xxxxxxxxxxxx politiky x xxxxxxxx těchto xxxxxxx xxxxxxxx x xxxxx rozvoje bezpečnostního xxxxxxxx x xxxxx xxxxxxxx xxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxxxxxxx xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx xxxxxx x odbornou xxxxxxxxxxx podle §6 xxxx. 6, xxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx a xxxxx uvedená v §3 xxxx. x) x x) xxxxxx xxxx pro xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx provádí xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx nástrojů x xxxxxx odborné xxxxxxxxxxx x xxxxxxx xx zjištěné zranitelnosti.
XXXXX II
TECHNICKÁ OPATŘENÍ
§16
Fyzická xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) xx x) zákona x xxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxxxx xx xxxxxxxxxx xxxxxxx, xxx xxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx x zásahům do xxxxxxxxxx xxxxxxx, xxx xxxx uchovány xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému, x
x) předchází poškození, xxxxxxx xxxx zneužití xxxxx nebo xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) x d) xxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) pro xxxxxxxxx xxxxxxx na xxxxxx xxxxxxx x
x) xxx zajištění xxxxxxx x rámci objektů xxxxxxxxxx zvýšené xxxxxxxxxxx xxxxxxxxxx xxxxxxx, ve xxxxxxx xxxx umístěna xxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx.
(3) Prostředky fyzické xxxxxxxxxxx jsou xxxxxxx
x) xxxxxxxxxx xxxxxxxx xxxxxxxxxx,
x) xxxxxxxx elektrické xxxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxx požárů,
d) prostředky xxxxxxxxx působení xxxxxxx xxxxxxxxx událostí,
e) systémy xxx kontrolu vstupu,
f) xxxxxxxx systémy,
g) zařízení xxx zajištění xxxxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx podmínek.
§17
Xxxxxxx pro ochranu xxxxxxxxx komunikačních sítí
(1) Xxxxx a xxxxx xxxxxxx v §3 xxxx. c) xx x) xxxxxx pro xxxxxxx xxxxxxxxx rozhraní xxxxxx xxxxxxxxxxx xxxx, xxxxx xxxx xxx xxxxxxx xxxxxx nebo xxxxx, x xxxxxxx xxxxxxxxxxx xxxx, xxxxx xx xxx xxxxxxx xxxxxx xxxx osoby, xxxxxx
x) xxxxxx xxxxxxxxxx xxxxxxxx xxxx vnější x xxxxxxx xxxx,
x) xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxxxxxx zón jako xxxxxxxxxxx xxxx sítě xxxxxxxxxxx xx xxxxxxx xxxxxxxxxxx xxxxxxxx dostupných x xxxxxx xxxx x x zamezení xxxxx xxxxxxxxxx xxxxxxx xxxx s xxxxxx xxxx,
x) kryptografické xxxxxxxxxx (§25) xxx xxxxxxxx xxxxxxx, xxxxxxxxx xxxxxx xxxx xxx xxxxxxx xxxxxx xxxxxxxxxxxx technologií x
x) opatření pro xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxx, které xxxxxxxxxxxx xxxxxxxxxx xx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) zákona xxxx využívá xxxxxxxx xxx xxxxxxx integrity xxxxxxx xxxxxxxxxxx xxxx, xxxxx zajistí xxxx xxxxxxxxxx.
§18
Xxxxxxx xxx xxxxxxxxx xxxxxxxx uživatelů
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx používá nástroje xxx xxxxxxx identity xxxxxxxxx x administrátorů xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x významného xxxxxxxxxxxx systému.
(2) Xxxxxxx xxx ověřování identity xxxxxxxxx x administrátorů xxxxxxxxx xxxxxxx identity xxxxxxxxx x xxxxxxxxxxxxxx xxxx zahájením xxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxx.
(3) Xxxxxxx xxx xxxxxxxxx xxxxxxxx uživatelů, xxxxx xxxxxxx xxxxxxxxxxx xxxxx xxxxxx, zajišťuje
a) xxxxxxxxx délku hesla xxx xxxxx,
x) minimální xxxxxxxxx xxxxx xxx, xx xxxxx xxxx xxxxxxxxx alespoň 3 x xxxxxxxxxxxxx čtyř xxxxxxxxx
1. nejméně xxxxx xxxxx xxxxxxx,
2. xxxxxxx xxxxx xxxx písmeno,
3. xxxxxxx xxxxx číslici, xxxx
4. nejméně jeden xxxxxxxxx xxxx xxxxxxx xx xxxxxxxxx xxxxxxxxx x xxxxxx 1 xx 3,
x) maximální xxxx pro povinnou xxxxxx hesla nepřesahující xxx xxx; xxxxx xxxxxxxxx není vyžadován xxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(4) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x d) zákona xxxx
x) xxxxxxx nástroj xxx xxxxxxx xxxxxxxx, xxxxx
1. xxxxxx xxxxxxxxxx xxxxxxxxx dříve xxxxxxxxxxx xxxxx a xxxxxxxx xxxx xxxx hesla xxxxxxx xxxxxxxxx během xxxxxxxxxxx období, xxxxx xxxx xxx xxxxxxx 24 xxxxx, x
2. xxxxxxx xxxxxxxx ověření xxxxxxxx po určené xxxx xxxxxxxxxx x
x) xxxxxxx xxxxxxx pro xxxxxxxxx identity administrátorů. X xxxxxxx, xx xxxxx nástroj xxxxxxx xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxx xxxxx xxx xxxxxxxx požadavků xxxxx xxxxxxxx 3 xxxx. x) x x).
(5) Xxxxxxx xxx xxxxxxxxx identity xxxxxxxxx xxxx xxx xxxxxxxx x xxxxxx xxxxxxx, xxx xxxx xxxx xxxxxxxxx x odstavcích 3 xx 5, xxxxx xxxxx a xxxxx uvedená x §3 písm. c) xx e) xxxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx xxxxxxxxxxx stejnou xxxx xxxxx úroveň xxxxxxxxx hesla.
§19
Nástroj xxx řízení xxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxx xxx xxxxxx přístupových xxxxxxxxx, xxxxxx xxxxxxx xxxxxx oprávnění
a) pro xxxxxxx k xxxxxxxxxxx xxxxxxxxx a xxxxx x
x) xxx xxxxx xxx, pro xxxxx xxx x xxx xxxxx xxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) a d) xxxxxx dále používá xxxxxxx pro řízení xxxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxxxxx xxxxxxx přístupových xxxxxxxxx x xxxxxxx x xxxxxxxxxxxxxx potřebami x výsledky hodnocení xxxxx.
