Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
XXXXXXXX
xx xxx 15. xxxxxxxx 2014
o xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x o xxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxx kybernetické xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx bezpečnostní úřad xxxxxxx podle §28 xxxx. 2 zákona x. 181/2014 Sb., x kybernetické xxxxxxxxxxx x x xxxxx xxxxxxxxxxxxx zákonů (xxxxx x xxxxxxxxxxxx bezpečnosti), (xxxx jen "zákon") x provedení §6 xxxx. a) xx x), §8 odst. 4, §13 xxxx. 4 x §16 xxxx. 6 xxxxxx.
XXXX PRVNÍ
ÚVODNÍ XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxxx xxxxxxxxx xx xxxxxxx xxxxx a xxxxxxxxx bezpečnostní xxxxxxxxxxx xxx xxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx, xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxx jejich xxxxxxxx, xxxx x kategorie xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxxxxxxx x způsob xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx, xxxxxxxxxxx oznámení x provedení reaktivního xxxxxxxx a xxxx xxxxxxxx x vzor xxxxxxxx kontaktních xxxxx x xxxx formu.
§2
Xxxxxxxx pojmů
V xxxx xxxxxxxx xx xxxxxx
x) xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx xxxxxx xxxxxx x xxxxx uvedené v §3 xxxx. c) xx x) zákona xxxxxxxx xx xxxxxxxx x rizikům xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, která stanoví xxxxxx xxxxxxxx, zavádění, xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx,
x) aktivem xxxxxxxx xxxxxxx a xxxxxxxx aktivum,
c) primárním xxxxxxx informace nebo xxxxxx, kterou xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx systém xxxxxxxx informační infrastruktury xxxx významný informační xxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, zaměstnanci x dodavatelé podílející xx xx xxxxxxx, xxxxxxx, správě xxxx xxxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x programové vybavení xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo významného xxxxxxxxxxxx systému x xxxxxxx, xx xxxxxxx xxxx xxxx systémy xxxxxxxx,
x) rizikem xxxxxxx, xx určitá xxxxxx xxxxxxx zranitelnosti xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxx xxxxxx, xxx xxxx je xxxxxxxx xxxxxxxxxx xxxxx x xxxxxx xxxxxxxxxx úroveň,
h) xxxxxxx rizik xxxxxxx xxxxxxxxxx xxxxxxxxx rizik, xxxxx a xxxxxxxx xxxxxxxx ke xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx x riziku x xxxxxxxxx x xxxxxxxxxxx xxxxx,
x) hrozbou xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxx xxxx být xxxxxxxxx aktiva,
j) zranitelností xxxxx místo xxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx být xxxxxxxx xxxxxx xxxx xxxx hrozbami,
k) xxxxxxxxxxx xxxxxxx riziko xxxxxxxxx xx uplatnění bezpečnostních xxxxxxxx, xxxxx xxxxxx xxxxxxxx kritériím xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxx x xxxxxxxx, xxxxx xxxxxx způsob zajištění xxxxxxx aktiv xxxxxxx x xxxxxx uvedenou x §3 xxxx. x) xx x) xxxxxx,
x) xxxxxxxx aktiva xxxxxxx xxxxx xxxxxxxx xxxxxxx nebo xxxxxx xxxxxxxx v §3 xxxx. x) xx x) xxxxxx x xxxxxxxxx xxxxxxx, xxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx osoba xxxxx xxxxx veřejné xxxx, xxxxx využívá xxxxxxxx xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxx xxxxx xxxxxxxx garantem xxxxxx zajišťující xxxxxx, xxxxxx, xxxxxxx, xxxxxx x bezpečnost technického xxxxxx.
XXXX DRUHÁ
BEZPEČNOSTNÍ XXXXXXXX
XXXXX X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx x xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx s xxxxxxx xx aktiva x organizační bezpečnost xxxxxx x xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xx kterém xxxx, xxxxxxx xxxxxxxxxxxxx xxxxx x technických xxxxx xx systém xxxxxx xxxxxxxxxxx informací xxxx,
x) xxxx xxxxxx xxxxx §4 odst. 1,
x) xxxxxxx x xxxxxxx bezpečnostní politiku x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxx, xxxx, bezpečnostní xxxxxxx, xxxxx x xxxxxxxxxx xx vztahu x řízení xxxxxxxxxxx xxxxxxxxx x xx xxxxxxx xxxxxxxxxxxxxx potřeb x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx podle §5 x zavede příslušná xxxxxxxxxxxx opatření,
d) xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx §5,
x) xxxxxxx xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx podle §15, x xx xxxxxxx xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx účinnosti xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxx obsahuje hodnocení xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxx, xxxxxxxxx výsledků xxxxxxxxxxx xxxxxxx a xxxxxx xxxxxxxxxxxx bezpečnosti a xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx na systém xxxxxx xxxxxxxxxxx xxxxxxxxx, x to xxxxxxx xxxxxx xxxxx,
x) aktualizuje xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx na xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx vyhodnocení xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx a x xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx a
i) xxxx xxxxxx a xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxx xxxxxxx se systémem xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx.
(2) Xxxxx a xxxxx xxxxxxx v §3 xxxx. e) xxxxxx x rámci xxxxxxx xxxxxx xxxxxxxxxxx informací
a) xxxx rizika xxxxx §4 xxxx. 2,
x) xxxxxxx x schválí xxxxxxxxxxxx politiku x xxxxxxx systému řízení xxxxxxxxxxx informací, xxxxx xxxxxxxx xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx a xxxxxxxxxx xx xxxxxx k xxxxxx xxxxxxxxxxx xxxxxxxxx x na xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx hodnocení xxxxx xxxxxxx bezpečnostní xxxxxxxx x xxxxxxx oblastech xxxxx §5, x xxxxxx xxxxxxxxx bezpečnostní xxxxxxxx x
x) provádí xxxxxxxxxxx xxxxxx o xxxxxxxxx xxxxx x xxxxx, bezpečnostní politiky, xxxxx xxxxxxxx xxxxx x xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx, a xx nejméně xxxxxx xx xxx roky xxxx v xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx.
§4
Řízení xxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx x rámci xxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxxx stanovení kritérií xxx přijatelnost xxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx aktiv, která xxxxx xx rozsahu xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx §8 x xxxxxxx přílohy č. 1 x xxxx xxxxxxxx x xxxxxxx xxxxxxxxx xx xxxxxx x xxxxxxxxx aktiv x xxxxx,
x) xxxxxxxxxxxx rizika, xxx xxxxxxx zohlední xxxxxx x xxxxxxxxxxxxx, xxxxxxx možné dopady xx aktiva, xxxxxxx xxxx xxxxxx minimálně x xxxxxxx xxxxx přílohy č. 2 x xxxx xxxxxxxx, xxxx x xxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxx xxxxxx x hodnocení aktiv x rizik,
d) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxx bezpečnostních xxxxxxxx,
x) xxxxxxxx x xxxxxx plán xxxxxxxx xxxxx, xxxxx xxxxxxxx xxxx a xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx, potřebné xxxxxxxx, technické, xxxxxx x informační xxxxxx, xxxxxx xxxxxx xxxxxxxx x xxxxx vazeb xxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x
x) zohlední xxx xxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxx xxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx (xxxx xxx "Xxxx") v xxxxxxxxx xxxxx x v xxxxxxx, xx hodnocení xxxxx xxxxxxxxxxxxx o xxxx zranitelnosti xxxxxxx x xxxxxxxxx reaktivního xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx kritéria xxx přijatelnost rizik, xxxxxx xxxx xxxxxxxx xxxxx.
(2) Orgán x xxxxx uvedená x §3 xxxx. e) xxxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx aktiv x pro identifikaci x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx kritérií xxx xxxxxxxxxxxx rizik,
b) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxx, xxxxx patří xx xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx §8 xxxxxxxxx v xxxxxxx přílohy č. 1 k xxxx vyhlášce a xxxxxxx zapracuje do xxxxxx x xxxxxxxxx xxxxx a xxxxx,
x) xxxxxxxxxxxx rizika, při xxxxxxx zohlední xxxxxx x xxxxxxxxxxxxx, xxxxxxx xxxxx xxxxxx na xxxxxxxx xxxxxx, xxxxxxx xxxx rizika xxxxxxxxx x xxxxxxx podle přílohy č. 2 k této xxxxxxxx a zpracuje xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxx na xxxxxxx xxxxxxxxxxxxxx potřeb x xxxxxxxx hodnocení xxxxx xxxxxxxxxx x aplikovatelnosti, xxxxx obsahuje xxxxxxx xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxxxx opatření,
e) xxxxxxxx x zavede xxxx xxxxxxxx xxxxx, xxxxx xxxxxxxx cíle x xxxxxxx xxxxxxxxxxxxxx opatření xxx zvládání xxxxx, xxxxxx osoby xxxxxxxxxxx xxxxxxxxxxx bezpečnostních xxxxxxxx xxx zvládání xxxxx, xxxxxxxx finanční, xxxxxxxxx, xxxxxx a xxxxxxxxxx xxxxxx, xxxxxxx xxxxxx xxxxxxxx x xxxxx xxxxx xxxx xxxxxxxxxxxxxxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx opatřeními x
x) xxxxxxxx bez zbytečného xxxxxxx xxxxxxxxx a xxxxxxxx opatření xxxxxx Xxxxxx x xxxxxxxxx xxxxx a x xxxxxxx, xx hodnocení xxxxx aktualizované x xxxx zranitelnosti xxxxxxx x realizací reaktivního xxxx xxxxxxxxxx opatření xxxxxxxx stanovená kritéria xxx přijatelnost xxxxx, xxxxxx xxxx xxxxxxxx xxxxx.
(3) Řízení rizik xxxx xxx xxxxxxxxx x xxxxxx způsoby, xxx xxx xx xxxxxxxxx x xxxxxxxxxx 1 a 2, xxxxx xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx xxxxxxxxxxx stejnou xxxx vyšší xxxxxx xxxxxx xxxxx.
