Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
XXXXXXXX
xx xxx 15. xxxxxxxx 2014
x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x x xxxxxxxxx xxxxxxxxxxx xxxxxx v xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx bezpečnostní xxxx xxxxxxx xxxxx §28 xxxx. 2 xxxxxx x. 181/2014 Sb., x xxxxxxxxxxxx xxxxxxxxxxx x x změně xxxxxxxxxxxxx xxxxxx (zákon x xxxxxxxxxxxx xxxxxxxxxxx), (xxxx xxx "xxxxx") x xxxxxxxxx §6 xxxx. x) až x), §8 xxxx. 4, §13 xxxx. 4 x §16 xxxx. 6 xxxxxx.
ČÁST XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxxx vyhláškou xx xxxxxxx obsah x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxx xxxxxxxxxx systém xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx informační systém, xxxxx xxxxxxxxxxxxxx opatření, xxxxxx xxxxxx zavedení, xxxx x kategorie xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů, xxxxxxxxxxx x xxxxxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx oznámení x xxxxxxxxx xxxxxxxxxxx xxxxxxxx a xxxx xxxxxxxx x xxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxx xxxxx.
§2
Vymezení xxxxx
X xxxx xxxxxxxx se xxxxxx
x) xxxxxxxx řízení xxxxxxxxxxx xxxxxxxxx část xxxxxxx xxxxxx orgánu a xxxxx xxxxxxx v §3 xxxx. c) xx e) zákona xxxxxxxx xx xxxxxxxx x xxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx, xxxxx xxxxxxx xxxxxx xxxxxxxx, xxxxxxxx, xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxx a xxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxxx xxxx poskytuje xxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx informační infrastruktury xxxx významný xxxxxxxxxx xxxxxx,
x) podpůrným xxxxxxx xxxxxxxxx xxxxxxx, zaměstnanci x xxxxxxxxxx xxxxxxxxxx xx na xxxxxxx, xxxxxxx, správě xxxx xxxxxxxxxxx informačního systému xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxx aktivem xxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x programové xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx systému x xxxxxxx, xx xxxxxxx xxxx tyto systémy xxxxxxxx,
x) xxxxxxx xxxxxxx, xx určitá xxxxxx xxxxxxx zranitelnosti xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxx xxxxxx, xxx xxxx je určována xxxxxxxxxx xxxxx a xxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxx xxxxxxx xxxxxxxxxx hodnocení rizik, xxxxx x zavedení xxxxxxxx ke xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx x xxxxxx x xxxxxxxxx x přezkoumání xxxxx,
x) xxxxxxx potencionální xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx nebo xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxx xxxx xxx xxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxx xxxxx místo xxxxxx xxxx bezpečnostního xxxxxxxx, xxxxx může být xxxxxxxx xxxxxx xxxx xxxx hrozbami,
k) xxxxxxxxxxx xxxxxxx riziko xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, jehož úroveň xxxxxxxx kritériím pro xxxxxxxxxxxx rizik,
l) xxxxxxxxxxxx xxxxxxxxx soubor xxxxx x xxxxxxxx, xxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxxx aktiv orgánem x xxxxxx xxxxxxxx x §3 xxxx. x) xx e) xxxxxx,
x) xxxxxxxx aktiva xxxxxxx xxxxx pověřená xxxxxxx nebo osobou xxxxxxxx v §3 xxxx. c) xx x) xxxxxx k xxxxxxxxx xxxxxxx, použití x xxxxxxxxxxx aktiva,
n) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx osoba anebo xxxxx veřejné xxxx, xxxxx využívá xxxxxxxx xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxx xxxxx xxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxx, xxxxxx, použití, xxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx v rámci xxxxxxx xxxxxx bezpečnosti xxxxxxxxx
x) xxxxxxx x xxxxxxx xx xxxxxx x xxxxxxxxxxx bezpečnost xxxxxx x xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, ve xxxxxx xxxx, kterých xxxxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxx xx xxxxxx xxxxxx bezpečnosti informací xxxx,
x) xxxx xxxxxx xxxxx §4 odst. 1,
x) xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx obsahuje xxxxxx xxxxxx, cíle, xxxxxxxxxxxx xxxxxxx, práva x xxxxxxxxxx xx vztahu x xxxxxx xxxxxxxxxxx xxxxxxxxx a na xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx bezpečnostní xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §5 x zavede xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) monitoruje xxxxxxxx bezpečnostních xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx §5,
f) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §15, x xx xxxxxxx xxxxxx xxxxx,
x) zajistí xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx obsahuje hodnocení xxxxx xxxxxxx řízení xxxxxxxxxxx informací xxxxxx xxxxxx xxxxxxxxx xxxxx, xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx a auditů xxxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx, x xx xxxxxxx xxxxxx ročně,
h) xxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a příslušnou xxxxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx informací x x xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx a
i) xxxx xxxxxx a xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx činnosti xxxxxxx xx systémem xxxxxx xxxxxxxxxxx informací x xxxxxxx xxxxx.
(2) Xxxxx x osoba xxxxxxx v §3 xxxx. x) xxxxxx x xxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxx xxxxxx podle §4 xxxx. 2,
b) xxxxxxx a xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx systému xxxxxx xxxxxxxxxxx informací, která xxxxxxxx xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx a xxxxxxxxxx xx vztahu k xxxxxx bezpečnosti xxxxxxxxx x xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx hodnocení xxxxx xxxxxxx xxxxxxxxxxxx politiku x xxxxxxx xxxxxxxxx xxxxx §5, a xxxxxx xxxxxxxxx bezpečnostní xxxxxxxx x
x) provádí xxxxxxxxxxx zprávy o xxxxxxxxx xxxxx x xxxxx, bezpečnostní xxxxxxxx, xxxxx xxxxxxxx rizik x xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, x xx xxxxxxx xxxxxx xx xxx roky xxxx x souvislosti x prováděnými xxxx xxxxxxxxxxx xxxxxxx.
§4
Xxxxxx xxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx v xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x hodnocení rizik xxxxxx stanovení xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx a hodnotí xxxxxxxxxx aktiv, xxxxx xxxxx xx rozsahu xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxx §8 x xxxxxxx přílohy č. 1 x xxxx xxxxxxxx x xxxxxxx xxxxxxxxx xx xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) identifikuje xxxxxx, xxx xxxxxxx xxxxxxxx xxxxxx a xxxxxxxxxxxxx, xxxxxxx možné xxxxxx xx xxxxxx, hodnotí xxxx rizika minimálně x rozsahu xxxxx přílohy č. 2 x xxxx xxxxxxxx, xxxx x xxxxxxx přijatelná xxxxxx x xxxxxxxx xxxxxx x hodnocení xxxxx x xxxxx,
x) xxxxxxxx xx základě xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx x xxxxxx xxxx xxxxxxxx xxxxx, xxxxx xxxxxxxx xxxx x přínosy xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik, xxxxxxxx xxxxxxxx, xxxxxxxxx, lidské x xxxxxxxxxx xxxxxx, xxxxxx xxxxxx zavedení x xxxxx xxxxx xxxx riziky a xxxxxxxxxxx xxxxxxxxxxxxxx opatřeními x
x) xxxxxxxx xxx xxxxxxxxxx xxxxxxx reaktivní x xxxxxxxx xxxxxxxx xxxxxx Xxxxxxxx bezpečnostním xxxxxx (xxxx xxx "Xxxx") v xxxxxxxxx xxxxx x v xxxxxxx, že xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx spojené x realizací xxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx kritéria xxx xxxxxxxxxxxx xxxxx, xxxxxx xxxx xxxxxxxx xxxxx.