§20
Xxxxxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až e) xxxxxx xxx xxxxxx xxxxx xxxxxxxxx s xxxxxxxxx škodlivého xxxx xxxxxxx nástroj xxx xxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury x xxxxxxxxxx informačního xxxxxxx xxxx xxxxxxxxx xxxxx, xxxxx xxxxxxx xxxxxxx x stálou xxxxxxxx
x) xxxxxxxxxx mezi xxxxxxx xxxx a xxxxxx xxxx,
x) xxxxxxx x xxxxxxxxx xxxxxxxx úložišť x
x) xxxxxxxxxx xxxxxx,
xxxxxxx xxxxxxx pravidelnou x xxxxxxx xxxxxxxxxxx nástroje xxx xxxxxxx xxxx xxxxxxxxx kódem, jeho xxxxxxx x xxxxxxxx.
§21
Xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx systémů, jejich xxxxxxxxx x xxxxxxxxxxxxxx
(1) Xxxxx x osoba xxxxxxx v §3 xxxx. x) až x) xxxxxx xxxxxxx xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx informačního systému xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx systému kritické xxxxxxxxxx infrastruktury a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxx
x) xxxx xxxxxxxxx x xxxxxxxxxx x bezpečnostních xxxxxxxxxx, xxxxxxx xxx xxxxxxxx, xxxxx a xxx, xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, xxxxx xxxxxxx xxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx a xxxxx xxxxxxxx a xxxxxxxxx nebo neúspěšnost xxxxxxxx a
b) xxxxxxx xxxxxxxxx xxxxxxxxx před xxxxxxxxxxxx xxxxxx xxxx xxxxxx.
(2) Orgán x xxxxx uvedená x §3 xxxx. c) xx e) zákona xxxx xxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxxxxxx x xxxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxx xx xxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx činností x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx a xxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxx nebo xxxxxxx xxxxxxx xxxxxxxxxxx xxxxx,
x) xxxxxxxx k záznamům x xxxxxxxxxx, xxxxxx x xxxxxxxxxx xx xxxxxxx x xxxxxxxxxx x xxxxx nastavení xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx a
h) xxxxxxx xxxxxxxxxx identifikace a xxxxxxxxxxx xxxxxx xxxxx xxxxx, které xxxxxx x xxxxxxxxxx.
(3) Orgán x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx podle xxxxxxxx 2 uchovává xxxxxxx xx dobu 3 xxxxxx.
(4) Xxxxx a xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx xxxxxxxxx xxxxxxx xxxxxx xx 24 xxxxx xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxx xxxxxxxxx xx informačního xxxxxxx kritické informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
§22
Xxxxxxx pro detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx xx xxxxxxxxxxx bezpečnostních xxxxxx x xxxxxxxx xxxxxxxxx xxxxx x xxxxx xxxxxxx xxxxxxx, xxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxx vnitřní xxxxxxxxxxx sítí x xxxxxx xxxx.
(2) Orgán x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx dále používá xxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx zajistí ověření, xxxxxxxx a xxxxxxxx xxxxxxxxxxx komunikace
a) x xxxxx xxxxxxx xxxxxxxxxxx xxxx a
b) xxxxxxx xxxxxxxxx xx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.
§23
Nástroj xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
(1) Orgán x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx používá nástroj xxx xxxx a xxxxxxxx xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx, který x xxxxxxx x xxxxxxxxxxxxxx potřebami x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx
x) integrovaný sběr x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí z xxxxxxxxxxxx systému kritické xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxx o xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx komunikačním xxxxxxx krit x xxxxxxxxxx xxxxxxxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxx xxxxxxxx určených xxxxxxxxxxxxxx rolí.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx dále xxxxxxx
x) xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx vyhodnocování xxxxxxxxxxxxxx bezpečnostních událostí x xxxxxx xxxxxxxx, xxx xxxx omezovány xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxx xxxxxxx xxxxxxxxx varování, x
x) xxxxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxxxx nástrojem xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, pro optimální xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§24
Xxxxxxxxx bezpečnost
(1) Orgán x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxx zranitelnosti xxxxxxxx, xxxxx xxxx xxxxxxxxx x xxxxxx xxxx, x xx xxxx xxxxxx uvedením do xxxxxxx x po xxxxx xxxxxxx změně xxxxxxxxxxxxxx mechanismů.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxx x xxxxx xxxxxxxxx bezpečnosti xxxxxxx xxxxxxx ochranu
a) xxxxxxxx x xxxxxxxxx xxxxxxxxxx x vnější xxxx před xxxxxxxxxxxx xxxxxxxx, xxxxxxxx provedených xxxxxxxx, xxxxxxxxxxxx xxxx xxxxxxxxxxxxxxx xxxxxx x
x) xxxxxxxxx před jejich xxxxxxxxxxxx, xxxxxxxxxx směrováním, xxxxxxxxxxxxxxx změnou předávaného xxxxxxxx xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxxxxxxxx nebo xxxxxxxxxx.
§25
Kryptografické xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx
x) xxx používání xxxxxxxxxxxxxx xxxxxxx xxxxxxx
1. xxxxxx xxxxxxx x xxxxxxx xx xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx x
2. xxxxxxxx xxxxxxxxxxxxxx ochrany xxxxxxxxx xxx xxxxxxx po xxxxxxxxxxxxx xxxxxx xxxx xxx xxxxxxx xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx nosiče xxx x
x) x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x výsledky xxxxxxxxx rizik používá xxxxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx ochranu důvěrnosti x integrity xxxxxxxxxxx xxxx xxxxxxxxxx dat x xxxxxxxxx xxxxxxxxxxxx xxxxx xx xxxxxxxxx xxxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 písm. x) x x) xxxxxx xxxx
x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx správy klíčů, xxxxx xxxxxxx xxxxxxxxxx, xxxxxxxxxx, xxxxxxxx, xxxxxxxxx, xxxxx, ničení, xxxxxxxx x xxxxx xxxxx, x
x) xxxxxxx odolné xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx xxxxx; x xxxxxxx xxxxxxxxx x xxxxxxxxxxx požadavky na xxxxxxxxxxxxxx algoritmy xxxxxxxxx x příloze č. 3 k xxxx xxxxxxxx xxxx xxxxxx xxxxxxx x xxxxx nesouladem.
§26
Xxxxxxx pro zajišťování xxxxxx dostupnosti
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx v xxxxxxx x xxxxxxxxxxxxxx potřebami x xxxxxxxx hodnocení xxxxx používá xxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Orgán x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxxxxx xxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx informací, který xxxxxxx
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx a komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxx xxxxxxx xxxx řízení xxxxxxxxxx xxxxxxxx,
x) odolnost xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentům, které xx xxxxx xxxxxx xxxxxxxxxx, a
c) xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx
1. využitím xxxxxxxxxx x xxxxxx xxxxxx x
2. zajištěním xxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxx čase.
§27
Bezpečnost průmyslových a xxxxxxxx xxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x x) zákona xxx xxxxxxxxxx průmyslových x xxxxxxxx xxxxxxx, xxxxx xxxx xxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikačním xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxx jsou xxxxxx xxxxxxxx, xxxxxxx xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx xxxxxxxxx přístupu x síti x xxxxxxxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxx,
x) omezení xxxxxxxxx x vzdáleného xxxxxxxx x xxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx průmyslových x řídicích xxxxxxx xxxx využitím známých xxxxxxxxxxxxx a
d) obnovení xxxxx průmyslových x xxxxxxxx systémů xx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu.