(4) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxx hodnocení xxxxx xxxxxxx zejména xxxx xxxxxx
x) porušení xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
x) xxxxxxxxx nebo xxxxxxx xxxxxxxxxxx xxxxx programového xxxxxxxx,
x) zneužití xxxxxxxx xxxxxxx osoby,
d) xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx x xxxxxxxxxx xxxxxxxxxx,
x) kybernetický xxxx x xxxxxxxxxxx sítě,
f) xxxxxxxx xxx (xxxxxxxxx xxxx, xxxxxxx, trojské xxxx),
x) nedostatky xxx xxxxxxxxxxx služeb xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxxxx,
x) přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxx xxxxxxx,
x) zneužití xxxx xxxxxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxx xxxxxxxx xxxxxx x
x) xxxxxxxx xxxx xxxxxxxxx xxxxxx.
(5) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx při hodnocení xxxxx xxxxxxx xxxxxxx xxxx zranitelnosti
a) nedostatečná xxxxxxx vnějšího xxxxxxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx a administrátorů,
c) xxxxxxxxxxxx údržba xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) nedostatečné xxxxxxx xxx identifikování x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx činnosti xxxxxxxxx a xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxx nebo xxxxxxx xxxxxxx chování x
x) xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxx xxxx a xxxxxxxxxx xxxxxxxxx, administrátorů x xxxxxxxxxxxxxx rolí.
(6) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx při xxxxxxxxx xxxxx dále zvažuje xxxx xxxxxx
x) xxxxxxxx xxxxxxxxxxxx politiky, provedení xxxxxxxxxxxxx činností, zneužití xxxxxxxxx ze xxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) pochybení ze xxxxxx xxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,
x) xxxxxxxxxx přerušení poskytování xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxx,
x) nedostatek zaměstnanců x xxxxxxxxx odbornou xxxxxx,
x) xxxxxx xxxxxxxxxxxx xxxx xxxxxx sociálního xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxx x
x) xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxx.
(7) Xxxxx a xxxxx uvedená x §3 písm. x) x x) xxxxxx xxx xxxxxxxxx rizik xxxx xxxxxxx xxxx xxxxxxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx a
d) xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx ze xxxxxx xxxxxxxxxxx.
§5
Bezpečnostní politika
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxxxxx bezpečnostní xxxxxxxx x oblastech
a) xxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) organizační bezpečnost,
c) xxxxxx xxxxxx x xxxxxxxxxx,
x) xxxxxxxxxxx aktiv,
e) xxxxxxxxxx xxxxxxxx zdrojů,
f) xxxxxx xxxxxxx a xxxxxxxxxx,
x) xxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxx uživatelů,
i) xxxxxxxxxx x xxxxxx,
x) xxxxxxxx předávání x xxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx zranitelností,
l) xxxxxxxx xxxxxxxxx xxxxxxxxx zařízení,
m) xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx x archivace xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx,
x) fyzická bezpečnost,
q) xxxxxxxxxx xxxxxxxxxxx sítě,
r) xxxxxxx xxxx škodlivým xxxxx,
x) xxxxxxxx a xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx,
x) xxxxxxx a xxxxxx xxxxxxxx pro xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x
x) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xxxxxx stanoví xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) organizační bezpečnost,
c) xxxxxx xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) bezpečnost xxxxxxxx xxxxxx,
x) xxxxxx provozu x komunikací,
g) řízení xxxxxxxx,
x) bezpečné xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx a xxxxxx,
x) poskytování x xxxxxxxx licencí xxxxxxxxxxxx xxxxxxxx x informací,
k) xxxxxxx xxxxxxxx xxxxx,
x) xxxxxxxxx kryptografické xxxxxxx,
x) xxxxxxx xxxx škodlivým xxxxx x
x) xxxxxxxx x xxxxxxxxx nástroje xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx x osoba xxxxxxx x §3 písm. x) xx e) xxxxxx pravidelně xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx ji.
§6
Xxxxxxxxxxx bezpečnost
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, x xxxxx xxxxx xxxx výbor pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx role x xxxxxx xxxxx x xxxxxxxxxx související x xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxx xxxxxxxxxxxx xxxx
x) manažer xxxxxxxxxxxx bezpečnosti,
b) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxx aktiva xxxxx §2 xxxx. m).
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxx xxxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxx 2.
(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx osoba, xxxxxxxxx xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxx xxxxxxx tří xxx.
(5) Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx osoba xxxxxxxxxxx xxxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx opatření, xxxxx xx pro xxxx xxxxxxx vyškolena x prokáže xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xx dobu nejméně xxx xxx.
(6) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx bezpečnosti, xxxxx xx xxx xxxx xxxxxxx vyškolena a xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti xx xxxx nejméně xxx xxx. Xxxxxxx xxxxxxxxxxxx bezpečnosti xxxxxxxx xxxxx xxxx xxxxxxxxx x xxxxx xxxx xxxx xx oddělen xx xxxxxx xxxx xxxxxxxxx x odstavci 2 xxxx. x), x) xxxx d).
(7) Xxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx, které xxxx xxxxxxxx xxxxxxxx xxxxxxx x rozvojem xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, anebo xx xxxxxxxx podílejí xx xxxxxx x koordinaci xxxxxxxx xxxxxxxxx s xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx.
(8) Xxxxx x xxxxx uvedená x §3 písm. x) xx x) xxxxxx xxxxxxx xxxxxxx xxxxxxx xxxx, xxxxx xxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxx s xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 xxxx. x).
§7
Xxxxxxxxx xxxxxxxxxxxxxx požadavků xxx xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx zavede xxxxxxxx xxx xxxxxxxxxx, xxxxx xxxxxxxxxx potřeby xxxxxx xxxxxxxxxxx informací, x xxxxxxxx xx u xxxxxxxxxx nebo xxxxxx xxxx, které se xxxxxxxx xx xxxxxxx, xxxxxxx xxxx zajištění xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury nebo xxxxxxxxxx xxxxxxxxxxxx systému. Xxxxxx xxxxxxxx xxxxxxxxxx xx xxxxxxx, xxxxxxx xxxx zajištění bezpečnosti xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxx uvedená x §3 písm. x) xx x) xxxxxx xxxxxxxx, xxxxx xxxxxxxx xx xxxxxxxxxx o xxxxxxxxxxx informací.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) a x) xxxxxx x xxxxxxxxxx xxxxxxxxx v xxxxxxxx 1 xxxx
x) před xxxxxxxxx smlouvy xxxxxxx xxxxxxxxx xxxxx xxxxx přílohy č. 2 x této xxxxxxxx, xxxxx xxxx xxxxxxx x podstatnými xxxxxxxxx,
x) uzavírá xxxxxxx x xxxxxx xxxxxx, xxxxx stanoví způsoby x xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx a xxxx vztah vzájemné xxxxxxx odpovědnosti xx xxxxxxxx x kontrolu xxxxxxxxxxxxxx xxxxxxxx, x
x) xxxxxxx pravidelné xxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxx odstraňuje nebo xx xxxxxx s xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxx.
§8
Řízení aktiv
(1) Xxxxx x osoba xxxxxxx x §3 písm. x) až x) xxxxxx x rámci xxxxxx xxxxx
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxx,
x) xxxx xxxxxxx xxxxx, xxxxx jsou xxxxxxxxx za xxxxxxxx xxxxxx, x
x) xxxxxxx xxxxxxxxxx primárních xxxxx x hlediska důvěrnosti, xxxxxxxxx x dostupnosti x zařadí je xx jednotlivých xxxxxx xxxxxxxxx x rozsahu xxxxx přílohy č. 1 k xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx je třeba xxxxxxxxx xxxxxxxx
x) rozsah x xxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxxxxx,
x) xxxxxx dotčených xxxxxxxx xxxxxxxxxx nebo xxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, obchodních xxxx xxxxxxxxxxxx xxxxx,
x) xxxxx finanční ztráty,
f) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx orgánu a xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxx, integrity x xxxxxxxxxxx a
h) xxxxxx na xxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx xxxxx xxxxxxx.
(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx dále
a) xxxxxxxxxxxx x eviduje xxxxxxxx aktiva,
b) xxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xx xxxxxxxx xxxxxx, x
x) xxxx vazby xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxx závislostí xxxx xxxxxxxxxx x podpůrnými xxxxxx.
(4) Xxxxx x xxxxx uvedená x §3 xxxx. c) xx x) zákona xxxx
x) stanoví xxxxxxxx xxxxxxx, xxxxx xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx xxx, že
1. xxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxx xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx x xxxxxx podle xxxxxx xxxxx, xxxxxx xxxxxxxx pro xxxxxxxx xxxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxxx xxxxx x
3. stanoví xxxxxxxxx xxxxxxx používání aktiv,
b) xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx úrovni xxxxx x
x) xxxx xxxxxxx xxx spolehlivé smazání xxxx xxxxxx xxxxxxxxxxx xxxxxx dat s xxxxxxx na xxxxxx xxxxx.
§9
Bezpečnost xxxxxxxx xxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx v xxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx
x) stanoví xxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxx, xxxxx x xxxxxx xxxxxxxxxx xxxxxxx x určí xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, které xxxx x xxxxx xxxxxxx,
x) x xxxxxxx x xxxxxx rozvoje bezpečnostního xxxxxxxx xxxxxxx poučení xxxxxxxxx, administrátorů x xxxx zastávajících xxxxxxxxxxxx xxxx o jejich xxxxxxxxxxxx x x xxxxxxxxxxxx xxxxxxxx formou xxxxxxxxx a xxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní xxxx x
x) zajistí xxxxxxx xxxxxxxxx xxxxx a xxxxxxxx přístupových oprávnění xxx xxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxx, xxxxxxxxxxxxxx nebo xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Xxxxx a osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx vede x xxxxxxx xxxxx xxxxxxxx 1 přehledy, xxxxx xxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
(3) Xxxxx a xxxxx uvedená x §3 písm. x) x x) xxxxxx xxxx
x) xxxxxxx xxxxxxxx xxx xxxxxx xxxx, xxxxx budou xxxxxxxx xxxxxxxxxxxx role, role xxxxxxxxxxxxxx xxxx xxxxxxxxx,
x) xxxxxxx účinnost plánu xxxxxxx xxxxxxxxxxxxxx povědomí, xxxxxxxxxxx školení a xxxxxxx xxxxxxxx spojených x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxx xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx bezpečnostních xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) zajistí xxxxx xxxxxxxxxxxx oprávnění xxx xxxxx xxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx nebo xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
§10
Xxxxxx provozu a xxxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. c) xx x) xxxxxx x rámci řízení xxxxxxx x komunikací xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx v §21 xx 23 detekuje xxxxxxxxxxxx xxxxxxxxxxxx události, xxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxx a xx xxxxxxxx nedostatky reaguje x xxxxxxx x §13.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona x xxxxx xxxxxx xxxxxxx x komunikací xxxx zajišťuje xxxxxxxx xxxxxx informačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx informačního xxxxxxx. Xx xxxxx xxxxxx xxxxxxx provozní xxxxxxxx x xxxxxxx.