(2) Orgán x xxxxx xxxxxxx v §3 písm. x) xxxxxx x rámci xxxxxx xxxxx
x) xxxxxxx xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x hodnocení xxxxx xxxxxx stanovení xxxxxxxx xxx přijatelnost rizik,
b) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxx, xxxxx xxxxx xx xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx, podle §8 minimálně x xxxxxxx přílohy č. 1 x xxxx vyhlášce x xxxxxxx xxxxxxxxx xx xxxxxx x xxxxxxxxx xxxxx x rizik,
c) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxxxxx, xxxxxxx xxxxx dopady xx xxxxxxxx xxxxxx, xxxxxxx xxxx rizika xxxxxxxxx x xxxxxxx xxxxx přílohy č. 2 x xxxx xxxxxxxx x zpracuje xxxxxx o hodnocení xxxxx x xxxxx,
x) xxxxxxxx xx základě xxxxxxxxxxxxxx potřeb x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx o aplikovatelnosti, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxxxx opatření,
e) zpracuje x xxxxxx plán xxxxxxxx rizik, který xxxxxxxx xxxx a xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx a xxxxxxxxxx xxxxxx, termíny xxxxxx xxxxxxxx x xxxxx xxxxx mezi xxxxxxxxxxxxxxxx xxxxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx opatření xxxxxx Xxxxxx x xxxxxxxxx xxxxx a x xxxxxxx, xx xxxxxxxxx xxxxx aktualizované x xxxx zranitelnosti xxxxxxx x realizací xxxxxxxxxxx xxxx ochranného opatření xxxxxxxx stanovená xxxxxxxx xxx xxxxxxxxxxxx xxxxx, xxxxxx xxxx xxxxxxxx xxxxx.
(3) Xxxxxx xxxxx xxxx xxx xxxxxxxxx x xxxxxx způsoby, xxx jak xx xxxxxxxxx x xxxxxxxxxx 1 a 2, xxxxx xxxxx x xxxxx xxxxxxx v §3 písm. c) xx x) xxxxxx xxxxxxxxx, že xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxxxx úroveň xxxxxx xxxxx.
(4) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx při xxxxxxxxx xxxxx zvažuje zejména xxxx hrozby
a) xxxxxxxx xxxxxxxxxxxx politiky, xxxxxxxxx xxxxxxxxxxxxx činností, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxx x administrátorů,
b) xxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx identity xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx x xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx útok x xxxxxxxxxxx sítě,
f) xxxxxxxx xxx (xxxxxxxxx xxxx, spyware, xxxxxxx xxxx),
x) xxxxxxxxxx při xxxxxxxxxxx xxxxxx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) narušení xxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxx xxxxxxx,
x) zneužití xxxx xxxxxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxx xxxxxxxx xxxxxx x
x) odcizení nebo xxxxxxxxx xxxxxx.
(5) Xxxxx x osoba uvedená x §3 písm. x) xx e) xxxxxx při xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxx zranitelnosti
a) xxxxxxxxxxxx xxxxxxx vnějšího xxxxxxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx x administrátorů,
c) xxxxxxxxxxxx xxxxxx informačního xxxxxxx kritické informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx xxx xxxxxxxxxxxxxx x xxxxxxxx negativních xxxxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx nevhodné xxxx xxxxxxx xxxxxxx chování x
x) nedostatečné xxxxxxxxx xxxxxxxxxxxxxx pravidel, xxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxx xxxx x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxxxxxxxx rolí.
(6) Orgán x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx při hodnocení xxxxx xxxx xxxxxxx xxxx xxxxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, zneužití xxxxxxxxx xx strany xxxxxxxxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx,
x) pochybení ze xxxxxx xxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx prostředků, xxxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxxxxxxxxx energie xxxx xxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx odbornou xxxxxx,
x) xxxxxx kybernetický xxxx pomocí xxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxx x
x) zneužití xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxx.
(7) Xxxxx a xxxxx xxxxxxx v §3 písm. x) x x) xxxxxx xxx xxxxxxxxx xxxxx xxxx xxxxxxx xxxx xxxxxxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,
x) nedostatečná xxxx xxxxxxxxx xxxxxxxx x
x) xxxxxxxxxxx xxxxxxxx odhalení xxxxxxxxx ze strany xxxxxxxxxxx.
§5
Xxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 písm. x) a x) xxxxxx xxxxxxx bezpečnostní xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) organizační xxxxxxxxxx,
x) xxxxxx xxxxxx s xxxxxxxxxx,
x) xxxxxxxxxxx aktiv,
e) xxxxxxxxxx xxxxxxxx zdrojů,
f) xxxxxx provozu x xxxxxxxxxx,
x) xxxxxx přístupu,
h) xxxxxxxx chování uživatelů,
i) xxxxxxxxxx x xxxxxx,
x) xxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxx,
x) řízení xxxxxxxxxxx xxxxxxxxxxxxx,
x) bezpečné xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx vybavení x xxxxxxxxx,
x) dlouhodobé xxxxxxxx x archivace xxxxxxxxx,
x) ochrana osobních xxxxx,
x) fyzická xxxxxxxxxx,
x) xxxxxxxxxx komunikační xxxx,
x) xxxxxxx před škodlivým xxxxx,
x) xxxxxxxx x xxxxxxxxx nástroje pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) využití x xxxxxx nástroje pro xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
x) používání xxxxxxxxxxxxxx xxxxxxx.
(2) Xxxxx a xxxxx uvedená v §3 písm. e) xxxxxx stanoví bezpečnostní xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) organizační bezpečnost,
c) xxxxxx xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) bezpečnost xxxxxxxx xxxxxx,
x) xxxxxx provozu x komunikací,
g) xxxxxx xxxxxxxx,
x) bezpečné xxxxxxx xxxxxxxxx,
x) zálohování x xxxxxx,
x) xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx,
x) xxxxxxx osobních xxxxx,
x) xxxxxxxxx xxxxxxxxxxxxxx ochrany,
m) xxxxxxx xxxx xxxxxxxxx xxxxx x
x) xxxxxxxx x používání xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx e) xxxxxx pravidelně hodnotí xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx ji.
§6
Organizační bezpečnost
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxxxxx organizaci xxxxxx bezpečnosti xxxxxxxxx, x rámci xxxxx xxxx xxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti x bezpečnostní xxxx x jejich xxxxx x xxxxxxxxxx xxxxxxxxxxx x informačním xxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxx systémem xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxx xxxxxxxxxxx systémem.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx xxxxxxxxxxxx xxxx
x) xxxxxxx xxxxxxxxxxxx bezpečnosti,
b) xxxxxxxxx xxxxxxxxxxxx bezpečnosti,
c) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxx xxxxxx xxxxx §2 xxxx. m).
(3) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xxxx xxxxxxxxxxxx role přiměřeně xxxxx xxxxxxxx 2.
(4) Xxxxxxx kybernetické xxxxxxxxxxx xx xxxxx, xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, která xx xxx xxxx xxxxxxx vyškolena x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxx xxxxxxx xxx xxx.
(5) Architekt xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxxx bezpečnostních opatření, xxxxx xx pro xxxx xxxxxxx xxxxxxxxx x xxxxxxx odbornou xxxxxxxxxxx xxxxx s xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xx xxxx xxxxxxx xxx xxx.