HLAVA XXX
XXXXXXXXXXXX XXXXXXXXXXX
§28
Xxxxxxxxxxxx xxxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx v §3 xxxx. c) x x) zákona xxxx a xxxxxxxxxxx xxxxxxxxxxxx dokumentaci, xxxxx xxxxxxxx
x) bezpečnostní xxxxxxxx xxxxx §5 odst. 1,
x) zprávy z xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §3 xxxx. 1 xxxx. x),
x) xxxxxx x přezkoumání xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx xxxxx §3 xxxx. 1 písm. x),
x) metodiku xxx xxxxxxxxxxxx a xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x hodnocení xxxxx,
x) zprávu o xxxxxxxxx aktiv x xxxxx,
x) xxxxxxxxxx x xxxxxxxxxxxxxxxx,
x) xxxx xxxxxxxx xxxxx,
x) xxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 xxxx. a),
i) zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xxxxx §13 písm. x),
x) xxxxxxxxx řízení xxxxxxxxxx xxxxxxxx podle §14 xxxx. 1 xxxx. c) x
x) xxxxxxx xxxxxxxx předpisů, xxxxxxxxx předpisů a xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxx §15 xxxx. 1 xxxx. a).
(2) Xxxxx x osoba uvedená x §3 xxxx. x) zákona xxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxx xxxxx §5 xxxx. 2,
b) xxxxxxxx xxx identifikaci x hodnocení aktiv x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxx §4 xxxx. 2 písm. x),
x) xxxxxx x xxxxxxxxx xxxxx x xxxxx xxxxx §4 odst. 2 xxxx. x) x x),
x) xxxxxxxxxx x aplikovatelnosti xxxxx §4 xxxx. 2 xxxx. x),
x) xxxx xxxxxxxx xxxxx xxxxx §4 xxxx. 2 xxxx. x),
x) xxxx xxxxxxx bezpečnostního xxxxxxxx xxxxx §9 xxxx. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle §13 xxxx. x),
x) strategii xxxxxx xxxxxxxxxx xxxxxxxx xxxxx §14 xxxx. 1 písm. x) x
x) xxxxxxx právních xxxxxxxx, vnitřních xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxx §15 xxxx. 1 xxxx. x).
(3) Xxxxx a osoba xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxx xxxxxxxxxxxx dokumentaci xxx, xxx xxxxxxx x xxxxxxxxxxx činnostech byly xxxxx, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx x xxx xx daly xxxxxx xxxxxxxx. Xxxxxxxx xxxxxxxx x xxxxxxxxxxxx, xxxxxxx, xxxxxxx, xxxxxxxxx, xxxx xxxxxxxxx x uspořádání xxxxxxx o xxxxxxxxxxx xxxxxxxxxx dokumentuje.
(4) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxx x příloze č. 4 x xxxx xxxxxxxx.
§29
Xxxxxxxxx xxxxxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 písm. c) xx x) xxxxxx, xxxxx informační xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury nebo xxxxxxxx xxxxxxxxxx xxxxxx xx xxxxx xxxxxxx xx xxxxxxx xxxxxxx xxxxxx bezpečnosti informací, xxxxx xxx certifikován xxxxx xxxxxxxxx xxxxxxxxx xxxxx1) xxxxxxxxxxxxx certifikačním xxxxxxx, x xxxxx xxxx xxxxxxxxx xxxxxxxxxx
x) xxxxx rozsahu xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxxx politiky x xxxx systému řízení xxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxx xxxxxx hodnocení xxxxx x xxxxxx x xxxxxxxxx xxxxx,
x) xxxxxxxxxx x aplikovatelnosti,
e) xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx splňující xxxxxxxxx příslušné xxxxxxxxx xxxxx xxxxxxxxxx xx xxxxxxxxxxx informací1),
f) xxxxxx x přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx informací xxxxxx souvisejících vstupů x výstupů xxxxxxxxxxx x
x) zprávu z xxxxxx provedených certifikačním xxxxxxx xxxxxx příslušných xxxxxxx o nápravě xxxxxxxxxx xxxxxx s xxxxxxxxxx xxxxxx,
xxxxxxx požadavky xx xxxxxxxx bezpečnostních xxxxxxxx podle zákona x xxxx xxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX
§30
Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Podle xxxxxxx xxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx xxxx
x) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx událostí vedoucí x xxxxxxx do xxxxxxx xxxx x xxxxxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxx technických xxxxxxxx,
x) kybernetický bezpečnostní xxxxxxxx způsobený xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxx xxxxxx x
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx.
(2) Xxxxx dopadu xxxx kybernetické xxxxxxxxxxxx xxxxxxxxx rozděleny xx xxxxxxxxxxxxx xxxx
x) kybernetický xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxx důvěrnosti aktiv,
b) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx narušení xxxxxxxxxxx aktiv, xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx kombinaci xxxxxx xxxxxxxxx v xxxxxxxxx x) xx c).
§31
Kategorie kybernetických bezpečnostních xxxxxxxxx
(1) Xxx xxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx se podle xxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx xxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx služeb nebo xxxxx. Xxxx řešení xxxxxxxx neprodlené xxxxxx xxxxxxx x xxx, xx xxxx xxx xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxxxx minimalizace xxxxxxxxx x xxxxxxxxxxxxx xxxx.
x) Xxxxxxxxx II - xxxxxxx kybernetický bezpečnostní xxxxxxxx, xxx xxxxxx xx xxxxxxxx bezpečnost xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x xxx, xx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx šíření kybernetického xxxxxxxxx včetně minimalizace xxxxxxxxx škod.
c) Xxxxxxxxx X - xxxx xxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, při kterém xxxxxxx k méně xxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx služeb nebo xxxxx. Jeho xxxxxx xxxxxxxx xxxxxx xxxxxxx x xxx, že xxxx xxx vhodnými xxxxxxxxxx xxxxxxx další xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx včetně xxxxxxxxxxxx xxxxxxxxx xxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až e) xxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx
x) důležitost xxxxxxxxx aktiv xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxx významného xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačními xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxx významnými xxxxxxxxxxxx xxxxxxx a
d) xxxxxxxxxxxxx škody x xxxxx xxxxxx.
§32
Xxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Orgán a xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx
x) x xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxx
1. xxxxxxxxxxxxxx xxxxxxxxx zveřejněného xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
2. xxxxxx xx xxxxxx xxxxxxxxxxxx xxxxx Úřadu xxxxxx xxx xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Úřadu,
3. xxxxxx zprávy xx xxxxxx xxxxxxxx Úřadu, xxxx
4. xxxxxxxxxxxxxxx určeného xxxxxxxx rozhraní, jehož xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx, xxxxx
x) x xxxxxxxx xxxxxx xx xxxxxx Xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, zveřejněné xx xxxxxxxxxxxxx stránkách Xxxxx.