(3) Xxxxxxxx xxxxxxxx a xxxxxxx xxxxxx x osoby xxxxxxx v §3 xxxx. x) x x) zákona xxxxxxxx
x) xxxxx x xxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx a xxxxxxxxx,
x) xxxxxxx xxx xxxxxxxx a xxxxxxxx xxxxx xxxxxxx, pro xxxxxxx xxxx xxxxxxxx xxxxx xxxxxxx po xxxxxxx x xxx xxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxxxxx jevů,
c) xxxxxxx xxx sledování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxx xxxxxxx xxxxxxxx x xxxxxxxx x těchto xxxxxxxxxx,
x) xxxxxxx xx kontaktní xxxxx, xxxxx xxxx xxxxxx jako xxxxxxx xxx xxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxx x
x) xxxxxxx xxx sledování, xxxxxxxxx x xxxxxx xxxxxxxx xxxxxxxx x technických xxxxxx.
(4) Řízení xxxxxxx xxxxxx x osoby xxxxxxx v §3 xxxx. c) až x) xxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx a prověřování xxxxxxxxxxxxx xxxxxxxxxxx záloh.
(5) Xxxxxx xxxxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) a x) xxxxxx spočívá x
x) xxxxxxxxx xxxxxxxx vývojového, xxxxxxxxxxx x produkčního xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx xxx, xx xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx
1. posoudí xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xx xxxxxxxxxx systém xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, vyhodnotí xxxxx xxxxxxxxx účinky x xxx xxxxxxxxxx xxxxxxx xx oznámí Xxxxx a
2. stanoví xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxxxxxx xxxxx negativní xxxxxx, x xxxx xxxxxx plán xxxx xxxxxxxxx.
(6) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x x) zákona x xxxxx xxxxxx xxxxxxxxxx
x) xxxxxxxxx bezpečnost x integritu xxxxxxxxxxxxx xxxx x bezpečnost xxxxxxxxxxxxx služeb xxxxx §17,
x) určí pravidla x xxxxxxx pro xxxxxxx informací, xxxxx xxxx přenášeny xxxxxxxxxxxxx xxxxxx,
x) xxxxxxx výměnu x xxxxxxxxx xxxxxxxxx xx základě xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx xx xxxxxxxxxx zajištění xxxxxxxxxxx informací x xxxx xxxxxxxx xxxxxxxxxxx x
x) x ohledem xx xxxxxxxxxxx aktiv xxxxxxx xxxxxx a xxxxxxxxx xxxxxxxxx na xxxxxxx xxxxxxxxx smluv, xxxxxxx součástí je xxxxxxxxxx o bezpečnosti xxxxxxxxx.
§11
Xxxxxx xxxxxxxx a xxxxxxxx chování xxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. c) xx x) xxxxxx xx xxxxxxx provozních x xxxxxxxxxxxxxx xxxxxx řídí xxxxxxx k informačnímu xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačnímu xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxx uživateli jednoznačný xxxxxxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx e) xxxxxx xxxxxx xxxxxxxx, která xxxxxx x zajištění xxxxxxx xxxxx, které xxxx používány xxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx informačního xxxxxxx xxxxx §18 x 19, a xxxxx xxxxx ve zneužití xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(3) Xxxxx a xxxxx uvedená x §3 xxxx. x) x x) zákona xxxx v xxxxx xxxxxx xxxxxxxx
x) xxxxxxx xxxxxxxxxxxxx xxxxxxxxx samostatný xxxxxxxxxxxxx,
x) omezí přidělování xxxxxxxxxxxxxxxxxx xxxxxxxxx,
x) přiděluje x xxxxxxx xxxxxxxxxx xxxxxxxxx v souladu x politikou xxxxxx xxxxxxxx,
x) provádí pravidelné xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx včetně rozdělení xxxxxxxxxxxx xxxxxxxxx v xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxx,
x) využívá xxxxxxx xxx xxxxxxxxx identity xxxxxxxxx xxxxx §18 x nástroj pro xxxxxx xxxxxxxxxxxx oprávnění xxxxx §19 x
x) xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx pro xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxx x xxxxxxxxxxxx xxxxxxxx spojená x xxxxxxxx technických xxxxxxxx, xxxxxxx orgán a xxxxx uvedená x §3 písm. c) x x) xxxxxx xxxxxxxxxxx.
§12
Akvizice, xxxxx x xxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx e) xxxxxx xxxxxxx xxxxxxxxxxxx požadavky xx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného informačního xxxxxxx spojené x xxxxxx xxxxxxxx, xxxxxxx x xxxxxxx x xxxxxx xx do xxxxxxxx xxxxxxxx, xxxxxx x xxxxxx systému.
(2) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x x) zákona xxxx
x) xxxxxxxxxxxx, hodnotí a xxxx xxxxxx xxxxxxxxxxx x xxxxxxxx, vývojem x xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx; xxx xxxxxxx xxxxxxxxx a řízení xxxxx xx metodiky xxxxx §4 xxxx. 1 xxxx. x) xxxxxxx xxxxxxx,
x) zajistí xxxxxxxxxx xxxxxxxxxx prostředí x xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx dat x
x) provádí xxxxxxxxxxxx xxxxxxxxx změn xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxx xxxxxxxxx do xxxxxxx.
§13
Xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxxxx
Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx, xxxxx zajistí xxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx ze xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x o xxxxxxxxxx vede záznamy,
b) xxxxxxxx prostředí xxx xxxxxxxxxxx xxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx §21 až 23, xxxxxxx jejich xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, přijímá xxxxxxxx xxx xxxxxxxxx x xxxxxxxx dopadu xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu, xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle §32 x xxxxxxx xxxx věrohodných xxxxxxxx xxxxxxxxxx pro analýzu xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx x xxxx xxxxxxx kybernetického bezpečnostního xxxxxxxxx, vyhodnotí xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a xx xxxxxxx xxxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
§14
Xxxxxx xxxxxxxxxx činností
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) až x) xxxxxx x xxxxx řízení kontinuity xxxxxxxx xxxxxxx
x) xxxxx x xxxxxxxxxx xxxxxxx xxxxx, administrátorů x xxxx zastávajících bezpečnostní xxxx,
x) cíle xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx, xxxxx xx xxxxxxxxxx xxx xxxxxxx, xxxxxx x xxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury nebo xxxxxxxxxx xxxxxxxxxxxx systému,
2. xxxx obnovení xxxxx, xxxxx které bude xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx minimální xxxxxx poskytovaných xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx systému, a
3. xxxx xxxxxxxx dat xxxx termínu, xx xxxxxxx xxxxx obnovena xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx, a
c) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx, xxxxx obsahuje xxxxxxxx xxxx podle xxxxxxx x).
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) a x) xxxxxx dále
a) vyhodnotí x dokumentuje xxxxx xxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxx xxxxx rizika xxxxxxxxxxx x ohrožením xxxxxxxxxx xxxxxxxx,
x) xxxxxxx, xxxxxxxxxxx x pravidelně testuje xxxxx xxxxxxxxxx činností xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxxx bezpečnostnímu xxxxxxxxx x xxxxxxx xxxxxxx pro zajišťování xxxxxx dostupnosti xxxxx §26 x
x) xxxxxxx x aktualizuje xxxxxxx xxx provedení xxxxxxxx xxxxxxxx Úřadem xxxxx §13 x 14 xxxxxx, xx xxxxxxx xxxxxxxx
1. xxxxxxxx xxxxxxxxx xxxxx provedení opatření,
2. xxxx dotčených bezpečnostních xxxxxxxx x
3. vyhodnocení xxxxxxxxxx xxxxxxxxxxx dopadů xx xxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx.
§15
Xxxxxxxx a xxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxxxx x xxxxx uvedená v §3 xxxx. x) xx e) xxxxxx x xxxxx kontroly x xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačních xxxxxxx (xxxx xxx "xxxxx xxxxxxxxxxxx xxxxxxxxxxx")
x) posuzuje xxxxxx xxxxxxxxxxxxxx xxxxxxxx x právními xxxxxxxx, xxxxxxxxx předpisy, jinými xxxxxxxx x xxxxxxxxx xxxxxxx vztahujícími xx x informačnímu xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury a xxxxxxxxxx informačnímu systému x určí xxxxxxxx xxx jeho xxxxxxxxxxx x
x) provádí a xxxxxxxxxxx pravidelné xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx xxxxxxx xxxxxxxx x xxxxx xxxxxxx bezpečnostního xxxxxxxx x xxxxx xxxxxxxx rizik.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxxxxxxx provedení xxxxxx kybernetické xxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxxx xxxxx §6 xxxx. 6, xxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) zákona xxxx xxx xxxxxxxxxx xxxxxx kritické informační xxxxxxxxxxxxxx a komunikační xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx provádí xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx prostředků xxxxxx xxxxxxxxxxxxxxxx xxxxxxxx x jejich xxxxxxx xxxxxxxxxxx a xxxxxxx xx zjištěné xxxxxxxxxxxxx.
XXXXX II
TECHNICKÁ XXXXXXXX
§16
Xxxxxxx xxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx x xxxxx xxxxxxx xxxxxxxxxxx
x) přijme xxxxxxxx xxxxxxxx k xxxxxxxx xxxxxxxxxxxxx xxxxxx do xxxxxxxxxx xxxxxxx, xxx xxxx zpracovávány xxxxxxxxx x umístěna xxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx poškození x xxxxxxx xx xxxxxxxxxx xxxxxxx, xxx xxxx xxxxxxxx xxxxxxxxx x xxxxxxxx technická xxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx informačního xxxxxxx, x
x) předchází poškození, xxxxxxx nebo xxxxxxxx xxxxx xxxx přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx xxxx uplatňuje prostředky xxxxxxx xxxxxxxxxxx
x) pro xxxxxxxxx xxxxxxx na xxxxxx xxxxxxx a
b) xxx xxxxxxxxx xxxxxxx x rámci objektů xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxx prostor, ve xxxxxxx xxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx.