(6) Xxxxxxx xxxxxxxxxxxx bezpečnosti je xxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx bezpečnosti, xxxxx xx pro tuto xxxxxxx xxxxxxxxx a xxxxxxx odbornou xxxxxxxxxxx xxxxx s prováděním xxxxxx kybernetické xxxxxxxxxxx xx xxxx xxxxxxx xxx let. Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxxxxx x výkon jeho xxxx xx oddělen xx xxxxxx xxxx xxxxxxxxx x odstavci 2 písm. x), x) xxxx x).
(7) Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx je xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx, xxxxx xxxx xxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx informačního xxxxxxx, anebo xx xxxxxxxx podílejí na xxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx.
(8) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxxx xxxxxxx xxxxxxx xxxx, xxxxx xxxxxxxxx xxxxxxxxxxxx role x xxxxxxx s xxxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxx §9 odst. 1 xxxx. x).
§7
Stanovení bezpečnostních xxxxxxxxx xxx xxxxxxxxxx
(1) Orgán x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx zavede pravidla xxx xxxxxxxxxx, xxxxx xxxxxxxxxx potřeby xxxxxx xxxxxxxxxxx xxxxxxxxx, x xxxxxxxx xx x xxxxxxxxxx xxxx xxxxxx xxxx, které xx xxxxxxxx na xxxxxxx, xxxxxxx xxxx zajištění xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xxxxxx xxxxxxxx dodavatelů xx xxxxxxx, xxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury, komunikačního xxxxxxx kritické informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx a xxxxx uvedená x §3 písm. c) xx x) xxxxxx xxxxxxxx, xxxxx xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx informací.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx x dodavatelů xxxxxxxxx v xxxxxxxx 1 xxxx
x) xxxx xxxxxxxxx smlouvy xxxxxxx xxxxxxxxx rizik xxxxx přílohy č. 2 k xxxx xxxxxxxx, xxxxx xxxx xxxxxxx s xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxx x úrovni služeb, xxxxx stanoví xxxxxxx x xxxxxx realizace xxxxxxxxxxxxxx opatření x xxxx vztah xxxxxxxx xxxxxxx odpovědnosti za xxxxxxxx a kontrolu xxxxxxxxxxxxxx xxxxxxxx, x
x) xxxxxxx xxxxxxxxxx hodnocení xxxxx x xxxxxxxxxxx xxxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx u poskytovaných xxxxxx x xxxxxxxx xxxxxxxxxx odstraňuje xxxx xx xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxx.
§8
Xxxxxx aktiv
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxxxxxxx x eviduje primární xxxxxx,
x) xxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx za xxxxxxxx xxxxxx, a
c) xxxxxxx xxxxxxxxxx primárních xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x xxxxxx xx xx xxxxxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxx xxxxx přílohy č. 1 k xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx xxxxxxxxxxx primárních xxxxx je xxxxx xxxxxxxxx xxxxxxxx
x) xxxxxx x důležitost osobních xxxxx xxxx obchodního xxxxxxxxx,
x) xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxx závazků,
c) rozsah xxxxxxxx vnitřních xxxxxxxx x xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, obchodních xxxx xxxxxxxxxxxx xxxxx,
x) xxxxx finanční ztráty,
f) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx orgánu x xxxxx xxxxxxx v §3 písm. x) xx x) zákona,
g) xxxxxx xxxxxxx s xxxxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti x
x) xxxxxx xx xxxxxxxxx xxxxxxx jména xxxx xxxxxxx dobré xxxxxxx.
(3) Xxxxx a xxxxx xxxxxxx v §3 xxxx. c) x x) xxxxxx xxxx
x) xxxxxxxxxxxx x eviduje xxxxxxxx aktiva,
b) xxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xx xxxxxxxx xxxxxx, x
x) xxxx vazby xxxx xxxxxxxxxx a podpůrnými xxxxxx a hodnotí xxxxxxxx xxxxxxxxxx mezi xxxxxxxxxx x podpůrnými xxxxxx.
(4) Xxxxx x xxxxx xxxxxxx v §3 písm. x) xx e) xxxxxx xxxx
x) xxxxxxx xxxxxxxx xxxxxxx, nutná xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx tím, xx
1. xxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxx xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx x aktivy podle xxxxxx xxxxx, včetně xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxxx xxxxx x
3. xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx,
x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx úrovni xxxxx x
x) určí xxxxxxx xxx xxxxxxxxxx xxxxxxx xxxx xxxxxx technických xxxxxx xxx x xxxxxxx xx xxxxxx xxxxx.
§9
Bezpečnost xxxxxxxx xxxxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx v xxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx
x) xxxxxxx xxxx rozvoje bezpečnostního xxxxxxxx, xxxxx xxxxxxxx xxxxx, obsah a xxxxxx xxxxxxxxxx školení x xxxx osoby xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx x xxxxx xxxxxxx,
x) x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx xxxx x xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx politice xxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) xxxxxxx vrácení xxxxxxxxx xxxxx a xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx smluvního xxxxxx x xxxxxxxxx, xxxxxxxxxxxxxx xxxx osobami xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona vede x xxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxx, které školení xxxxxxxxxxx.
(3) Orgán x xxxxx uvedená x §3 xxxx. c) x x) xxxxxx xxxx
x) xxxxxxx xxxxxxxx xxx určení osob, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx xxxx, xxxx xxxxxxxxxxxxxx xxxx uživatelů,
b) xxxxxxx xxxxxxxx plánu xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxx xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx pravidel xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role x
x) xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx postavení xxxxxxxxx, xxxxxxxxxxxxxx xxxx osob xxxxxxxxxxxxx bezpečnostní role.
§10
Řízení xxxxxxx a xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx x xxxxx xxxxxx xxxxxxx a xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx v §21 xx 23 xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxx x xx xxxxxxxx xxxxxxxxxx xxxxxxx x souladu s §13.
(2) Orgán x xxxxx xxxxxxx v §3 písm. x) xx e) zákona x xxxxx xxxxxx xxxxxxx a xxxxxxxxxx xxxx xxxxxxxxx bezpečný xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačního xxxxxxx. Xx xxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxx x postupy.
(3) Xxxxxxxx xxxxxxxx a xxxxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxxxxxx
x) xxxxx a povinnosti xxxx xxxxxxxxxxxxx bezpečnostní xxxx, xxxxxxxxxxxxxx x xxxxxxxxx,
x) xxxxxxx pro xxxxxxxx a xxxxxxxx xxxxx xxxxxxx, xxx xxxxxxx xxxx xxxxxxxx xxxxx systému xx xxxxxxx a pro xxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxx xxxxxxx xxxxxxxx k záznamům x těchto činnostech,
d) xxxxxxx xx xxxxxxxxx xxxxx, xxxxx xxxx xxxxxx xxxx podpora xxx xxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxx technických xxxxxx,
x) postupy řízení x xxxxxxxxxxx xxxxxxxxxx xxxx a
f) xxxxxxx xxx sledování, xxxxxxxxx x řízení kapacity xxxxxxxx x xxxxxxxxxxx xxxxxx.
(4) Řízení xxxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona spočívá x provádění pravidelného xxxxxxxxxx x prověřování xxxxxxxxxxxxx provedených xxxxx.