(2) Xxxxxxx x xxxxxxxx podobě xx xxxxxx xxxxx x xxxxxxxxx, xxx xxxxx xxxxxx xxxxx xx xxxxxxx xxxxxxxxx v xxxxxxxx 1 xxxx. x).
(3) Náležitosti xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx x příloze č. 5 x této xxxxxxxx.
XXXX XXXXXX
XXXXXXXXX OPATŘENÍ X XXXXXXXXX ÚDAJE
§33
Reaktivní xxxxxxxx
Xxxxx a osoba xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxx opatření x xxxx xxxxxxxx xx xxxxxxxxx, jehož xxxx xx uveden x příloze č. 6 x xxxx vyhlášce.
§34
Xxxxxxxxx xxxxx
Xxxxx x xxxxx xxxxxxx v §3 zákona xxxxxxxx xxxxxxxxx xxxxx xx xxxxxxxxx, xxxxx xxxx xx xxxxxx x příloze č. 7 x xxxx xxxxxxxx. Xxxxx a xxxxx uvedená v §3 xxxx. x) xx e) xxxxxx xxxxxxxx xxxxxxxxx údaje xxxxxx xxxxxxxx v §32 odst. 1 xxxx. x).
ČÁST PÁTÁ
ÚČINNOST
§35
Tato xxxxxxxx xxxxxx xxxxxxxxx xxxx 1. xxxxx 2015.
Xxxxxxx:
Xxx. Xxxxxxxx x. r.
Příloha č. 1 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx x xxxxxx xxxxxxxxxxx xxxxx
Xxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxx xxxxxxx stupnice x xxxxxxx úrovních. Xxxxx xxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxx xxxxxxxx odlišný počet xxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, než xxxx xx uveden x xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx xx xxxxxxxxxx xxxxxxxx hodnocení důležitosti xxxxx a xxxxxxxxxx x xxxxxxxx xxx xxxxxxxxx důležitosti xxxxx, xxxxx xxxx uvedeny x xxxx xxxxxxx.
X xxxxxxx xxxxxxx tří xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xx xxxxxxxxx xxxxxxx xxx úrovně xxxxx a xxxxxxx, xxxx xxxxxx xxxxxx x kritická.
Stupnice xxx xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxx jsou xxxxxxx xxxxxxxxx xxxx xxxx xxxxxx xx xxxxxxxxxx (např. xx xxxxxxx xxxxxx č. 106/1999 Sb., x xxxxxxxxx přístupu x xxxxxxxxxx, ve xxxxx xxxxxxxxxx předpisů). Xxxxxxxx důvěrnosti aktiv xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx nejsou xxxxxxx přístupná x xxxxx xxxx-xxx orgánu x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx, ochrana xxxxx xxxx vyžadována žádným xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxxxxx. |
Xxx ochranu xxxxxxxxxx xxxx využívány xxxxxxxxxx pro řízení xxxxxxxx. |
|
Xxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx x jejich xxxxxxx xx xxxxxxxxxx xxxxxxxx předpisy, jinými xxxxxxxx nebo smluvními xxxxxxxxxx (xxxx. xxxxxxxx xxxxxxxxx podle xxxxxx č. 89/2012 Sb., xxxxxxxx xxxxxxx, xxxxxx údaje xxxxx xxxxxx č. 101/2000 Sb., x xxxxxxx xxxxxxxx xxxxx, xx znění pozdějších xxxxxxxx). |
Xxx xxxxxxx důvěrnosti xxxx xxxxxxxxx prostředky, xxxxx xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx informací xxxxxx xxxxxxxxxxx xxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxxxxxxx míru xxxxxxx xxx rámec xxxxxxxxx xxxxxxxxx (xxxx. xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxx xxxxx). |
Xxx ochranu xxxxxxxxxx je xxxxxxxxxx xxxxxxxx xxxx, xxxxx x xxxxxxx přistoupily, x xxxxxx ochrany xxxxxxxxxxx xxxxxxxx aktiv xx strany xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxx oprávněné zájmy xxxxxx x osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx xxxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx xxxxxx xxxx xxxx x poškození xxxxxxxxxxx zájmů xxxxxx x xxxxx xxxxxxx v §3 xxxx. c) xx e) xxxxxx x může xx xxxxxxxx xxxx závažnými xxxxxx xx xxxxxxxx xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx využívány xxxxxxxxxx xxxxxxxx (xxxx. xxxxxxx xxxxxxxxxxxx práv xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx vyžaduje ochranu x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx aktiva xxxx x poškození xxxxxxxxxxx zájmů xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx x xxxxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx využívány xxxxxxxxx xxxxxxxxxx, xxxxx dovolují xxxxxxxx historii xxxxxxxxxxx xxxx x xxxxxxxxxx xxxxxxxx xxxxx provádějící xxxxx. Xxxxxxx xxxxxxxxx informací xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx vyžaduje xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx x velmi xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx x xxxxx uvedené x §3 xxxx. x) xx x) zákona x xxxxxxx a xxxxx xxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx osoby xxxxxxxxxxx xxxxx (např. xxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx). |
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx není xxxxxxxx x x xxxxxxx xxxxxxx xx xxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxx xxxxxxx (cca xx 1 xxxxx). |
Xxx xxxxxxx xxxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx zálohování. |
|
Střední |
Narušení xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx dobu pracovního xxx, xxxxxxxxxxxxx xxxxxxx xxxx k xxxxxxx xxxxxxxx xxxxx orgánu x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx. |
Xxx ochranu xxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx a obnovy. |
|
Vysoká |
Narušení xxxxxxxxxxx xxxxxx by xxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxx. Xxxxxxxx xxxxxxx xx xxxxx xxxxx neprodleně, protože xxxx k přímému xxxxxxxx xxxxx xxxxxx x xxxxx uvedené x §3 xxxx. x) až x) xxxxxx. Xxxxxx xxxx xxxxxxxxxx xxxx velmi důležitá. |
Pro xxxxxxx dostupnosti xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx xxxx být xxxxxxxxx xxxxxx xxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xxxx přípustné x x xxxxxxxxxx nedostupnost (x xxxx několika xxxxx) xxxx k xxxxxxx ohrožení xxxxx xxxxxx x osoby xxxxxxx x §3 písm. x) až x) xxxxxx. Xxxxxx xxxx xxxxxxxxxx xxxx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx záložní systémy x xxxxxx xxxxxxxxxxx xxxxxx je xxxxxxxxxx x automatizovaná. |
Xxxxxxx č. 2 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx xxxxx
Xxxxxxxxx xxxxx xx xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxx xxxxx, xxxxxx x xxxxxxxxxxxx.
Xxx xxxxxxxxx xxxxx xxx xxxxxx xxxxxxx xxxx xxxxxx
xxxxxx = dopad x xxxxxx x xxxxxxxxxxxx.