(3) Prostředky xxxxxxx xxxxxxxxxxx xxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxx xxxxxxxxxx,
x) xxxxxxxx elektrické xxxxxxxxxxxxx xxxxxxxxxxx,
x) prostředky xxxxxxxxx xxxxxxxx xxxxxx,
x) prostředky xxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxx kontrolu xxxxxx,
x) xxxxxxxx systémy,
g) xxxxxxxx xxx xxxxxxxxx xxxxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx a
h) xxxxxxxx xxx zajištění xxxxxxxxxxx provozních xxxxxxxx.
§17
Xxxxxxx pro xxxxxxx xxxxxxxxx xxxxxxxxxxxxx sítí
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxx xxxxxxx integrity xxxxxxxx xxxxxx komunikační xxxx, xxxxx xxxx pod xxxxxxx xxxxxx xxxx xxxxx, a xxxxxxx xxxxxxxxxxx sítě, xxxxx xx xxx xxxxxxx xxxxxx nebo osoby, xxxxxx
x) xxxxxx xxxxxxxxxx xxxxxxxx mezi vnější x xxxxxxx xxxx,
x) xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxxxxxx xxx jako xxxxxxxxxxx xxxx xxxx xxxxxxxxxxx ke xxxxxxx xxxxxxxxxxx aplikací dostupných x vnější xxxx x k zamezení xxxxx xxxxxxxxxx vnitřní xxxx x vnější xxxx,
x) xxxxxxxxxxxxxx xxxxxxxxxx (§25) pro xxxxxxxx xxxxxxx, vzdálenou správu xxxx xxx xxxxxxx xxxxxx bezdrátových xxxxxxxxxxx x
x) opatření xxx xxxxxxxxxx nebo xxxxxxxxx xxxxxxxxxxx xxx, xxxxx xxxxxxxxxxxx xxxxxxxxxx xx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx.
(2) Orgán x xxxxx xxxxxxx x §3 písm. x) x x) zákona xxxx xxxxxxx nástroje xxx ochranu xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxx, xxxxx zajistí xxxx xxxxxxxxxx.
§18
Nástroj xxx xxxxxxxxx xxxxxxxx xxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxxxx nástroje xxx xxxxxxx identity xxxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxx xxx ověřování xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxx zahájením xxxxxx xxxxxxx x informačním xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačním xxxxxxx xxxxxxxx informační infrastruktury x xxxxxxxxx xxxxxxxxxxx xxxxxxx.
(3) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxx používá xxxxxxxxxxx xxxxx heslem, xxxxxxxxx
x) xxxxxxxxx xxxxx xxxxx xxx znaků,
b) xxxxxxxxx xxxxxxxxx xxxxx tak, xx xxxxx bude xxxxxxxxx xxxxxxx 3 x xxxxxxxxxxxxx čtyř xxxxxxxxx
1. xxxxxxx xxxxx xxxxx písmeno,
2. xxxxxxx xxxxx malé xxxxxxx,
3. xxxxxxx jednu xxxxxxx, xxxx
4. xxxxxxx xxxxx xxxxxxxxx xxxx xxxxxxx xx požadavků xxxxxxxxx x xxxxxx 1 xx 3,
x) xxxxxxxxx xxxx xxx povinnou xxxxxx xxxxx nepřesahující xxx xxx; xxxxx xxxxxxxxx xxxx xxxxxxxxx xxx samostatné xxxxxxxxxxxxxx xxxxxxxx.
(4) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) x x) zákona xxxx
x) používá xxxxxxx xxx xxxxxxx xxxxxxxx, xxxxx
1. zamezí xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxx a neumožní xxxx xxxx xxxxx xxxxxxx uživatele xxxxx xxxxxxxxxxx období, které xxxx xxx nejméně 24 hodin, x
2. xxxxxxx xxxxxxxx xxxxxxx xxxxxxxx xx xxxxxx xxxx nečinnosti x
x) xxxxxxx xxxxxxx xxx xxxxxxxxx identity xxxxxxxxxxxxxx. X xxxxxxx, xx xxxxx xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxx xxxxx xxx xxxxxxxx požadavků xxxxx odstavce 3 xxxx. x) x x).
(5) Nástroj xxx xxxxxxxxx identity xxxxxxxxx xxxx xxx xxxxxxxx x jinými způsoby, xxx xxxx xxxx xxxxxxxxx x xxxxxxxxxx 3 xx 5, xxxxx xxxxx x xxxxx uvedená x §3 xxxx. c) xx e) xxxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxxxx xxxxxx xxxxxxxxx xxxxx.
§19
Nástroj pro řízení xxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx xxxxxxx xxxxxxx xxx řízení přístupových xxxxxxxxx, xxxxxx xxxxxxx xxxxxx xxxxxxxxx
x) pro xxxxxxx x xxxxxxxxxxx xxxxxxxxx x xxxxx x
x) xxx xxxxx xxx, xxx xxxxx xxx x pro xxxxx xxxxxxxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx xxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxxxxx použití přístupových xxxxxxxxx x souladu x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx.
§20
Nástroj xxx xxxxxxx xxxx škodlivým xxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až e) xxxxxx xxx xxxxxx xxxxx xxxxxxxxx s xxxxxxxxx škodlivého xxxx xxxxxxx xxxxxxx pro xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx informačního xxxxxxx xxxx xxxxxxxxx kódem, xxxxx xxxxxxx xxxxxxx x stálou xxxxxxxx
x) xxxxxxxxxx xxxx xxxxxxx xxxx x xxxxxx xxxx,
x) xxxxxxx a xxxxxxxxx xxxxxxxx xxxxxxx x
x) pracovních xxxxxx,
xxxxxxx xxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxxxxxx nástroje xxx ochranu xxxx xxxxxxxxx xxxxx, jeho xxxxxxx x xxxxxxxx.
§21
Nástroj pro xxxxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x významných xxxxxxxxxxxx xxxxxxx, xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačního systému, xxxxx zajistí
a) xxxx xxxxxxxxx x xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxx xxxxxxxx, xxxxx x xxx, xxxxxxxxxxxx technického xxxxxx, xxxxx činnost xxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx a xxxxx xxxxxxxx a xxxxxxxxx xxxx neúspěšnost xxxxxxxx x
x) xxxxxxx xxxxxxxxx informací xxxx xxxxxxxxxxxx xxxxxx nebo xxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) zákona xxxx pomocí xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxxxxxx x xxxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx vedoucí xx xxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxx přístupových xxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) automatická xxxxxxx nebo chybová xxxxxxx xxxxxxxxxxx xxxxx,
x) xxxxxxxx x záznamům x xxxxxxxxxx, xxxxxx x manipulaci se xxxxxxx x činnostech x xxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx x
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxx včetně xxxxx xxxxx, xxxxx slouží x přihlášení.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxxxxx činností xxxxxxxxxxx podle xxxxxxxx 2 xxxxxxxx xxxxxxx xx dobu 3 xxxxxx.
(4) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxxxx xxxxxxx jednou xx 24 hodin xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx technických xxxxx xxxxxxxxx xx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx informačního xxxxxxx.
§22
Xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) xx x) zákona používá xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxxxx xxxxxxx xx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx a který xxxxxxx xxxxxxx, xxxxxxxx x xxxxxxxx zablokování xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxx x xxxxxx xxxx.
(2) Xxxxx x xxxxx uvedená x §3 písm. x) x x) xxxxxx xxxx xxxxxxx xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx xxxxxxx, xxxxxxxx a případně xxxxxxxxxxx xxxxxxxxxx
x) v xxxxx xxxxxxx komunikační xxxx x
x) xxxxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx.
§23
Xxxxxxx xxx sběr x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx
(1) Orgán x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxx xxxxxxx xxx xxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, který x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxxx hodnocení xxxxx xxxxxxx
x) integrovaný xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx z xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx pro xxxxxx xxxxxxxxxxxx role x xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx xxxx x xxxxxxxxxx xxxxxxxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxx xxxxxxxx určených xxxxxxxxxxxxxx xxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) a x) xxxxxx dále xxxxxxx
x) xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx vyhodnocování xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x včasné xxxxxxxx, xxx xxxx omezovány xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx nebo xxxxxxx xxxxxxxxx xxxxxxxx, a
b) xxxxxxxxx informací, které xxxx připraveny nástrojem xxx xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx.
§24
Xxxxxxxxx xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxxxxx bezpečnostní xxxxx xxxxxxxxxxxxx aplikací, xxxxx xxxx xxxxxxxxx x vnější xxxx, x to před xxxxxx xxxxxxxx xx xxxxxxx a po xxxxx zásadní xxxxx xxxxxxxxxxxxxx xxxxxxxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 písm. x) a d) xxxxxx xxxx x xxxxx xxxxxxxxx bezpečnosti xxxxxxx trvalou ochranu
a) xxxxxxxx x xxxxxxxxx xxxxxxxxxx z xxxxxx xxxx xxxx neoprávněnou xxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxxxxxxx xxxx xxxxxxxxxxxxxxx změnou x
x) xxxxxxxxx xxxx jejich xxxxxxxxxxxx, xxxxxxxxxx směrováním, xxxxxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxx.
§25
Xxxxxxxxxxxxxx prostředky
(1) Orgán x xxxxx uvedená x §3 xxxx. x) až x) xxxxxx
x) pro xxxxxxxxx xxxxxxxxxxxxxx ochrany xxxxxxx
1. xxxxxx xxxxxxx x xxxxxxx xx typ x xxxx kryptografického xxxxxxxxx x
2. xxxxxxxx xxxxxxxxxxxxxx ochrany xxxxxxxxx xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx nebo xxx xxxxxxx na xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxx a
b) x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx ochranu xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxx xxx x xxxxxxxxx xxxxxxxxxxxx xxxxx xx provedené xxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) stanoví xxx xxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxx xxxxx, xxxxx zajistí xxxxxxxxxx, xxxxxxxxxx, ukládání, archivaci, xxxxx, xxxxxx, xxxxxxxx x xxxxx xxxxx, x
x) xxxxxxx odolné xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx klíče; v xxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxx x příloze č. 3 x xxxx xxxxxxxx xxxx xxxxxx xxxxxxx x xxxxx xxxxxxxxxx.