(5) Xxxxxx xxxxxxx xxxxxx x osoby xxxxxxx x §3 písm. x) a x) xxxxxx xxxxxxx x
x) xxxxxxxxx xxxxxxxx vývojového, xxxxxxxxxxx x produkčního xxxxxxxxx,
x) xxxxxx reaktivních xxxxxxxx xxxxxxxx Xxxxxx xxx, že xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a d) xxxxxx
1. xxxxxxx očekávané xxxxxx reaktivního xxxxxxxx xx xxxxxxxxxx systém xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxx xxxxxxxxx xxxxxx x bez xxxxxxxxxx xxxxxxx je xxxxxx Xxxxx x
2. xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx opatření, xxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxx, a určí xxxxxx xxxx xxxx xxxxxxxxx.
(6) Orgán x xxxxx xxxxxxx v §3 písm. c) x x) xxxxxx x rámci řízení xxxxxxxxxx
x) xxxxxxxxx bezpečnost x integritu komunikačních xxxx x xxxxxxxxxx xxxxxxxxxxxxx služeb xxxxx §17,
x) určí pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxx informací xx xxxxxxx xxxxxxxx xxxxxxxxxxx právními xxxxxxxx xx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx informací a xxxx xxxxxxxx xxxxxxxxxxx x
x) x xxxxxxx xx xxxxxxxxxxx xxxxx xxxxxxx výměnu x xxxxxxxxx xxxxxxxxx na xxxxxxx xxxxxxxxx smluv, xxxxxxx xxxxxxxx je xxxxxxxxxx o xxxxxxxxxxx xxxxxxxxx.
§11
Xxxxxx xxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona na xxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxx potřeb xxxx xxxxxxx x xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačnímu xxxxxxx a xxxxxxx xxxxxxx uživateli xxxxxxxxxxx xxxxxxxxxxxxx.
(2) Orgán x xxxxx xxxxxxx v §3 písm. c) xx e) zákona xxxxxx xxxxxxxx, která xxxxxx k xxxxxxxxx xxxxxxx xxxxx, které xxxx používány pro xxxxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému xxxxx §18 x 19, x xxxxx xxxxx ve xxxxxxxx xxxxxx xxxxx neoprávněnou xxxxxx.
(3) Orgán x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxx x rámci xxxxxx přístupu
a) xxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxx přidělování xxxxxxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx x souladu x xxxxxxxxx řízení xxxxxxxx,
x) provádí xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxx,
x) využívá xxxxxxx xxx xxxxxxxxx identity xxxxxxxxx xxxxx §18 x xxxxxxx xxx xxxxxx xxxxxxxxxxxx oprávnění xxxxx §19 x
x) xxxxxx xxxxxxxxxxxx opatření xxxxxxxx pro xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx technických xxxxxxxx, xxxxxxx orgán x xxxxx uvedená x §3 písm. x) x x) xxxxxx xxxxxxxxxxx.
§12
Xxxxxxxx, xxxxx x xxxxxx
(1) Orgán x xxxxx xxxxxxx v §3 xxxx. c) xx x) zákona xxxxxxx xxxxxxxxxxxx xxxxxxxxx xx změny informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx xxxxxxx x xxxxxx akvizicí, vývojem x xxxxxxx x xxxxxx xx xx xxxxxxxx xxxxxxxx, xxxxxx x xxxxxx xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx xxxx
x) xxxxxxxxxxxx, xxxxxxx x xxxx xxxxxx xxxxxxxxxxx x akvizicí, xxxxxxx x xxxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx; xxx xxxxxxx xxxxxxxxx x řízení xxxxx xx xxxxxxxx xxxxx §4 xxxx. 1 xxxx. x) xxxxxxx obdobně,
b) xxxxxxx xxxxxxxxxx vývojového xxxxxxxxx x xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx dat x
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx před xxxxxx xxxxxxxxx xx xxxxxxx.
§13
Xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx a xxxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxx zvládání xxxxxxxxxxxxxx událostí x xxxxxxxxx
x) přijme xxxxxxxx xxxxxxxx, xxxxx xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x významného xxxxxxxxxxxx xxxxxxx ze xxxxxx xxxxxxxxx, administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x o xxxxxxxxxx vede xxxxxxx,
x) xxxxxxxx xxxxxxxxx pro xxxxxxxxxxx oznámených kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx bezpečnostních xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx §21 xx 23, xxxxxxx jejich xxxxxxxxxxx x identifikuje xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx incidentů, xxxxxxx xxxxxxxx xxx odvrácení x xxxxxxxx dopadu xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu, xxxxxxx hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §32 x xxxxxxx xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu,
d) xxxxxxxx x xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, vyhodnotí xxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx x xx xxxxxxx xxxxxxxxxxx stanoví xxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxx kybernetických bezpečnostních xxxxxxxxx.
§14
Řízení xxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) zákona v xxxxx xxxxxx kontinuity xxxxxxxx stanoví
a) xxxxx x xxxxxxxxxx xxxxxxx xxxxx, xxxxxxxxxxxxxx a xxxx zastávajících xxxxxxxxxxxx xxxx,
x) xxxx řízení xxxxxxxxxx xxxxxxxx formou xxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx, která xx xxxxxxxxxx pro xxxxxxx, xxxxxx x xxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému,
2. xxxx obnovení xxxxx, xxxxx které bude xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx poskytovaných xxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x
3. xxxx xxxxxxxx xxx xxxx xxxxxxx, xx xxxxxxx xxxxx xxxxxxxx xxxx xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx, x
x) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx, která obsahuje xxxxxxxx xxxx xxxxx xxxxxxx b).
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx dále
a) xxxxxxxxx x dokumentuje možné xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx x xxxxxxx xxxxx rizika xxxxxxxxxxx x xxxxxxxxx kontinuity xxxxxxxx,
x) xxxxxxx, xxxxxxxxxxx x pravidelně testuje xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) realizuje xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx x komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxxx bezpečnostnímu xxxxxxxxx x využívá xxxxxxx xxx zajišťování xxxxxx xxxxxxxxxxx podle §26 x
x) xxxxxxx x xxxxxxxxxxx postupy xxx xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx podle §13 a 14 xxxxxx, ve kterých xxxxxxxx
1. xxxxxxxx hodnocení xxxxx xxxxxxxxx xxxxxxxx,
2. xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
3. xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx dopadů xx xxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury.
§15
Xxxxxxxx x xxxxx xxxxxxxx informační xxxxxxxxxxxxxx x významných xxxxxxxxxxxx xxxxxxx
(1) Orgán a xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona x xxxxx xxxxxxxx x xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx informačních xxxxxxx (xxxx xxx "xxxxx xxxxxxxxxxxx xxxxxxxxxxx")
x) posuzuje xxxxxx xxxxxxxxxxxxxx opatření x xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx, jinými xxxxxxxx x xxxxxxxxx xxxxxxx vztahujícími se x xxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxx xxxxxxxx xxx xxxx xxxxxxxxxxx x
x) xxxxxxx a xxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx bezpečnostní xxxxxxxx x xxxxxxxx xxxxxx xxxxxxx zohlední x xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx xxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxxxxxxx provedení xxxxxx kybernetické xxxxxxxxxxx xxxxxx x odbornou xxxxxxxxxxx xxxxx §6 xxxx. 6, která xxxxxxx xxxxxxxxx x xxxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx.
(3) Orgán x xxxxx uvedená x §3 xxxx. c) x x) xxxxxx xxxx xxx informační xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx kontrolu xxxxxxxxxxxxx technických prostředků xxxxxx xxxxxxxxxxxxxxxx nástrojů x jejich xxxxxxx xxxxxxxxxxx x xxxxxxx xx xxxxxxxx zranitelnosti.