Xxxxxxxxxxx xxxxxx funkce pro xxxxxx xxxxxx je xxxxxxxxx xxxxxxxx xxxxxxxx xxx identifikaci x xxxxxxxxx rizika
|
Stupnice pro xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxx xx x omezeném časovém xxxxxx x xxxxxx xxxxxxx x nesmí xxx katastrofický. Rozsah případných xxxx xxxxxxxxxxx x) 10 xxxxxxxxx osob x xxxxxxxxx xxxxxxxxxxxxx xx xxxx delší xxx 24 hodin nebo b) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xx 5&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx veřejnost x xxxxxxxxx xxxxxxxx xxxxxxxxxx služeb nebo xxxxxx závažného xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxxx 250 xxxx. |
|
Xxxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx a v xxxxxxxx xxxxxxx xxxxxx. Xxxxxx xxxxxxxxxx xxxx se xxxxxxxx v rozmezí a) xx 10 mrtvých xxxx xx 11 xx 100 xxxx x následnou hospitalizací xx dobu xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx ztráty od 5&xxxx;000&xxxx;000 Xx xx 50&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx na xxxxxxxxx s rozsáhlým xxxxxxxx xxxxxxxxxx xxxxxx xxxx jiného xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xx 251 do 2 500 xxxx. |
|
Xxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx, xxx trvalý xxxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xx xxxxxxxx x xxxxxxx x) xx 11 do 100 xxxxxxx xxxx xx 101 xx 1 000 xxxx x xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xx 50&xxxx;000&xxxx;000 Xx xx 500&xxxx;000&xxxx;000 Xx xxxxx x) představuje xxxxx xx xxxxxxxxx x rozsáhlým xxxxxxxx xxxxxxxxxx xxxxxx nebo xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx života xxxxxxxxxxxxx od 2&xxxx;501 xx 25 000 xxxx. |
|
Xxxxxxxx |
Xxxxx xx xxxxxx rozsahem, xxxxxx a katastrofický. Rozsah xxxxxxxxxx škod xx xxxxxxxx v xxxxxxx x) 10 x více xxxxxxx x 1 001 x více xxxx s xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx než 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxxxxxx 500&xxxx;000&xxxx;000 Kč xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx omezením nezbytných xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx života xxxxxxxxxxxxx xxxx xxx 25&xxxx;000 xxxx. |
|
Xxxxxxxx pro xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx xxxx xx xxxx pravděpodobná. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxx xxxxxxxx než xxxxxx za 5 xxx. |
|
Xxxxxxx |
Xxxxxx xx málo xxxxxxxxxxxxx až xxxxxxxxxxxxx. Xxxxxxxxxxxxx realizace xxxxxx xx v xxxxxxx xx 1 xxxx xx 5 xxx. |
|
Xxxxxx |
Xxxxxx xx pravděpodobná xx xxxxx xxxxxxxxxxxxx. Předpokládaná xxxxxxxxx hrozby xx x rozpětí xx 1 xxxxxx xx 1 xxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. Xxxxxxxxxxxxx xxxxxxxxx hrozby xx xxxxxxxx xxx xxxxxx xx xxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx zranitelností |
|
|
Úroveň |
Popis |
|
Nízká |
Zranitelnost xxxxxxxxxx xxxx xx xxxxxxxx xxxxxxxxxxxxx málo pravděpodobné. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxx xxxx xxxxxxxxx xxxxx slabiny nebo xxxxxxxx xxxxxx o xxxxxxxxx opatření. |
|
Střední |
Zranitelnost je xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxxxxxx kvalitní xxxxxxxxxxxx opatření, xxxxxxx xxxxxxxx je pravidelně xxxxxxxxxxxx. Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx včas detekovat xxxxx slabiny xxxx xxxxxxxx xxxxxx x xxxxxxxxx opatření xx xxxxxxx. Xxxxxx známé xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx xx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxx jejich xxxxxxxx xxxxxxxxx všechny xxxxxxxx xxxxxxx x xxxx xxxxxxxxxx xxxxxxxxxxxx. Xxxx xxxxx xxxxx xxxxxxx xxxxxx o xxxxxxxxx xxxxxxxxxxxxxx opatření. |
|
Kritická |
Zranitelnost xx xxxxx xxxxxxxxxxxxx xx xx xxxxxxxx xxxxx xxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxx xx jejich xxxxxxxx xxxxxx omezena. Xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Jsou známé xxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření. |
|
Stupnice xxx xxxxxxxxx rizik |
|
|
Úroveň |
Popis |
|
Nízké |
Riziko je xxxxxxxxxx za xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxx x případě xxxxx xxxxxxxxxx xxxxxxxx xx xxxxxx přijatelné. |
|
Vysoké |
Riziko xx dlouhodobě xxxxxxxxxxx x musí xxx xxxxxxxx systematické xxxxx x xxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx nepřípustné x xxxx xxx xxxxxxxxxx xxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
X případě, xx xxxxx nebo xxxxx uvedená x §3 xxxx. c) xx x) zákona xxxxxxx xxxxxx xxx xxxxxxxxxxxx x hodnocení xxxxx, xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx, je xxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx a xxxxxxxxxxxxx xxxxxxx. Sloučení xxxxxxx xx xxxxxx xxxx xx ztrátě xxxxxxxxxx xxxxxxxxx míry xxxxxx x xxxxxxxxxxxxx. Xx xxxxx xxxxxx lze xxxxxx xxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxx úroveň hrozby, xxx x úroveň xxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx x orgán xxxx xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx, xxxxx xxxxxxx xxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxx, xxxxxx, xxxxxxxxxxxxx x xxxxx.
Xxxxxxx x. 3 x xxxxxxxx x. 316/2014 Sb.
Minimální požadavky xx kryptografické xxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxx
x) Xxxxxxx x xxxxxxxx šifry xxx ochranu důvěrnosti x xxxxxxxxx
1. Xxxxxxxx Xxxxxxxxxx Standard (XXX) x xxxxxxxx xxxxx xxxxx 128, 192 x 256 bitů Xxxxxx Data Encryption Xxxxxxxx (3DES) x xxxxxxxx délky xxxxx 168 xxxx, xxxxxxx xxxxxxx jen xx xxxxxxxxx xxxxx menším xxx 10 XX, xxxxxxxx xxxxxxxxx na XXX.
2. Triple Data Xxxxxxxxxx Standard (3DES) x xxxxxxxx délky xxxxx 112 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx klíče xxxxxx xxx 10 XX, xxxxxxxx přecházet xx XXX. Doporučeno xxxxxxx xxxxxxxxxxx xxxxx xxx xxxxxx xxxxxx.