§26
Nástroj pro xxxxxxxxxxx xxxxxx xxxxxxxxxxx
(1) Xxxxx x osoba uvedená x §3 písm. x) xx x) xxxxxx x xxxxxxx x bezpečnostními xxxxxxxxx x výsledky xxxxxxxxx xxxxx používá xxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 písm. x) x x) xxxxxx xxxxxxx xxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, který xxxxxxx
x) xxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxx xxxxxxx xxxx řízení xxxxxxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentům, které xx xxxxx snížit xxxxxxxxxx, x
x) xxxxxxxxxx xxxxxxxxxx technických aktiv xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx
1. využitím xxxxxxxxxx x xxxxxx xxxxxx x
2. xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxx čase.
§27
Bezpečnost xxxxxxxxxxxx x xxxxxxxx xxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxx xxxxxxxxxx průmyslových x řídicích xxxxxxx, xxxxx xxxx xxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo komunikačním xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxxx jsou xxxxxx xxxxxxxx, xxxxxxx xxxxxxxx, které xxxxxxx
x) xxxxxxx fyzického přístupu x xxxx x xxxxxxxxx xxxxxxxxxxxx a xxxxxxxx systémů,
b) xxxxxxx xxxxxxxxx x vzdáleného xxxxxxxx x síti xxxxxxxxxxxx a řídicích xxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx xxxx využitím xxxxxxx xxxxxxxxxxxxx a
d) xxxxxxxx xxxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxx po xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu.
XXXXX III
BEZPEČNOSTNÍ XXXXXXXXXXX
§28
Xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x d) zákona xxxx x aktualizuje xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx
x) bezpečnostní xxxxxxxx xxxxx §5 xxxx. 1,
x) zprávy z xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §3 xxxx. 1 písm. f),
c) xxxxxx z xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxx §3 xxxx. 1 xxxx. x),
x) metodiku xxx xxxxxxxxxxxx x hodnocení xxxxx a pro xxxxxxxxxxxx x hodnocení xxxxx,
x) xxxxxx x xxxxxxxxx aktiv x xxxxx,
x) xxxxxxxxxx o xxxxxxxxxxxxxxxx,
x) xxxx xxxxxxxx xxxxx,
x) xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx podle §9 xxxx. 1 xxxx. x),
x) zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xxxxx §13 xxxx. x),
x) xxxxxxxxx xxxxxx xxxxxxxxxx činností podle §14 xxxx. 1 xxxx. c) x
x) xxxxxxx xxxxxxxx předpisů, xxxxxxxxx předpisů x xxxxxx předpisů a xxxxxxxxx závazků xxxxx §15 odst. 1 xxxx. a).
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxx x aktualizuje xxxxxxxxxxxx xxxxxxxxxxx, xxxxx obsahuje
a) xxxxxxxxxxxx politiku xxxxx §5 odst. 2,
x) xxxxxxxx xxx xxxxxxxxxxxx x hodnocení xxxxx x xxx identifikaci x xxxxxxxxx xxxxx xxxxx §4 odst. 2 xxxx. a),
c) xxxxxx x xxxxxxxxx xxxxx a xxxxx xxxxx §4 xxxx. 2 xxxx. b) x c),
d) xxxxxxxxxx x xxxxxxxxxxxxxxxx podle §4 odst. 2 xxxx. x),
x) xxxx xxxxxxxx xxxxx podle §4 xxxx. 2 xxxx. x),
x) plán xxxxxxx bezpečnostního xxxxxxxx xxxxx §9 xxxx. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. x),
x) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxx §14 odst. 1 xxxx. x) x
x) přehled xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx předpisů x xxxxxxxxx xxxxxxx xxxxx §15 xxxx. 1 písm. x).
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx tak, xxx záznamy x xxxxxxxxxxx činnostech byly xxxxx, xxxxxxx, snadno xxxxxxxxxxxxxxxxx a xxx xx xxxx snadno xxxxxxxx. Opatření potřebná x xxxxxxxxxxxx, xxxxxxx, xxxxxxx, xxxxxxxxx, době xxxxxxxxx x xxxxxxxxxx xxxxxxx o provedených xxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx stanovena v příloze č. 4 k této xxxxxxxx.
§29
Xxxxxxxxx xxxxxxxxxxx
Xxxxx x xxxxx xxxxxxx v §3 písm. x) xx x) xxxxxx, xxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxx xxxxxxxxxx xxxxxx xx xxxxx xxxxxxx xx rozsahu systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx xxxxx1) xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx, x xxxxx xxxx xxxxxxxxx xxxxxxxxxx
x) xxxxx xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx x xxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxx metody xxxxxxxxx xxxxx x xxxxxx x xxxxxxxxx rizik,
d) xxxxxxxxxx o aplikovatelnosti,
e) xxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxx1),
x) záznam x xxxxxxxxxxx systému xxxxxx bezpečnosti informací xxxxxx souvisejících xxxxxx x výstupů přezkoumání x
x) xxxxxx z xxxxxx provedených certifikačním xxxxxxx včetně xxxxxxxxxxx xxxxxxx x nápravě xxxxxxxxxx xxxxxx x xxxxxxxxxx xxxxxx,
xxxxxxx xxxxxxxxx xx zavedení xxxxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx x xxxx xxxxxxxx.
XXXX TŘETÍ
KYBERNETICKÝ XXXXXXXXXXXX XXXXXXXX
§30
Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx xxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx xxxx
x) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxx útokem xxxx xxxxx událostí xxxxxxx x průniku xx xxxxxxx xxxx x xxxxxxx xxxxxxxxxxx služeb,
b) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxx xxxxxxxxxx technických xxxxxxxx,
x) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx opatření,
e) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxx hrozeb x
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx kybernetickým xxxxxx.
(2) Podle xxxxxx xxxx kybernetické xxxxxxxxxxxx xxxxxxxxx rozděleny do xxxxxxxxxxxxx typů
a) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobující xxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx aktiv, xxxx
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx xxxxxxxxx dopadů xxxxxxxxx v písmenech x) xx x).
§31
Kategorie kybernetických xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx se xxxxx xxxxxxxx a xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx dělí do xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, při xxxxxx xx xxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho řešení xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx s xxx, xx xxxx xxx xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx dalšímu xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxx.
x) Xxxxxxxxx XX - xxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, při kterém xx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx s xxx, xx musí být xxxxxxxx prostředky xxxxxxxxx xxxxxxx šíření xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
x) Xxxxxxxxx X - xxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, při xxxxxx xxxxxxx k xxxx xxxxxxxxxx narušení xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx řešení xxxxxxxx zásahy xxxxxxx x xxx, xx xxxx xxx vhodnými xxxxxxxxxx omezeno xxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx včetně minimalizace xxxxxxxxx škod.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxx kategorizaci xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx
x) důležitost xxxxxxxxx aktiv informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxx xx xxxxxx poskytované xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x
x) xxxxxxxxxxxxx xxxxx a xxxxx xxxxxx.
§32
Xxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Orgán a xxxxx xxxxxxx x §3 písm. x) xx x) zákona xxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx
x) x elektronické xxxxxx prostřednictvím
1. xxxxxxxxxxxxxx xxxxxxxxx zveřejněného xx xxxxxxxxxxxxx xxxxxxxxx Úřadu,
2. xxxxxx xx xxxxxx xxxxxxxxxxxx xxxxx Xxxxx xxxxxx xxx xxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Úřadu,
3. xxxxxx xxxxxx xx xxxxxx xxxxxxxx Xxxxx, xxxx
4. xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xxxxx je xxxxxxxxx xx internetových xxxxxxxxx Xxxxx, anebo
b) x xxxxxxxx xxxxxx xx xxxxxx Xxxxxxxxx centra xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxx x xxxxxxxx xxxxxx xx xxxxxx xxxxx x xxxxxxxxx, kdy xxxxx xxxxxx xxxxx xx xxxxxxx uvedených v xxxxxxxx 1 xxxx. x).
(3) Xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx x příloze č. 5 x xxxx xxxxxxxx.
XXXX XXXXXX
XXXXXXXXX OPATŘENÍ X XXXXXXXXX XXXXX
§33
Xxxxxxxxx xxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx x jeho výsledek xx formuláři, xxxxx xxxx xx xxxxxx x příloze č. 6 k xxxx xxxxxxxx.
§34
Xxxxxxxxx údaje
Orgán a xxxxx xxxxxxx x §3 zákona oznamuje xxxxxxxxx xxxxx xx xxxxxxxxx, xxxxx xxxx xx uveden v příloze č. 7 x xxxx xxxxxxxx. Orgán a xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxxxxx xxxxxxxxx údaje xxxxxx uvedenou v §32 xxxx. 1 xxxx. a).
ČÁST XXXX
XXXXXXXX
§35
Xxxx xxxxxxxx xxxxxx účinnosti dnem 1. xxxxx 2015.
Xxxxxxx:
Xxx. Xxxxxxxx v. r.
Xxxxxxx x. 1 x xxxxxxxx č. 316/2014 Sb.
Hodnocení x xxxxxx xxxxxxxxxxx aktiv
Pro xxxxxxxxx xxxxxxxxxxx xxxxx xxxx xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxx. Xxxxx nebo xxxxx xxxxxxx v §3 xxxx. x) až x) xxxxxx může xxxxxxxx xxxxxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxx xxxx xx xxxxxx x této xxxxxxx, xxxxxx-xx jednoznačné xxxxx xxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx a stupnicemi x xxxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx jsou uvedeny x této xxxxxxx.
X xxxxxxx xxxxxxx xxx xxxxxx hodnocení xxxxxxxxxxx xxxxx xx xxxxxxxxx xxxxxxx xxx úrovně xxxxx x střední, xxxx xxxxxx vysoká x kritická.