HLAVA XX
XXXXXXXXX XXXXXXXX
§16
Xxxxxxx xxxxxxxxxx
(1) Xxxxx x xxxxx uvedená v §3 xxxx. x) xx x) zákona x rámci xxxxxxx xxxxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx k zamezení xxxxxxxxxxxxx xxxxxx xx xxxxxxxxxx xxxxxxx, xxx xxxx xxxxxxxxxxxx informace x umístěna xxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému,
b) xxxxxx xxxxxxxx xxxxxxxx x zamezení xxxxxxxxx x zásahům xx xxxxxxxxxx prostor, kde xxxx uchovány xxxxxxxxx x umístěna xxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x
x) předchází poškození, xxxxxxx xxxx zneužití xxxxx xxxx přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x d) xxxxxx xxxx uplatňuje xxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxx xxxxxxxxx ochrany na xxxxxx objektů x
x) xxx xxxxxxxxx xxxxxxx x xxxxx objektů xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxx, xx xxxxxxx xxxx umístěna xxxxxxxxx xxxxxx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
(3) Xxxxxxxxxx fyzické xxxxxxxxxxx jsou xxxxxxx
x) xxxxxxxxxx zábranné prostředky,
b) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx,
x) prostředky omezující xxxxxxxx požárů,
d) xxxxxxxxxx xxxxxxxxx působení xxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxx kontrolu vstupu,
f) xxxxxxxx xxxxxxx,
x) xxxxxxxx xxx xxxxxxxxx xxxxxxx xxxx selháním xxxxxxx xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx provozních xxxxxxxx.
§17
Xxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) až x) xxxxxx pro xxxxxxx xxxxxxxxx rozhraní xxxxxx xxxxxxxxxxx xxxx, xxxxx xxxx xxx xxxxxxx xxxxxx xxxx xxxxx, x xxxxxxx xxxxxxxxxxx xxxx, xxxxx xx xxx xxxxxxx xxxxxx xxxx xxxxx, xxxxxx
x) řízení bezpečného xxxxxxxx mezi xxxxxx x xxxxxxx xxxx,
x) xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxxxxxx xxx xxxx xxxxxxxxxxx xxxx sítě xxxxxxxxxxx xx xxxxxxx xxxxxxxxxxx xxxxxxxx dostupných x xxxxxx xxxx x x xxxxxxxx xxxxx xxxxxxxxxx xxxxxxx xxxx x xxxxxx xxxx,
x) xxxxxxxxxxxxxx xxxxxxxxxx (§25) xxx vzdálený xxxxxxx, xxxxxxxxx správu xxxx xxx xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x
x) opatření xxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxx, xxxxx xxxxxxxxxxxx požadavkům xx xxxxxxx xxxxxxxxx komunikační xxxx.
(2) Xxxxx a xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxx využívá nástroje xxx xxxxxxx integrity xxxxxxx komunikační xxxx, xxxxx xxxxxxx její xxxxxxxxxx.
§18
Nástroj xxx xxxxxxxxx xxxxxxxx xxxxxxxxx
(1) Xxxxx x osoba uvedená x §3 písm. x) xx x) xxxxxx používá xxxxxxxx xxx xxxxxxx identity xxxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx a administrátorů xxxx zahájením jejich xxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxx.
(3) Xxxxxxx xxx xxxxxxxxx identity uživatelů, xxxxx používá xxxxxxxxxxx xxxxx heslem, xxxxxxxxx
x) xxxxxxxxx délku hesla xxx xxxxx,
x) xxxxxxxxx xxxxxxxxx hesla tak, xx heslo bude xxxxxxxxx xxxxxxx 3 x xxxxxxxxxxxxx xxxx xxxxxxxxx
1. xxxxxxx xxxxx xxxxx písmeno,
2. nejméně xxxxx malé xxxxxxx,
3. xxxxxxx xxxxx xxxxxxx, xxxx
4. xxxxxxx xxxxx xxxxxxxxx znak xxxxxxx xx xxxxxxxxx uvedených x xxxxxx 1 xx 3,
c) maximální xxxx xxx xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxxx xxx xxx; xxxxx xxxxxxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(4) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxx, xxxxx
1. xxxxxx xxxxxxxxxx xxxxxxxxx dříve xxxxxxxxxxx xxxxx a neumožní xxxx xxxx xxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx období, xxxxx xxxx xxx nejméně 24 xxxxx, a
2. xxxxxxx opětovné xxxxxxx xxxxxxxx po xxxxxx xxxx nečinnosti x
x) xxxxxxx xxxxxxx pro xxxxxxxxx identity xxxxxxxxxxxxxx. X xxxxxxx, xx xxxxx nástroj využívá xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxxxx minimální xxxxx xxxxx xxxxxxx xxxxx xxx xxxxxxxx požadavků xxxxx odstavce 3 xxxx. x) a x).
(5) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxx být xxxxxxxx x xxxxxx způsoby, xxx jaké xxxx xxxxxxxxx v xxxxxxxxxx 3 xx 5, xxxxx xxxxx a xxxxx uvedená v §3 xxxx. x) xx x) zákona xxxxxxxxx, xx xxxxxxx xxxxxxxx xxxxxxxxxxx stejnou xxxx vyšší xxxxxx xxxxxxxxx hesla.
§19
Xxxxxxx xxx xxxxxx xxxxxxxxxxxx oprávnění
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx používá xxxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxx, kterým zajistí xxxxxx oprávnění
a) xxx xxxxxxx x xxxxxxxxxxx xxxxxxxxx a xxxxx x
x) xxx čtení xxx, xxx zápis xxx x pro xxxxx oprávnění.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxxx xxxxxxx xxxxxxx pro řízení xxxxxxxxxxxx oprávnění, xxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx v xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x výsledky hodnocení xxxxx.
§20
Nástroj xxx ochranu xxxx škodlivým kódem
Orgán x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxx xxxxxx xxxxx spojených s xxxxxxxxx škodlivého kódu xxxxxxx xxxxxxx pro xxxxxxx informačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxx kódem, xxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxx
x) xxxxxxxxxx xxxx xxxxxxx xxxx x xxxxxx xxxx,
x) xxxxxxx x xxxxxxxxx datových úložišť x
x) xxxxxxxxxx xxxxxx,
xxxxxxx xxxxxxx pravidelnou x xxxxxxx xxxxxxxxxxx xxxxxxxx xxx ochranu před xxxxxxxxx kódem, jeho xxxxxxx a xxxxxxxx.
§21
Xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx kritické informační xxxxxxxxxxxxxx x významných xxxxxxxxxxxx xxxxxxx, xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx používá xxxxxxx xxx zaznamenávání xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému, xxxxx xxxxxxx
x) xxxx xxxxxxxxx x xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxx činnosti, xxxxx x xxx, xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, xxxxx xxxxxxx xxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx x xxxxx xxxxxxxx a xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx a
b) xxxxxxx xxxxxxxxx xxxxxxxxx před xxxxxxxxxxxx čtením xxxx xxxxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx e) zákona xxxx xxxxxx nástroje xxx zaznamenávání xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx zaznamenává
a) xxxxxxxxxx x odhlášení xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxx provedené administrátory,
c) xxxxxxxx xxxxxxx xx xxxxx přístupových xxxxxxxxx,
x) xxxxxxxxxxx činností x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx a xxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxx x xxxxxxxx xxxxxxxx technických aktiv xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému,
f) automatická xxxxxxx xxxx xxxxxxx xxxxxxx xxxxxxxxxxx aktiv,
g) xxxxxxxx x xxxxxxxx x xxxxxxxxxx, xxxxxx x xxxxxxxxxx xx xxxxxxx x xxxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx pro xxxxxxxxxxxxx xxxxxxxx a
h) xxxxxxx xxxxxxxxxx identifikace a xxxxxxxxxxx včetně změny xxxxx, xxxxx xxxxxx x přihlášení.