3. Xxxxxxxx x xxxxxxxx xxxxxxxxx délky xxxxx 128 bitů, xxxxxxx xxxxxxx xxx se xxxxxxxxx xxxxx xxxxxx xxx 10 XX.
4. Xxxxxx s xxxxxxxx xxxxx xxxxx 128 xxxx, omezené použití xxx se xxxxxxxxx xxxxx xxxxxx xxx 10 XX.
5. Xxxxxxx x využitím xxxxx xxxxx 128 až 256 bitů.
6. Xxxxxxx x xxxxxxxx xxxxx xxxxx 128, 192, 256 xxxx.
7. Camellia x xxxxxxxx xxxxx xxxxx 128, 192 x 256 bitů.
8. XXXX 2.0, SNOW 3X s využitím xxxxx klíčů 128, 256 xxxx.
x) Xxxx xxxxxxxxx x ochranou xxxxxxxxx
1. CCM,
2. XXX,
3. XXX,
4. Xxxxxxx schémata xxxx "Encrypt-then-MAC".
Poznámka:
Schémata typu "Xxxxxxx-xxxx-XXX",xxxx xxxxxxxx k xxxxxxxxx xxxxx uvedené xxxxxxxxx módy x x xxxxxxx XXX xxxxx xxxxxxx xxxx xxx xxxxxxx xxxxxxxxx.
x) Xxxx xxxxxxxxx
1. XXX,
2. XXX,
3. XXX,
4. XXX,
Xxxxxxxx:
Xxxx XXX x XXX xxxx být xxxxxxx x xxxxxxxx, xxx xxxxxxxx xxxxxxxxxxxxxxxxxx inicializačním xxxxxxxx, při xxxxxxx xxxx XXX xx xxx xxxx xxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxxx xxxxxxx, při xxxxxxx módu CTR xx pro xxxx xxxx nesmí xxxxxxxx xxxxxxx čítače, x xxxxxxx použití XXX xxxx x xxxxxxxxx xxx xxxxxxx xxxxxxxxx xx xxxxx xxxxxx xxxxxxxx proti xxxxx xx xxxxxxx XXX xxxx.
x) Módy xxx xxxxxxx integrity
1. HMAC,
2. XXX-XXX-X9.19, xxxxxxx použití xxx xx zatížením xxxxxx xxx 109 XXX,
3. XXX-XXX-XXXX,
4. CMAC.
(2) Xxxxxxxxxxx xxxxxxxxx
x) Xxx xxxxxxxxxxx digitálního xxxxxxx
1. Xxxxxxx Signature Xxxxxxxxx (XXX) x xxxxxxxx xxxxx xxxxx 2048 xxxx a xxxx, xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx 224 bitů x více.
2. Xxxxxxxx Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxxxxx (EC-DSA) s xxxxxxxx xxxxx xxxxx 224 xxxx x xxxx.
3. Xxxxxx-Xxxxxx-Xxxxxxx Probablistic Xxxxxxxxx Scheme (XXX-XXX) x xxxxxxxx xxxxx xxxxx 2048 bitů x xxxx.
x) Xxx xxxxxxx xxxxx na xxxxx x xxxxxxxxx xxxxx
1. Xxxxxx-Xxxxxxx (XX) x xxxxxxxx délky xxxxx 2048 xxxx x více, délky xxxxxxxxx cylické xxxxxxxx 224 xxxx x xxxx.
2. Xxxxxxxx Curve Xxxxxx-Xxxxxxx (XXXX) x xxxxxxxx xxxxx xxxxx 224 xxxx a xxxx.
3. Elliptic Curve Xxxxxxxxxx Xxxxxxxxxx Xxxxxx - Xxx Encapculation Xxxxxxxxx (XXXXX-XXX) x xxxxxxxx xxxxx xxxxx 256 xxxx x xxxx.
4. Provably Secure Xxxxxxxx Xxxxx - Xxx Encapculation Mechanism (XXXX-XXX) s xxxxxxxx xxxxx xxxxx 256 xxxx xxxx.
5. Xxxxxxxxx Xxxxxxx and Key Xxxxxxxxxxxxx Mechanism (XXX-XXX) x xxxxxxxx xxxxx xxxxx 256 bitů x více.
6. Xxxxxx Xxxxxx Xxxxxxx - Xxxxxxx Xxxxxxxxx Xxxxxxxxxx Xxxxxxx (XXX-XXXX) x xxxxxxxx délky xxxxx 2048 x více.
7. Xxxxxx Shamir Adleman - Xxx Encapculation Xxxxxxxxx (XXX-XXX) x xxxxxxxx xxxxx klíčů 2048 x více.
(3) Xxxxxxxxx hash funkcí
a) XXX-2
1. SHA-224,
2. XXX-256,
3. XXX-384,
4. SHA-512,
5. XXX-512/224,
6. XXX-512/256.
x) SHA-3
1. XXX3-224,
2. XXX3-256,
3. XXX3-384,
4. SHA3-512,
5. XXXXX-128,
6. XXXXX-256.
x) Xxxxxxx xxxxxxxx xxxxxx
1. Xxxxxxxx,
2. XXXXXX-160,
3. XXX 1 x omezeným xxxxxxxx.
Xxxxxxxx x. 1:
XXX-1 xx xxxxx používat xxx xxxxxxxxxx xxxxxx digitálních xxxxxxx, xxxxxxxx xxxxxxx, xxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx SHA-1.
Poznámka x. 2:
XXX-1 xxx xxxxxxxx xxxxx pro xxxxxxxxx xxx existujících xxxxxxxxxxx xxxxxxx a xxxxxxxx razítek, generování x xxxxxxxxx HMAC-SHA1, xxxxxx pro xxxxxxxxxx xxxxx x xxxxxxxxxxxxx xxxxxxxxxx.
Xxxxxxx č. 4 x vyhlášce x. 316/2014 Xx.
Xxxxxxxxx bezpečnostní xxxxxxxxxxx
Xxxx příloha xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx, která jednotlivé xxxxxxxxx podle xxxx xxxxxxxx xxxxxxxxx, přičemž xxxxxxx xxxxxxxxx dokumentů xxxxxx xxxxxxx x xx xx xxxxxx xxxx xxxxx uvedené x §3 písm. x) xx x) xxxxxx, jaký přístup x xxxxxx bezpečnostní xxxxxxxxxxx xxxxxxx. Přípustná xx i xxxxx xxxxx xxxxxxxxxxxx dokumentů xxxx xxxxxxxxxxx xxxx xxxxx xx jednoho xxxxxxxxx.
X. Xxxxxxxxx xxxxxxxxxxxx xxxxxxxx
(1) Politika systému xxxxxx xxxxxxxxxxx xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. a)]
a) Xxxx, xxxxxxxx a xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx a xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x postupy pro xxxxxx dokumentace.
d) Xxxxxxxx x xxxxxxx pro xxxxxx zdrojů x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x postupy xxx xxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx.
x) Pravidla a xxxxxxx xxx xxxxxxxx xxxxxxxx x xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxxx organizační xxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Určení xxxxxxxxxxxxxx xxxx x jejich xxxx x povinností,
1. xxxxx x povinnosti xxxxxxxx kybernetické bezpečnosti,
2. xxxxx x povinnosti xxxxxxxxxx xxxxxxxxxxxx bezpečnosti,
3. xxxxx x povinnosti xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
4. xxxxx x xxxxxxxxxx xxxxxxx aktiv,
5. xxxxx x xxxxxxxxxx výboru xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxx na xxxxxxxx výkonu xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx rolí.