Stupnice xxx xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxx jsou xxxxxxx přístupná nebo xxxx xxxxxx xx xxxxxxxxxx (např. na xxxxxxx zákona č. 106/1999 Sb., x xxxxxxxxx přístupu x informacím, xx xxxxx xxxxxxxxxx xxxxxxxx). Xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxx oprávněné zájmy xxxxxx a osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxxxx xxxxxxx přístupná x xxxxx xxxx-xxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) xx e) xxxxxx, ochrana xxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxx nebo xxxxxxxx xxxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxx jsou xxxxxxxxx xxxxxxxxxx pro xxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx a xxxxxx xxxxxxx xx vyžadována xxxxxxxx předpisy, xxxxxx xxxxxxxx xxxx smluvními xxxxxxxxxx (např. obchodní xxxxxxxxx xxxxx zákona č. 89/2012 Sb., xxxxxxxx xxxxxxx, xxxxxx xxxxx xxxxx xxxxxx č. 101/2000 Sb., o xxxxxxx xxxxxxxx xxxxx, xx xxxxx xxxxxxxxxx xxxxxxxx). |
Xxx ochranu xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx xxxxxxxxx vnější xxxxxxxxxxx xxxx jsou xxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx nejsou veřejně xxxxxxxxx a xxxxxxxx xxxxxxxxxxxxx míru ochrany xxx xxxxx xxxxxxxxx xxxxxxxxx (xxxx. strategické xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxx údaje). |
Pro xxxxxxx xxxxxxxxxx xx xxxxxxxxxx xxxxxxxx xxxx, xxxxx x aktivům xxxxxxxxxxx, x xxxxxx ochrany xxxxxxxxxxx xxxxxxxx aktiv xx strany xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx xxxx xxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxxxxxxx pro xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxxxx xxxxxxxxxx xxxxxxxxx zájmy xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx. |
Xxxx vyžadována xxxxx ochrana. |
|
Střední |
Aktivum xxxx xxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx xxxx k poškození xxxxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx x xxxx xx xxxxxxxx xxxx xxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx integrity xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx (xxxx. xxxxxxx xxxxxxxxxxxx xxxx pro xxxxx). |
|
Xxxxxx |
Xxxxxxx vyžaduje xxxxxxx x hlediska xxxxxxxxx. Xxxxxxxx xxxxxxxxx aktiva xxxx k xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx s xxxxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx speciální xxxxxxxxxx, které xxxxxxxx xxxxxxxx xxxxxxxx provedených xxxx x xxxxxxxxxx xxxxxxxx xxxxx provádějící xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx vnějšími komunikačními sítěmi xx xxxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx k velmi xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx x xxxxxxx a xxxxx vážnými xxxxxx xx xxxxxxxx aktiva. |
Pro ochranu xxxxxxxxx xxxx využívány xxxxxxxxx xxxxxxxxxx jednoznačné xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (xxxx. pomocí xxxxxxxxxxx digitálního xxxxxxx). |
Xxxxxxxx xxx hodnocení dostupnosti
|
Úroveň |
Popis |
Ochrana |
|
Nízká |
Narušení xxxxxxxxxxx xxxxxx není xxxxxxxx a x xxxxxxx xxxxxxx xx xxxxx xxxxxxxxxx delší xxxxxx xxxxxx xxx xxxxxxx (xxx do 1 xxxxx). |
Xxx xxxxxxx xxxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx zálohování. |
|
Střední |
Narušení dostupnosti xxxxxx xx xxxxxx xxxxxxxxx xxxx xxxxxxxxxx xxx, dlouhodobější xxxxxxx xxxx x xxxxxxx xxxxxxxx zájmů xxxxxx x osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx. |
Xxx ochranu dostupnosti xxxx využívány běžné xxxxxx xxxxxxxxxx a xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva by xxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxx. Xxxxxxxx xxxxxxx je nutné xxxxx neprodleně, protože xxxx x xxxxxxx xxxxxxxx xxxxx xxxxxx x xxxxx uvedené x §3 xxxx. x) až x) xxxxxx. Xxxxxx xxxx xxxxxxxxxx xxxx xxxxx důležitá. |
Pro xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx záložní xxxxxxx x obnova poskytování xxxxxx xxxx xxx xxxxxxxxx xxxxxx xxxxxxx xxxx výměnou xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxxx x x krátkodobá xxxxxxxxxxxx (x řádu xxxxxxxx xxxxx) xxxx x xxxxxxx ohrožení zájmů orgánu x xxxxx uvedené x §3 xxxx. x) až x) xxxxxx. Aktiva xxxx xxxxxxxxxx xxxx xxxxxxxx. |
Xxx xxxxxxx dostupnosti jsou xxxxxxxxx záložní systémy x xxxxxx xxxxxxxxxxx xxxxxx xx krátkodobá x xxxxxxxxxxxxxx. |
Xxxxxxx x. 2 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx xxxxx
Xxxxxxxxx xxxxx xx xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxx dopad, xxxxxx x zranitelnost.
Pro hodnocení xxxxx xxx použít xxxxxxx xxxx xxxxxx
xxxxxx = dopad x xxxxxx x xxxxxxxxxxxx.
Xxxxxxxxxxx xxxxxx xxxxxx xxx xxxxxx xxxxxx je xxxxxxxxx xxxxxxxx metodiky xxx xxxxxxxxxxxx x xxxxxxxxx rizika
|
Stupnice xxx xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxx je x xxxxxxxx xxxxxxx xxxxxx x malého xxxxxxx x nesmí xxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxx x) 10 xxxxxxxxx osob s xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx nebo xxxxxxxxxx xxxxxx do 5 000 000 Xx xxxxx x) představuje xxxxx xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx služeb xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxxx 250 xxxx. |
|
Xxxxxxx |
Xxxxx je xxxxxxxxx xxxxxxx x x xxxxxxxx časovém období. Rozsah xxxxxxxxxx škod xx xxxxxxxx v rozmezí a) xx 10 xxxxxxx xxxx xx 11 xx 100 xxxx x xxxxxxxxx xxxxxxxxxxxxx xx xxxx delší xxx 24 xxxxx xxxx x) xxxxxxxx nebo xxxxxxxxxx xxxxxx xx 5&xxxx;000&xxxx;000 Xx xx 50&xxxx;000&xxxx;000 Xx anebo c) xxxxxxxxxxx dopad xx xxxxxxxxx s xxxxxxxxx xxxxxxxx nezbytných xxxxxx xxxx jiného xxxxxxxxx xxxxxx xx každodenního xxxxxx xxxxxxxxxxxxx xx 251 do 2 500 xxxx. |
|
Xxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx, xxx xxxxxx xxxx xxxxxxxxxxxxx. Xxxxxx případných xxxx xx xxxxxxxx x xxxxxxx x) xx 11 xx 100 xxxxxxx nebo od 101 xx 1 000 xxxx x xxxxxxxxx hospitalizací xx xxxx delší xxx 24 hodin xxxx x) xxxxxxxx nebo xxxxxxxxxx xxxxxx xx 50&xxxx;000&xxxx;000 Xx do 500 000 000 Xx xxxxx x) představuje xxxxx xx veřejnost x xxxxxxxxx omezením xxxxxxxxxx xxxxxx xxxx xxxxxx závažného zásahu xx každodenního života xxxxxxxxxxxxx xx 2&xxxx;501 xx 25 000 xxxx. |
|
Xxxxxxxx |
Xxxxx xx xxxxxx rozsahem, xxxxxx x xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xx xxxxxxxx x xxxxxxx x) 10 x více xxxxxxx a 1 001 a xxxx xxxx x následnou xxxxxxxxxxxxx po xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxxxxxx 500&xxxx;000&xxxx;000 Kč xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx nebo xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx života xxxxxxxxxxxxx xxxx xxx 25 000 xxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx neexistuje xxxx xx málo pravděpodobná. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxx xxxxxxxx xxx xxxxxx xx 5 xxx. |
|
Xxxxxxx |
Xxxxxx xx xxxx xxxxxxxxxxxxx až xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx hrozby xx x xxxxxxx xx 1 roku xx 5 xxx. |
|
Xxxxxx |
Xxxxxx xx pravděpodobná xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx x xxxxxxx xx 1 xxxxxx do 1 roku. |
|
Kritická |
Hrozba xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx jistá. Předpokládaná xxxxxxxxx hrozby xx xxxxxxxx xxx xxxxxx xx měsíc. |
|
Stupnice xxx xxxxxxxxx xxxxxxxxxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx xxxx xx zneužití xxxxxxxxxxxxx xxxx xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxx bezpečnostní xxxxxxxx, xxxxx xxxx xxxxxxx včas xxxxxxxxx xxxxx xxxxxxx nebo xxxxxxxx pokusy o xxxxxxxxx opatření. |
|
Střední |
Zranitelnost je xxxx xxxxxxxxxxxxx až xxxxxxxxxxxxx. Existují xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx. Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxx detekovat xxxxx xxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx xx xxxxxxx. Xxxxxx známé xxxxx xxxxxxx pokusy x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx je pravděpodobná xx velmi xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxx xxxxxx účinnost xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx x xxxx xxxxxxxxxx kontrolována. Xxxx xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx opatření. |
|
Kritická |
Zranitelnost je xxxxx xxxxxxxxxxxxx xx xx xxxxxxxx xxxxx xxxxxxxx. Bezpečnostní xxxxxxxx xxxxxx xxxxxxxxxxx xxxxx xx jejich xxxxxxxx xxxxxx xxxxxxx. Xxxxxxxxx xxxxxxxx účinnosti xxxxxxxxxxxxxx xxxxxxxx. Xxxx xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření. |
|
Stupnice xxx xxxxxxxxx xxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx xx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx být xxxxxxx xxxx náročnými opatřeními xxxx x xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xx xxxxxx přijatelné. |
|
Vysoké |
Riziko xx xxxxxxxxxx nepřípustné x xxxx být xxxxxxxx systematické kroky x xxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxxxxxxxx x xxxx být xxxxxxxxxx xxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
X xxxxxxx, xx xxxxx xxxx xxxxx xxxxxxx v §3 písm. c) xx e) xxxxxx xxxxxxx xxxxxx pro xxxxxxxxxxxx x hodnocení xxxxx, xxxxx nerozlišuje xxxxxxxxx xxxxxx x xxxxxxxxxxxxx, xx možné xxxxxxxx xxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxx xx xxxxxx xxxx xx ztrátě xxxxxxxxxx xxxxxxxxx míry xxxxxx x xxxxxxxxxxxxx. Xx xxxxx xxxxxx xxx xxxxxx xxxxxxxxx komentář, xxxxx xxxxxxxx xxxxxxx xxx xxxxxx xxxxxx, xxx i úroveň xxxxxxxxxxxxx. Obdobně xxxxxxxxx x xxxxx xxxx xxxxx xxxxxxx x §3 xxxx. c) xx e) xxxxxx, xxxxx xxxxxxx xxxx xxxxx úrovní pro xxxxxxxxx xxxxxx, xxxxxx, xxxxxxxxxxxxx x rizik.