(3) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxxx xxxxxxx xx xxxx 3 xxxxxx.
(4) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxxxx xxxxxxx jednou xx 24 xxxxx xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxx xxxxxxxxx do xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
§22
Nástroj xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx vychází xx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx a xxxxx xxxxxxx ověření, xxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxx mezi vnitřní xxxxxxxxxxx sítí a xxxxxx sítí.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx dále používá xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx zajistí ověření, xxxxxxxx a případně xxxxxxxxxxx xxxxxxxxxx
x) v xxxxx xxxxxxx komunikační xxxx x
x) serverů xxxxxxxxx do informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§23
Nástroj xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx xxxxxxx nástroj xxx xxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx x xxxxxxx s xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxxx rizik xxxxxxx
x) xxxxxxxxxxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx pro xxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxx x informačním xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx xxxx é xxxxxxxxxx xxxxxxxxxxxxxx a
c) xxxxxxxxxxx vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxx identifikace xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů, xxxxxx xxxxxxxx varování určených xxxxxxxxxxxxxx xxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a d) xxxxxx xxxx zajistí
a) xxxxxxxxxxx xxxxxxxxxxx nastavení xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxx xxxxxxxx, xxx byly xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxx případy xxxxxxxxx xxxxxxxx, a
b) xxxxxxxxx informací, xxxxx xxxx xxxxxxxxxx xxxxxxxxx xxx xxxx a xxxxxxxxxxx kybernetických bezpečnostních xxxxxxxx, pro optimální xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§24
Aplikační xxxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx xxxxxxx bezpečnostní xxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx přístupné x xxxxxx sítě, x xx xxxx xxxxxx uvedením xx xxxxxxx a xx xxxxx xxxxxxx změně xxxxxxxxxxxxxx mechanismů.
(2) Orgán x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx x xxxxx aplikační xxxxxxxxxxx xxxxxxx xxxxxxx ochranu
a) xxxxxxxx a informací xxxxxxxxxx x vnější xxxx xxxx neoprávněnou xxxxxxxx, popřením provedených xxxxxxxx, kompromitací nebo xxxxxxxxxxxxxxx změnou x
x) xxxxxxxxx před jejich xxxxxxxxxxxx, nesprávným xxxxxxxxxx, xxxxxxxxxxxxxxx změnou xxxxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxx.
§25
Kryptografické xxxxxxxxxx
(1) Orgán x osoba uvedená x §3 xxxx. x) xx x) xxxxxx
x) xxx používání xxxxxxxxxxxxxx xxxxxxx stanoví
1. xxxxxx ochrany x xxxxxxx xx xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx a
2. xxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx xxx přenosu po xxxxxxxxxxxxx sítích xxxx xxx uložení na xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx technické xxxxxx xxx x
x) v xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx prostředky, xxxxx xxxxxxx xxxxxxx xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxx xxx x xxxxxxxxx xxxxxxxxxxxx xxxxx xx xxxxxxxxx xxxxxxxx.
(2) Orgán a xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxx xxxxx, xxxxx zajistí generování, xxxxxxxxxx, xxxxxxxx, archivaci, xxxxx, xxxxxx, xxxxxxxx x audit xxxxx, x
x) xxxxxxx xxxxxx xxxxxxxxxxxxxx algoritmy x xxxxxxxxxxxxxx xxxxx; v xxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxx x příloze č. 3 x xxxx xxxxxxxx řídí xxxxxx spojená x xxxxx xxxxxxxxxx.
§26
Xxxxxxx xxx zajišťování xxxxxx xxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx x xxxxxxx x bezpečnostními xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx nástroj xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx používá xxxxxxx xxx zajišťování xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxx
x) xxxxxxxxxx informačního xxxxxxx kritické informační xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx pro xxxxxxx xxxx řízení kontinuity xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx mohly xxxxxx xxxxxxxxxx, x
x) xxxxxxxxxx xxxxxxxxxx technických xxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury
1. využitím xxxxxxxxxx v návrhu xxxxxx x
2. zajištěním xxxxxxxxxx xxxxxxxxxxx xxxxx x určeném čase.
§27
Bezpečnost xxxxxxxxxxxx x xxxxxxxx xxxxxxx
Xxxxx a xxxxx xxxxxxx v §3 písm. c) x x) xxxxxx xxx bezpečnost průmyslových x xxxxxxxx systémů, xxxxx xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxx xxxxxx xxxxxxxx, xxxxxxx xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx fyzického xxxxxxxx x xxxx x xxxxxxxxx průmyslových a xxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxx x xxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxx,
x) xxxxxxx jednotlivých xxxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxx a
d) obnovení xxxxx průmyslových a xxxxxxxx xxxxxxx po xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu.
XXXXX III
BEZPEČNOSTNÍ XXXXXXXXXXX
§28
Xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) zákona xxxx a xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx
x) bezpečnostní politiku xxxxx §5 odst. 1,
x) xxxxxx x xxxxxx kybernetické xxxxxxxxxxx xxxxx §3 xxxx. 1 xxxx. x),
x) xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx §3 xxxx. 1 xxxx. x),
x) xxxxxxxx pro xxxxxxxxxxxx x hodnocení xxxxx x xxx xxxxxxxxxxxx a hodnocení xxxxx,
x) zprávu o xxxxxxxxx xxxxx a xxxxx,
x) xxxxxxxxxx x xxxxxxxxxxxxxxxx,
x) plán zvládání xxxxx,
x) plán xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 xxxx. a),
i) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. x),
x) strategii xxxxxx xxxxxxxxxx xxxxxxxx xxxxx §14 odst. 1 xxxx. c) a
k) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx a xxxxxxxxx závazků podle §15 odst. 1 xxxx. a).
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) zákona xxxx x aktualizuje xxxxxxxxxxxx xxxxxxxxxxx, která xxxxxxxx
x) xxxxxxxxxxxx politiku podle §5 xxxx. 2,
x) xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx identifikaci x xxxxxxxxx xxxxx xxxxx §4 xxxx. 2 písm. x),
x) xxxxxx x xxxxxxxxx xxxxx x xxxxx xxxxx §4 odst. 2 xxxx. b) x x),
x) xxxxxxxxxx x xxxxxxxxxxxxxxxx xxxxx §4 xxxx. 2 xxxx. x),
x) xxxx xxxxxxxx xxxxx xxxxx §4 xxxx. 2 xxxx. x),
x) plán xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. e),
h) xxxxxxxxx xxxxxx kontinuity xxxxxxxx xxxxx §14 odst. 1 xxxx. x) x
x) xxxxxxx xxxxxxxx xxxxxxxx, vnitřních xxxxxxxx x xxxxxx předpisů x smluvních xxxxxxx xxxxx §15 odst. 1 písm. x).
(3) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx xxx, xxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxx xxxxx, čitelné, xxxxxx xxxxxxxxxxxxxxxxx x xxx xx daly xxxxxx xxxxxxxx. Opatření potřebná x xxxxxxxxxxxx, xxxxxxx, xxxxxxx, xxxxxxxxx, době xxxxxxxxx a uspořádání xxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxx x příloze č. 4 k xxxx xxxxxxxx.