(3) Xxxxxxxx xxxxxx xxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx a xxxxxxxx xxx xxxxx xxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxx xxxxxxxxxx.
x) Náležitosti xxxxxxx o úrovni xxxxxx a xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x x xxxxxx vzájemné xxxxxxx xxxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx xxx hodnocení xxxxxxxxxx.
(4) Xxxxxxxx xxxxxxxxxxx xxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Identifikace, hodnocení x xxxxxxxx xxxxxxxxxx xxxxx
1. určení x xxxxxxxx jednotlivých primárních xxxxx včetně xxxxxx xxxxxx xxxxxxx,
2. hodnocení xxxxxxxxxxx primárních xxxxx x hlediska důvěrnosti, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx podpůrných aktiv
1. xxxxxx a xxxxxxxx xxxxxxxxxxxx podpůrných xxxxx xxxxxx určení xxxxxx xxxxxxx,
2. určení xxxxx xxxx xxxxxxxxxx a xxxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx
1. způsoby rozlišování xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx pro xxxxxxxxxx x evidenci aktiv xxxxx xxxxxx aktiv,
3. xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx.
x) Způsoby xxxxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxxx nosičů xxx.
(5) Xxxxxxxx xxxxxxxxxxx lidských xxxxxx**
[§5 xxxx. 1 xxxx. e), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxx xxxxxxxxx
1. xxxxxxx x xxxxx xxxxxxx xxxxxxxxx,
2. xxxxxxx x xxxxx xxxxxxx xxxxxxx xxxxx,
3. způsoby x xxxxx xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx x xxxxx poučení xxxxxxx xxxx xxxxxxxxxxxxx bezpečnostní xxxx.
x) Bezpečnostní xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxx řešení případů xxxxxxxx bezpečnostní politiky xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla xxx xxxxxxxx pracovního xxxxxx xxxx změnu xxxxxxxx xxxxxx.
1. xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx xxxx při xxxxxxxx xxxxxxxxxx xxxxxx,
2. xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx pracovní pozice.
(6) Xxxxxxxx xxxxxx xxxxxxx x komunikací**
[§5 odst. 1 xxxx. f), §5 odst. 2 xxxx. f)]
a) Pravomoci x xxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx a xxxxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx x bezpečnostních xxxxx.
(7) Xxxxxxxx řízení xxxxxxxx**
[§5 xxxx. 1 xxxx. g), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (need xx xxxx).
x) Xxxxxxxxx xx řízení xxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxx xxxxxxxx.
x) Xxxxxx privilegovaných xxxxxxxxx.
x) Xxxxxx xxxxxxxx xxx mimořádné xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx.
(8) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxx*
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx xxx bezpečné xxxxxxxxx x aktivy.
b) Xxxxxxxx použití přístupového xxxxx.
x) Bezpečné xxxxxxx xxxxxxxxxxxx xxxxx x xxxxxxxx xx internet.
d) Xxxxxxxx vzdálený xxxxxxx.
x) Xxxxxxxx chování xx xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx xx vztahu k xxxxxxxx xxxxxxxxx.
(9) Xxxxxxxx xxxxxxxxxx x xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxxx xx xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx x xxxxxxx zálohování.
c) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx.
x) Pravidla x xxxxxxx xxxxxx.
x) Xxxxxxxx x postupy xxxxxxxxx xxxxxxxxxx x xxxxxx.
(10) Xxxxxxxx xxxxxxxxxx předávání x xxxxxx informací**
[§5 xxxx. 1 písm. x)]
x) Pravidla x xxxxxxx pro ochranu xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx.
x) Pravidla pro xxxxxxxxx xxxxxxxxxxxxxx ochrany.
(11) Xxxxxxxx xxxxxx technických xxxxxxxxxxxxx**
[§5 odst. 1 xxxx. x)]
x) Xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) Pravidla x xxxxxxx vyhledávání xxxxxxxxx xxxxxxxxxxxx balíčků,
c) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx a xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx vybavení.
(12) Politika xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx*
[§5 xxxx. 1 xxxx. 1)]
x) Pravidla x postupy xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx zajištění xxxxxxxxxxx zařízení, xxxxxxx xxxxx x osoba xxxxxxx v §3 xxxx. c) a x) xxxxxx xxxxxxxxxxx.
(13) Xxxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx a xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx x jeho xxxxxxxx.
x) Xxxxxxxx x postupy xxx kontrolu xxxxxxxxxx xxxxxxxxxx podmínek.
(14) Xxxxxxxx xxxxxxxxxxxx xxxxxxxx a xxxxxxxxx informací*
[§5 xxxx. x písm. n)]
a) Xxxxxxxx a xxxxxxx xxxxxxxxx dokumentů a xxxxxxx.
x) Xxxxxxx xxxxxxxxxxxxx xxxxxxxxx a záznamů.
c) Xxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxx.
(15) Xxxxxxxx ochrany xxxxxxxx xxxxx*
[§5 xxxx. x xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Charakteristika xxxxxxxxxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx organizačních opatření xxx xxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx ochranu xxxxxxxx xxxxx.
(16) Xxxxxxxx xxxxxxx xxxxxxxxxxx**
[§5 xxxx. x xxxx. p)]
a) Xxxxxxxx xxx xxxxxxx xxxxxxx.
x) Pravidla xxx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx xxx ochranu xxxxxxxx.
x) Detekce xxxxxxxx xxxxxxx xxxxxxxxxxx.
(17) Politika xxxxxxxxxxx xxxxxxxxxxx sítě**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx a xxxxxxx pro xxxxxxxxx xxxxxxxxxxx sítě.
b) Xxxxxx xxxx x xxxxxxxxxx xx xxxxxxxx provoz xxxx.
x) Pravidla a xxxxxxx xxx řízení xxxxxxxx x xxxxx xxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxxxxxx xxxxxxxx k xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx xxxx a xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.
(18) Xxxxxxxx xxxxxxx před xxxxxxxxx xxxxx*
[§5 xxxx. l xxxx. r), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxx ochranu xxxxxxxxxx mezi xxxxxxx x xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx serverů x sdílených xxxxxxxx xxxxxxx.
x) Pravidla a xxxxxxx xxx ochranu xxxxxxxxxx stanic.
(19) Politika xxxxxxxx x používání xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. n)]
a) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx vyhodnocování x xxxxxxxxx na xxxxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx.
x) Xxxxxxxx a postupy xxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
(20) Xxxxxxxx xxxxxxx x xxxxxx nástroje xxx xxxx a vyhodnocení xxxxxxxxxxxxxx bezpečnostních xxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx x vyhodnocení kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x postupy xxxxxxxxxx xxxxxxxxxxx pravidel xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx pro optimální xxxxxxxxx xxxxxxxxxxxxxx vlastností xxxxxxxx xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
(21) Xxxxxxxx xxxxxxxxxx používání xxxxxxxxxxxxxx xxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxx x xxxxxxx xx xxx a sílu xxxxxxxxxxxxxxxx algoritmu.
b) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx
1. xxx přenosu po xxxxxxxxxxxxx xxxxxx,
2. při xxxxxxx xx xxxxxxx xxxxxxxx nebo vyměnitelný xxxxxxxxx nosič dat,
c) Xxxxxx správy xxxxx.