Příloha č. 3 x vyhlášce x. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx algoritmy
a) Blokové x proudové xxxxx xxx ochranu xxxxxxxxxx x xxxxxxxxx
1. Xxxxxxxx Xxxxxxxxxx Xxxxxxxx (AES) x xxxxxxxx xxxxx xxxxx 128, 192 x 256 xxxx Xxxxxx Xxxx Encryption Xxxxxxxx (3XXX) x xxxxxxxx xxxxx klíčů 168 bitů, omezené xxxxxxx xxx se xxxxxxxxx klíče xxxxxx xxx 10 XX, xxxxxxxx xxxxxxxxx na XXX.
2. Triple Xxxx Xxxxxxxxxx Xxxxxxxx (3DES) x xxxxxxxx xxxxx xxxxx 112 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx než 10 XX, xxxxxxxx přecházet xx AES. Xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx xxx xxxxxx xxxxxx.
3. Xxxxxxxx x využitím xxxxxxxxx xxxxx xxxxx 128 xxxx, omezené xxxxxxx xxx xx xxxxxxxxx xxxxx menším xxx 10 GB.
4. Xxxxxx x xxxxxxxx xxxxx klíčů 128 xxxx, xxxxxxx použití xxx se xxxxxxxxx xxxxx menším xxx 10 GB.
5. Xxxxxxx x xxxxxxxx xxxxx xxxxx 128 xx 256 bitů.
6. Serpent x xxxxxxxx xxxxx xxxxx 128, 192, 256 xxxx.
7. Camellia x využitím xxxxx xxxxx 128, 192 x 256 xxxx.
8. XXXX 2.0, SNOW 3X x xxxxxxxx xxxxx klíčů 128, 256 bitů.
b) Xxxx xxxxxxxxx s xxxxxxxx xxxxxxxxx
1. XXX,
2. XXX,
3. XXX,
4. Xxxxxxx xxxxxxxx xxxx "Encrypt-then-MAC".
Poznámka:
Schémata xxxx "Xxxxxxx-xxxx-XXX",xxxx xxxxxxxx x xxxxxxxxx xxxxx uvedené xxxxxxxxx xxxx a x xxxxxxx XXX xxxxx uvedené xxxx xxx xxxxxxx xxxxxxxxx.
x) Xxxx šifrování
1. CTR,
2. XXX,
3. CBC,
4. XXX,
Xxxxxxxx:
Xxxx XXX a XXX xxxx xxx xxxxxxx x náhodným, xxx xxxxxxxx nepředpověditelným inicializačním xxxxxxxx, xxx xxxxxxx xxxx XXX xx xxx xxxx xxxx xxxxx xxxxxxxx hodnota xxxxxxxxxxxxxxx xxxxxxx, xxx xxxxxxx xxxx XXX xx xxx xxxx xxxx xxxxx opakovat xxxxxxx čítače, x xxxxxxx použití XXX xxxx x xxxxxxxxx xxx xxxxxxx integrity xx xxxxx xxxxxx xxxxxxxx xxxxx xxxxx xx padding CBC xxxx.
x) Xxxx xxx xxxxxxx xxxxxxxxx
1. XXXX,
2. XXX-XXX-X9.19, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxxx xxx 109 XXX,
3. XXX-XXX-XXXX,
4. XXXX.
(2) Xxxxxxxxxxx xxxxxxxxx
x) Pro xxxxxxxxxxx xxxxxxxxxxx podpisu
1. Xxxxxxx Signature Xxxxxxxxx (XXX) x xxxxxxxx xxxxx xxxxx 2048 xxxx x xxxx, xxxxx parametru xxxxxxxx xxxxxxxx 224 xxxx x xxxx.
2. Xxxxxxxx Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxxxxx (XX-XXX) x xxxxxxxx délky klíčů 224 xxxx a xxxx.
3. Rivest-Shamir-Adleman Probablistic Xxxxxxxxx Scheme (RSA-PSS) x využitím xxxxx xxxxx 2048 xxxx x xxxx.
x) Xxx xxxxxxx xxxxx xx xxxxx x šifrování xxxxx
1. Xxxxxx-Xxxxxxx (XX) x využitím délky xxxxx 2048 xxxx x xxxx, xxxxx xxxxxxxxx cylické podgrupy 224 xxxx a xxxx.
2. Xxxxxxxx Xxxxx Xxxxxx-Xxxxxxx (XXXX) x xxxxxxxx xxxxx xxxxx 224 xxxx a xxxx.
3. Xxxxxxxx Xxxxx Xxxxxxxxxx Encryption Xxxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXXXX-XXX) x xxxxxxxx xxxxx xxxxx 256 bitů a xxxx.
4. Provably Xxxxxx Xxxxxxxx Xxxxx - Xxx Encapculation Xxxxxxxxx (XXXX-XXX) s xxxxxxxx xxxxx klíčů 256 xxxx xxxx.
5. Asymetrie Xxxxxxx xxx Key Xxxxxxxxxxxxx Mechanism (XXX-XXX) x xxxxxxxx xxxxx xxxxx 256 xxxx x více.
6. Xxxxxx Xxxxxx Xxxxxxx - Xxxxxxx Xxxxxxxxx Xxxxxxxxxx Xxxxxxx (XXX-XXXX) x xxxxxxxx délky xxxxx 2048 x xxxx.
7. Xxxxxx Xxxxxx Xxxxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) x xxxxxxxx délky xxxxx 2048 x xxxx.
(3) Xxxxxxxxx xxxx funkcí
a) XXX-2
1. XXX-224,
2. XXX-256,
3. XXX-384,
4. XXX-512,
5. SHA-512/224,
6. XXX-512/256.
x) SHA-3
1. SHA3-224,
2. XXX3-256,
3. SHA3-384,
4. SHA3-512,
5. XXXXX-128,
6. SHAKE-256.
c) Xxxxxxx xxxxxxxx xxxxxx
1. Xxxxxxxx,
2. XXXXXX-160,
3. XXX 1 x omezeným použitím.
Poznámka x. 1:
XXX-1 xx xxxxx xxxxxxxx pro xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx, časových razítek, xxxxxxxxx jiné xxxxxxxx xxxxxxxxxx nekolizní XXX-1.
Xxxxxxxx x. 2:
XXX-1 xxx xxxxxxxx xxxxx pro xxxxxxxxx již xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx x xxxxxxxx razítek, xxxxxxxxxx x xxxxxxxxx XXXX-XXX1, xxxxxx xxx xxxxxxxxxx xxxxx x xxxxxxxxxxxxx xxxxxxxxxx.
Xxxxxxx x. 4 x vyhlášce x. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
Xxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxx bezpečnostní xxxxxxxxxxx. Xxxxxxxxxx struktury xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx, která xxxxxxxxxx xxxxxxxxx xxxxx této xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx a xx xx xxxxxx xxxx xxxxx xxxxxxx x §3 xxxx. x) až e) xxxxxx, jaký xxxxxxx x tvorbě xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx. Xxxxxxxxx xx x xxxxx xxxxx xxxxxxxxxxxx dokumentů xxxx integrování xxxx xxxxx xx jednoho xxxxxxxxx.
X. Struktura xxxxxxxxxxxx xxxxxxxx
(1) Xxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxx, principy x xxxxxxx řízení bezpečnosti xxxxxxxxx.
x) Xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxx xxxxxxxxxxx.
x) Pravidla x xxxxxxx pro xxxxxx xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x postupy pro xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxx a xxxxxxx pro xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxx a xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Určení bezpečnostních xxxx x jejich xxxx x povinností,
1. xxxxx x xxxxxxxxxx xxxxxxxx kybernetické xxxxxxxxxxx,
2. xxxxx a xxxxxxxxxx xxxxxxxxxx kybernetické xxxxxxxxxxx,
3. xxxxx a xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
4. xxxxx a xxxxxxxxxx xxxxxxx xxxxx,
5. xxxxx x xxxxxxxxxx výboru xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxx na xxxxxxxx výkonu činností xxxxxxxxxxxx xxxxxxxxxxxxxx xxxx.
(3) Xxxxxxxx řízení xxxxxxxxxx**
[§5 xxxx. 1 písm. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx a principy xxx xxxxx dodavatelů.
b) Xxxxxxxx xxx xxxxxxxxx xxxxx dodavatelů.
c) Xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxx x způsobů x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření x x xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx kontroly xxxxxxxx bezpečnostních opatření.
e) Xxxxxxxx pro xxxxxxxxx xxxxxxxxxx.
(4) Xxxxxxxx xxxxxxxxxxx xxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Identifikace, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx určení xxxxxx xxxxxxx,
2. hodnocení xxxxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx.
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx aktiv xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx aktivy.
c) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx pro manipulaci x xxxxxxxx aktiv xxxxx xxxxxx xxxxx,
3. xxxxxxxxx způsoby používání xxxxx.
x) Xxxxxxx xxxxxxxxxxxx xxxxxxx nebo xxxxxx xxxxxxxxxxx xxxxxx xxx.
(5) Xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx**
[§5 xxxx. 1 xxxx. e), §5 xxxx. 2 xxxx. x)]
x) Pravidla rozvoje xxxxxxxxxxxxxx povědomí x xxxxxxx jeho hodnocení
1. xxxxxxx a xxxxx xxxxxxx xxxxxxxxx,
2. způsoby x xxxxx poučení xxxxxxx xxxxx,
3. xxxxxxx x formy xxxxxxx xxxxxxxxxxxxxx,
4. způsoby x xxxxx poučení xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxx případů xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Pravidla pro xxxxxxxx pracovního vztahu xxxx xxxxx xxxxxxxx xxxxxx.
1. xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx xxxx xxx xxxxxxxx xxxxxxxxxx vztahu,
2. xxxxx xxxxxxxxxxxx oprávnění při xxxxx pracovní pozice.
(6) Xxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxx**
[§5 xxxx. 1 písm. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxxx x odpovědnosti spojené x xxxxxxxxx provozem.
b) Xxxxxxx xxxxxxxxxx provozu.
c) Xxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxx xxxxxxxxxxx zranitelností.
e) Pravidla x xxxxxxx xxx xxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx a xxxxxxxxxxxxxx xxxxx.
(7) Xxxxxxxx xxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Princip minimálních xxxxxxxxx/xxxxxxx xxxx (xxxx xx xxxx).
x) Xxxxxxxxx xx řízení přístupu.
c) Xxxxxxx xxxxxx xxxxxx xxxxxxxx.
x) Řízení xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx přístupu xxx mimořádné xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx.