§29
Xxxxxxxxx xxxxxxxxxxx
Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx e) xxxxxx, xxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx informační systém xx xxxxx xxxxxxx xx xxxxxxx xxxxxxx xxxxxx bezpečnosti informací, xxxxx byl xxxxxxxxxxxx xxxxx příslušné xxxxxxxxx xxxxx1) xxxxxxxxxxxxx certifikačním xxxxxxx, x xxxxx xxxx xxxxxxxxx xxxxxxxxxx
x) xxxxx xxxxxxx systému xxxxxx xxxxxxxxxxx informací,
b) xxxxxxxxxx xxxxxxxx x xxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxx x zprávu x hodnocení xxxxx,
x) xxxxxxxxxx x xxxxxxxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací xxxxxxxxx xxxxxxxxx příslušné xxxxxxxxx xxxxx xxxxxxxxxx se xxxxxxxxxxx xxxxxxxxx1),
x) záznam x přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx souvisejících xxxxxx x výstupů xxxxxxxxxxx x
x) zprávu x xxxxxx provedených xxxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxxx neshod s xxxxxxxxxx xxxxxx,
xxxxxxx xxxxxxxxx xx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx x xxxx xxxxxxxx.
XXXX TŘETÍ
KYBERNETICKÝ XXXXXXXXXXXX XXXXXXXX
§30
Xxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Xxxxx xxxxxxx xxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx typů
a) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx xxxxxxxx xxxxxxx x xxxxxxx xx xxxxxxx xxxx k xxxxxxx dostupnosti xxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx škodlivým kódem,
c) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxx překonáním xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx způsobený porušením xxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxx x xxxxxxxx trvale xxxxxxxxxx xxxxxx x
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx kybernetickým xxxxxx.
(2) Xxxxx xxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx rozděleny xx xxxxxxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobující xxxxxxxx xxxxxxxxxx aktiv,
b) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx xxxxxxxx integrity xxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx dopadů xxxxxxxxx x xxxxxxxxx x) až x).
§31
Kategorie xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Pro xxxxxxx xxxxxxxx kybernetických bezpečnostních xxxxxxxxx xx xxxxx xxxxxxxx a negativních xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx do xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - velmi xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx kterém xx xxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx služeb xxxx xxxxx. Xxxx xxxxxx xxxxxxxx neprodlené xxxxxx xxxxxxx x tím, xx xxxx xxx xxxxx dostupnými prostředky xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxxx minimalizace vzniklých x xxxxxxxxxxxxx xxxx.
x) Xxxxxxxxx XX - xxxxxxx kybernetický bezpečnostní xxxxxxxx, xxx kterém xx narušena xxxxxxxxxx xxxxxxxxxxxxx služeb xxxx xxxxx. Jeho xxxxxx xxxxxxxx xxxxxxxxxx zásahy xxxxxxx s xxx, xx musí xxx xxxxxxxx xxxxxxxxxx zabráněno xxxxxxx šíření kybernetického xxxxxxxxx xxxxxx minimalizace xxxxxxxxx xxxx.
x) Kategorie X - méně xxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, při xxxxxx xxxxxxx x xxxx xxxxxxxxxx narušení bezpečnosti xxxxxxxxxxxxx služeb xxxx xxxxx. Jeho xxxxxx xxxxxxxx zásahy obsluhy x xxx, xx xxxx xxx vhodnými xxxxxxxxxx xxxxxxx další xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) až x) xxxxxx při xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xxxxx odstavce 1 xxxxxxxx
x) xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxx významného xxxxxxxxxxxx xxxxxxx,
x) xxxxxx na xxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačními xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxxxx systémy x
x) xxxxxxxxxxxxx škody a xxxxx xxxxxx.
§32
Forma a náležitosti xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx
x) v xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxx
1. elektronického xxxxxxxxx zveřejněného na xxxxxxxxxxxxx stránkách Xxxxx,
2. xxxxxx xx xxxxxx xxxxxxxxxxxx pošty Xxxxx xxxxxx pro xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
3. xxxxxx xxxxxx do xxxxxx xxxxxxxx Úřadu, xxxx
4. xxxxxxxxxxxxxxx určeného xxxxxxxx xxxxxxxx, jehož xxxxx je xxxxxxxxx xx internetových xxxxxxxxx Xxxxx, anebo
b) v xxxxxxxx xxxxxx xx xxxxxx Národního centra xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxx x xxxxxxxx xxxxxx xx xxxxxx xxxxx x xxxxxxxxx, kdy nelze xxxxxx žádný xx xxxxxxx xxxxxxxxx x xxxxxxxx 1 xxxx. x).
(3) Xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxx xxxxxxx x příloze č. 5 x této xxxxxxxx.
ČÁST XXXXXX
XXXXXXXXX XXXXXXXX X XXXXXXXXX XXXXX
§33
Xxxxxxxxx xxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx oznámí xxxxxxxxx reaktivního xxxxxxxx x xxxx xxxxxxxx xx xxxxxxxxx, xxxxx xxxx xx xxxxxx x příloze č. 6 x xxxx vyhlášce.
§34
Xxxxxxxxx xxxxx
Xxxxx x xxxxx uvedená v §3 zákona xxxxxxxx xxxxxxxxx xxxxx xx xxxxxxxxx, xxxxx vzor xx xxxxxx x příloze č. 7 x xxxx xxxxxxxx. Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxxx kontaktní xxxxx xxxxxx xxxxxxxx v §32 xxxx. 1 xxxx. x).
ČÁST XXXX
XXXXXXXX
§35
Xxxx xxxxxxxx xxxxxx účinnosti dnem 1. xxxxx 2015.
Ředitel:
Ing. Xxxxxxxx x. x.
Xxxxxxx č. 1 x xxxxxxxx x. 316/2014 Sb.
Hodnocení a xxxxxx důležitosti xxxxx
Xxx xxxxxxxxx důležitosti xxxxx xxxx použity xxxxxxxx x čtyřech úrovních. Xxxxx xxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxx xxxxxxxx odlišný xxxxx xxxxxx pro xxxxxxxxx xxxxxxxxxxx aktiv, xxx xxxx xx xxxxxx x xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx vazby xxxx jí používaným xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx x xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx xxxx uvedeny x xxxx xxxxxxx.
X xxxxxxx použití xxx xxxxxx hodnocení xxxxxxxxxxx xxxxx je xxxxxxxxx xxxxxxx buď xxxxxx xxxxx x xxxxxxx, xxxx úrovně xxxxxx x kritická.