XX. Xxxxxxxxx xxxxx xxxxxxxxxxx
(1) Xxxxxx z xxxxxx xxxxxxxxxxxx bezpečnosti**
[§28 xxxx. 1 písm. x)]
x) Xxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti.
d) Xxxxxxxxxxxxxx xxxx auditorů x xxxx, xxxxx xx auditu xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx.
x) Datum x xxxxx, xxx xxxx prováděny xxxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx z xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
(2) Xxxxxx z xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx**
[§28 odst. 1 písm. x)]
x) Xxxxxxxxxxx opatření z xxxxxxxxxxx přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx informací,
b) Xxxxxxxxxxxx xxxx x xxxxxxxxx, které mohou xxx xxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x xxxxxxxx opatření,
2. xxxxxxxx monitorování x xxxxxx,
3. xxxxxxxx auditu,
4. xxxxxxxx cílů xxxxxxxxxxx,
x) Xxxxxxxx xxxxxxxxx xxxxx x xxxx xxxxx xxxxxxxx rizik.
e) Xxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx xxxxxxxx x xxxx xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx činností.
(3) Xxxxxxxx xxx xxxxxxxxxxxx x hodnocení xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx rizik*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxxxxxx aktiv,
3. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxx aktiv.
b) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx
1. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,
3. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx,
4. určení xxxxxxxx pro xxxxxxxxx xxxxxx rizik,
a) Xxxxxx x xxxxxxxx pro xxxxxxxx xxxxx.
x) Způsoby xxxxxxxxxxx xxxxxxxxxxxx xxxxx.
(4) Xxxxxx o xxxxxxxxx xxxxx x rizik**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx a xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx primárních aktiv,
3. xxxxxxxxx xxxxxxxxxx xxxxx x hlediska xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxx podpůrných xxxxx (xxxxxxx xxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) zákona)
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx aktiv,
3. určení xxxxx xxxx xxxxxxxxxx x podpůrnými aktivy,
c) Xxxxxxxxxxxxxx x hodnocení xxxxx
1. xxxxxxxxx xxxxxxx xxxxxx xx aktiva,
2. xxxxxxxxx existujících xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx xxxx xxxxxx x kritérii xxx xxxxxxxxxxxx xxxxx,
5. xxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxx
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. návrh xxxxxxxx x xxxxxx xxxxxxxxx.
(5) Xxxxxxxxxx o xxxxxxxxxxxxxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 písm. d)]
a) Xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx včetně zdůvodnění xxxxxx xxxxxx x xxxxxx xxxxx na xxxxxxxxxxxxxx rizika.
b) Xxxxxxx xxxxxxxxxx bezpečnostních opatření.
(6) Xxxx zvládání xxxxx**
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. x)]
x) Xxxxx a cíle xxxxxxxxx bezpečnostních opatření xxx xxxxxxxx xxxxx.
x) Xxxxxxxx xxxxxx pro xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx zvládání xxxxx.
x) Xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx opatření xxx xxxxxxxx rizik.
d) Xxxxxxx xxxxxxxx jednotlivých bezpečnostních xxxxxxxx xxx zvládání xxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxxxx zavedení xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
(7) Xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. f)]
a) Xxxxx x termíny xxxxxxx xxxxxxxxx.
x) Obsah x xxxxxxx xxxxxxx xxxxxxx xxxxx (xxxxxxx xxx orgány x xxxxx xxxxxxx v §3 xxxx. x) xxxxxx).
x) Obsah a xxxxxxx poučení xxxxxxxxxxxxxx (xxxxxxx xxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) zákona).
d) Obsah x termíny xxxxxxx xxxxxxx xxxx zastávajících xxxxxxxxxxxx xxxx.
x) Xxxxx x xxxxxxx xxxxxxx xxxxxx zaměstnanců.
f) Xxxxx x xxxxxxx xxxxxxxxx xxxxx.
(8) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx**
[§28 odst. 1 xxxx. i), §28 odst. 2 xxxx. g)]
a) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxx x zvládání jednotlivých xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxxxxx systému xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů x xxx zlepšování xxxxxxxxxxxx xxxxxxxxxxx.
(9) Xxxxxxxxx xxxxxx kontinuity xxxxxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. h)]
a) Xxxxx x povinnosti xxxxxxxxxxxx xxxx.
x) Cíle xxxxxx xxxxxxxxxx činností
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx,
2. xxxx obnovení xxxxx,
3. bod xxxxxxxx xxxxx.
x) Xxxxxxxxx řízení xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxx xxxxxxxxxx.
x) Xxxxxxx hodnocení xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx x xxxxxxxxxx souvisejících rizik.
e) Xxxxxx x xxxxx xxxxxxxxxx xxxxx kontinuity.
f) Xxxxxxx xxx realizaci xxxxxxxx xxxxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx.
(10) Přehled xxxxxx xxxxxxxxx právních xxxxxxxx, xxxxxxxxx předpisů x jiných xxxxxxxx x xxxxxxxxx xxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. i)]
a) Xxxxxxx obecně xxxxxxxxx xxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx předpisů a xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx závazků.
Poznámka:
* Očekávaná xxxxxxxxx xxxxxxxxx xx xx xxxxxx xxxxxxx xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.
** Xxxxxxxxx důvěrnost xxxxxxxxx xx xx úrovni xxxxxx xxxxx stupnice xxxxxxx x příloze č. 1: Xxxxxxxxx a xxxxxx xxxxx.
Xxxxxxx č. 5 x xxxxxxxx č. 316/2014 Sb.
Formulář xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx č. 6 x vyhlášce x. 316/2014 Xx.
Xxxxxxxx xxxxxxxx x xxxxxxxxx reaktivního xxxxxxxx x xxxx xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx x. 7 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxx
Vyplnitelný formulář ve formátu PDF
Informace
Právní xxxxxxx x. 316/2014 Sb. xxxxx xxxxxxxxx dnem 1.1.2015.
Xx xxx uzávěrky xxxxxx xxxxxxx xxxxx xxxxx xx xxxxxxxxx.
Xxxxxx xxxxxxx x. 316/2014 Sb. xxx xxxxxx xxxxxxx xxxxxxxxx č. 82/2018 Sb. x xxxxxxxxx od 28.5.2018.
Xxxxx xxxxxxxxxxxx právních xxxxx xxxxxx xxxxxxxx xxxxxxxx x odkazech xxxx xxxxxxxxxxxxx, pokud xx xxxx netýká xxxxxxxxx xxxxx shora xxxxxxxxx xxxxxxxx předpisu.
1) XXX/XXX 27001:2013, xxxxxxxx XXX ISO/IEC 27001:2014