(8) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. h)]
a) Xxxxxxxx xxx xxxxxxxx xxxxxxxxx x xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx x xxxxxxxx xx internet.
d) Xxxxxxxx vzdálený xxxxxxx.
x) Xxxxxxxx chování xx xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx xx vztahu x xxxxxxxx xxxxxxxxx.
(9) Xxxxxxxx xxxxxxxxxx a xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxxx na zálohování x xxxxxx.
x) Pravidla x postupy zálohování.
c) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxx x obnovy.
(10) Xxxxxxxx bezpečného předávání x výměny xxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx.
x) Pravidla xxx xxxxxxxxx xxxxxxxxxxxxxx ochrany.
(11) Xxxxxxxx xxxxxx technických xxxxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx balíčků,
c) Xxxxxxxx x xxxxxxx xxxxxxxxx oprav programového xxxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxx oprav xxxxxxxxxxxx vybavení.
(12) Xxxxxxxx xxxxxxxxxx xxxxxxxxx mobilních xxxxxxxx*
[§5 odst. 1 xxxx. 1)]
x) Pravidla x postupy xxx xxxxxxxx používání mobilních xxxxxxxx.
x) Pravidla a xxxxxxx xxx zajištění xxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx nedisponuje.
(13) Xxxxxxxx xxxxxxxxxxx x xxxxxxxx licencí xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx*
[§5 xxxx. 1 písm. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx x postupy xxxxxxxx xxxxxxxxxxxx vybavení x xxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx kontrolu xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
(14) Politika xxxxxxxxxxxx ukládání x xxxxxxxxx xxxxxxxxx*
[§5 odst. x písm. n)]
a) Xxxxxxxx a postupy xxxxxxxxx xxxxxxxxx a xxxxxxx.
x) Xxxxxxx xxxxxxxxxxxxx xxxxxxxxx a xxxxxxx.
x) Xxxxxxxx xxxxxxxx k xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxx.
(15) Xxxxxxxx ochrany xxxxxxxx xxxxx*
[§5 odst. x písm. x), §5 xxxx. 2 xxxx. x)]
x) Charakteristika xxxxxxxxxxxxxx xxxxxxxx údajů.
b) Xxxxx přijatých x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx ochranu osobních xxxxx.
x) Popis xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
(16) Xxxxxxxx xxxxxxx xxxxxxxxxxx**
[§5 xxxx. x xxxx. p)]
a) Xxxxxxxx xxx xxxxxxx xxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx pro xxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxx.
(17) Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxx**
[§5 xxxx. 1 písm. x)]
x) Pravidla x xxxxxxx pro zajištění xxxxxxxxxxx xxxx.
x) Xxxxxx xxxx a povinností xx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxxx v rámci xxxx.
x) Pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxxx přístupu x xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.
(18) Xxxxxxxx xxxxxxx xxxx škodlivým xxxxx*
[§5 xxxx. x xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxxxxxx mezi xxxxxxx x xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx ochranu xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxx.
x) Pravidla a xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxx.
(19) Politika xxxxxxxx a xxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. n)]
a) Xxxxxxxx x xxxxxxx xxxxxxxx nástroje xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx vyhodnocování x xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx optimalizaci xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
(20) Xxxxxxxx využití x xxxxxx xxxxxxxx xxx xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx**
[§5 xxxx. 1 písm. x)]
x) Xxxxxxxx x xxxxxxx pro xxxxxxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí.
b) Pravidla x xxxxxxx xxxxxxxxxx xxxxxxxxxxx pravidel xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx optimální xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxx sběr x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(21) Politika xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxx xxxxxxx x xxxxxxx xx xxx a sílu xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx ochrany xxxxxxxxx
1. xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx,
2. xxx xxxxxxx xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxx xxx,
x) Xxxxxx xxxxxx xxxxx.
XX. Xxxxxxxxx xxxxx dokumentace
(1) Xxxxxx x auditu xxxxxxxxxxxx bezpečnosti**
[§28 xxxx. 1 xxxx. b)]
a) Xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti.
c) Xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx xxxx xxxxxxxx x osob, které xx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx.
x) Xxxxx x xxxxx, xxx xxxx xxxxxxxxx činnosti xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx z xxxxxx xxxxxxxxxxxx bezpečnosti.
g) Xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(2) Zpráva z xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 písm. x)]
x) Xxxxxxxxxxx opatření x xxxxxxxxxxx přezkoumání systému xxxxxx bezpečnosti xxxxxxxxx,
x) Xxxxxxxxxxxx xxxx a xxxxxxxxx, xxxxx xxxxx xxx xxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Zpětná vazba x xxxxxxxxxx xxxxxx xxxxxxxxxxx informací
1. xxxxxxx x nápravná opatření,
2. xxxxxxxx xxxxxxxxxxxx a xxxxxx,
3. xxxxxxxx auditu,
4. xxxxxxxx xxxx bezpečnosti,
d) Xxxxxxxx hodnocení xxxxx x xxxx xxxxx xxxxxxxx xxxxx.
x) Xxxxxxxxxxxx xxxxxxxx xxx neustálé xxxxxxxxxx.
x) Doporučení xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx opatření x xxxx zajišťujících xxxxx jednotlivých činností.
(3) Xxxxxxxx xxx xxxxxxxxxxxx x hodnocení xxxxx x pro xxxxxxxxxxxx x xxxxxxxxx xxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. b)]
a) Xxxxxx stupnice xxx xxxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxx,
2. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxx aktiv,
3. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxxxxxxxx xxxxx.
x) Xxxxxx stupnice xxx xxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx dopadu,
2. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxxx,
3. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx,
4. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxx,
x) Metody x xxxxxxxx xxx xxxxxxxx xxxxx.
x) Způsoby xxxxxxxxxxx přijatelných xxxxx.
(4) Xxxxxx o hodnocení xxxxx x xxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. c)]
a) Xxxxxxx xxxxxxxxxx aktiv
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx aktiv,
2. xxxxxx xxxxxxx xxxxxxxxxx aktiv,
3. xxxxxxxxx primárních aktiv x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti.
b) Xxxxxxx podpůrných aktiv (xxxxxxx xxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx)
1. xxxxxxxxxxxx x popis xxxxxxxxxx xxxxx,
2. určení garantů xxxxxxxxxx xxxxx,
3. xxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx aktivy,
c) Xxxxxxxxxxxxxx a xxxxxxxxx xxxxx
1. xxxxxxxxx xxxxxxx xxxxxx xx aktiva,
2. xxxxxxxxx existujících xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx zranitelností, xxxxxxxxx existujících xxxxxxxx,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx xxxx úrovně x xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
5. určení x schválení xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx rizik
1. xxxxx xxxxxxx zvládání xxxxx,
2. xxxxx opatření x jejich xxxxxxxxx.
(5) Xxxxxxxxxx o xxxxxxxxxxxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. x)]
x) Xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxx xxxxxx x xxxxxx xxxxx xx xxxxxxxxxxxxxx rizika.
b) Přehled xxxxxxxxxx bezpečnostních xxxxxxxx.
(6) Xxxx xxxxxxxx xxxxx**
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx a xxxx xxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx rizik.
b) Xxxxxxxx xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxxxx jednotlivá xxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxx jednotlivých xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
x) Xxxxxxx hodnocení xxxxxxxxxx zavedení xxxxxxxxxxxx xxxxxxxxxxxxxx opatření pro xxxxxxxx xxxxx.
(7) Plán xxxxxxx xxxxxxxxxxxxxx xxxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. x)]
x) Xxxxx a xxxxxxx xxxxxxx xxxxxxxxx.
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxx xxxxx (xxxxxxx xxx orgány a xxxxx xxxxxxx x §3 písm. x) xxxxxx).
x) Obsah x xxxxxxx xxxxxxx xxxxxxxxxxxxxx (xxxxxxx xxx orgány x xxxxx xxxxxxx x §3 písm. x) xxxxxx).
x) Xxxxx x termíny xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxx x termíny xxxxxxx xxxxxx zaměstnanců.
f) Xxxxx x xxxxxxx hodnocení xxxxx.
(8) Zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx**
[§28 odst. 1 xxxx. i), §28 odst. 2 xxxx. x)]
x) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx xxx evidenci x zvládání jednotlivých xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x pro xxxxxxxxxx xxxxxxxxxxxx bezpečnosti.
(9) Xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. h)]
a) Xxxxx a xxxxxxxxxx xxxxxxxxxxxx osob.
b) Cíle xxxxxx kontinuity činností
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx,
2. xxxx obnovení xxxxx,
3. bod obnovení xxxxx.
x) Xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxx xxxxxxxxxx.
x) Xxxxxxx hodnocení xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxx xxxxx.
x) Xxxxxx x xxxxx xxxxxxxxxx xxxxx xxxxxxxxxx.
x) Xxxxxxx xxx realizaci xxxxxxxx xxxxxxxx Xxxxxxxx xxxxxxxxxxxxx úřadem.
(10) Xxxxxxx xxxxxx xxxxxxxxx právních xxxxxxxx, xxxxxxxxx předpisů x jiných předpisů x xxxxxxxxx xxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. i)]
a) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
x) Přehled xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx.
x) Přehled xxxxxxxxx xxxxxxx.
Xxxxxxxx:
* Očekávaná xxxxxxxxx xxxxxxxxx xx xx xxxxxx střední xxxxx stupnice xxxxxxx x příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.
** Xxxxxxxxx xxxxxxxxx xxxxxxxxx xx na xxxxxx xxxxxx xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx a xxxxxx xxxxx.
Xxxxxxx č. 5 x xxxxxxxx č. 316/2014 Sb.
Formulář xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx x. 6 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx č. 7 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx pro xxxxxxx xxxxxxxxxxx xxxxx
Vyplnitelný formulář ve formátu PDF
Informace
Právní předpis x. 316/2014 Xx. nabyl xxxxxxxxx xxxx 1.1.2015.
Ke xxx xxxxxxxx xxxxxx xxxxxxx nebyl měněn xx xxxxxxxxx.
Xxxxxx xxxxxxx x. 316/2014 Sb. xxx xxxxxx xxxxxxx xxxxxxxxx č. 82/2018 Sb. s xxxxxxxxx od 28.5.2018.
Xxxxx xxxxxxxxxxxx právních xxxxx xxxxxx xxxxxxxx předpisů x xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx xx xxxx xxxxxx derogační xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
1) XXX/XXX 27001:2013, xxxxxxxx XXX XXX/XXX 27001:2014