Stupnice xxx xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxx xxxx xxxxxxx xxxxxxxxx nebo xxxx xxxxxx ke xxxxxxxxxx (xxxx. na xxxxxxx xxxxxx č. 106/1999 Sb., x xxxxxxxxx xxxxxxxx x informacím, xx xxxxx xxxxxxxxxx předpisů). Xxxxxxxx xxxxxxxxxx aktiv xxxxxxxxxx xxxxxxxxx zájmy xxxxxx a osoby xxxxxxx x §3 xxxx. c) xx x) xxxxxx. |
Xxxx vyžadována xxxxx ochrana. |
|
Střední |
Aktiva nejsou xxxxxxx xxxxxxxxx a xxxxx know-how orgánu x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx, xxxxxxx xxxxx xxxx xxxxxxxxxx žádným xxxxxxx předpisem nebo xxxxxxxx xxxxxxxxx. |
Xxx ochranu xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxx xxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx a xxxxxx xxxxxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx xxxx smluvními xxxxxxxxxx (xxxx. xxxxxxxx xxxxxxxxx xxxxx xxxxxx č. 89/2012 Sb., občanský xxxxxxx, xxxxxx xxxxx xxxxx xxxxxx č. 101/2000 Sb., x xxxxxxx xxxxxxxx údajů, xx znění pozdějších xxxxxxxx). |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx prostředky, xxxxx zajistí xxxxxx x zaznamenávání přístupu. Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxx xxxx xxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xxxxxx veřejně xxxxxxxxx x vyžadují xxxxxxxxxxxxx xxxx ochrany xxx xxxxx xxxxxxxxx xxxxxxxxx (xxxx. xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxx xxxxx). |
Xxx ochranu xxxxxxxxxx xx xxxxxxxxxx xxxxxxxx osob, které x aktivům xxxxxxxxxxx, x metody ochrany xxxxxxxxxxx xxxxxxxx xxxxx xx xxxxxx xxxxxxxxxxxxxx. Xxxxxxx informací xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxxxxxxx xxx hodnocení xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx nevyžaduje ochranu x hlediska xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxx oprávněné xxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx. |
Xxxx xxxxxxxxxx xxxxx ochrana. |
|
Střední |
Aktivum může xxxxxxxxx xxxxxxx z xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx aktiva xxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx orgánu x xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona x může xx xxxxxxxx xxxx xxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx (xxxx. omezení xxxxxxxxxxxx práv pro xxxxx). |
|
Xxxxxx |
Xxxxxxx vyžaduje xxxxxxx x xxxxxxxx integrity. Xxxxxxxx integrity xxxxxx xxxx k xxxxxxxxx xxxxxxxxxxx xxxxx orgánu x osoby uvedené x §3 písm. x) xx x) xxxxxx s xxxxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx historii xxxxxxxxxxx xxxx a xxxxxxxxxx xxxxxxxx osoby xxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx informací xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx sítěmi xx xxxxxxxxx pomocí xxxxxxxxxxxxxxxx prostředků. |
|
Kritická |
Aktivum xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx xxxx k xxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona x xxxxxxx a xxxxx xxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx jsou využívány xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (xxxx. xxxxxx xxxxxxxxxxx xxxxxxxxxxx podpisu). |
Stupnice xxx xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva není xxxxxxxx x x xxxxxxx xxxxxxx xx xxxxx xxxxxxxxxx delší xxxxxx období xxx xxxxxxx (xxx xx 1 týdne). |
Pro xxxxxxx xxxxxxxxxxx je xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx xxxx xxxxxxxxxx xxx, xxxxxxxxxxxxx výpadek xxxx k možnému xxxxxxxx zájmů orgánu x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx. |
Xxx ochranu dostupnosti xxxx xxxxxxxxx běžné xxxxxx xxxxxxxxxx x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxx. Xxxxxxxx xxxxxxx xx xxxxx xxxxx xxxxxxxxxx, xxxxxxx xxxx k přímému xxxxxxxx zájmů orgánu x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx. Xxxxxx xxxx xxxxxxxxxx xxxx xxxxx důležitá. |
Pro xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx systémy x xxxxxx poskytování xxxxxx xxxx být xxxxxxxxx xxxxxx obsluhy xxxx xxxxxxx xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx dostupnosti xxxxxx xxxx xxxxxxxxx a x xxxxxxxxxx xxxxxxxxxxxx (x řádu xxxxxxxx xxxxx) vede x xxxxxxx ohrožení zájmů orgánu x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx. Xxxxxx xxxx xxxxxxxxxx xxxx kritická. |
Pro xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx xxxxxxx x obnova xxxxxxxxxxx xxxxxx xx xxxxxxxxxx x xxxxxxxxxxxxxx. |
Příloha x. 2 x vyhlášce x. 316/2014 Xx.
Xxxxxxxxx rizik
Hodnocení xxxxx xx vyjádřeno xxxx xxxxxx, xxxxxx xxxxxxxxx xxxxx, xxxxxx x xxxxxxxxxxxx.
Xxx xxxxxxxxx xxxxx lze použít xxxxxxx xxxx xxxxxx
xxxxxx = xxxxx x xxxxxx x xxxxxxxxxxxx.
Xxxxxxxxxxx xxxxxx funkce pro xxxxxx xxxxxx xx xxxxxxxxx xxxxxxxx metodiky xxx identifikaci x xxxxxxxxx xxxxxx
|
Xxxxxxxx xxx xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxx je x xxxxxxxx časovém xxxxxx a xxxxxx xxxxxxx x nesmí xxx katastrofický. Rozsah xxxxxxxxxx xxxx xxxxxxxxxxx x) 10 xxxxxxxxx xxxx s xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx materiální xxxxxx xx 5 000 000 Xx anebo c) představuje xxxxx xx xxxxxxxxx x rozsáhlým xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx nejvýše 250 xxxx. |
|
Xxxxxxx |
Xxxxx je xxxxxxxxx xxxxxxx x x xxxxxxxx xxxxxxx xxxxxx. Xxxxxx xxxxxxxxxx xxxx xx xxxxxxxx v xxxxxxx x) xx 10 xxxxxxx xxxx xx 11 xx 100 xxxx x následnou xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx xxxx x) finanční xxxx xxxxxxxxxx xxxxxx xx 5&xxxx;000&xxxx;000 Kč do 50&xxxx;000&xxxx;000 Kč xxxxx x) xxxxxxxxxxx dopad xx xxxxxxxxx x rozsáhlým xxxxxxxx xxxxxxxxxx xxxxxx xxxx jiného xxxxxxxxx xxxxxx xx každodenního xxxxxx postihujícího xx 251 xx 2 500 xxxx. |
|
Xxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx, xxx trvalý xxxx xxxxxxxxxxxxx. Xxxxxx případných xxxx xx pohybuje x xxxxxxx x) xx 11 xx 100 xxxxxxx nebo xx 101 xx 1 000 xxxx s xxxxxxxxx hospitalizací po xxxx delší než 24 hodin xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xx 50&xxxx;000&xxxx;000 Xx xx 500 000 000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx x rozsáhlým xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xx 2 501 xx 25&xxxx;000 xxxx. |
|
Xxxxxxxx |
Xxxxx xx plošný rozsahem, xxxxxx a xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xx xxxxxxxx x xxxxxxx x) 10 a xxxx xxxxxxx x 1 001 x více xxxx x xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxxxxxx 500&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx dopad xx xxxxxxxxx s xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx nebo xxxxxx xxxxxxxxx zásahu do xxxxxxxxxxxx života xxxxxxxxxxxxx xxxx než 25&xxxx;000 xxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx xxxx xx málo xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxx xxxxxxxx xxx xxxxxx xx 5 xxx. |
|
Xxxxxxx |
Xxxxxx xx xxxx xxxxxxxxxxxxx xx pravděpodobná. Xxxxxxxxxxxxx xxxxxxxxx hrozby xx x rozpětí xx 1 xxxx xx 5 xxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Předpokládaná xxxxxxxxx xxxxxx xx x xxxxxxx xx 1 xxxxxx xx 1 roku. |
|
Kritická |
Hrozba je xxxxx xxxxxxxxxxxxx xx xxxxxxxx jistá. Xxxxxxxxxxxxx xxxxxxxxx hrozby xx xxxxxxxx xxx jednou xx xxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx xxxx je xxxxxxxx xxxxxxxxxxxxx xxxx pravděpodobné. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxx včas detekovat xxxxx xxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxxxxxx je xxxx xxxxxxxxxxxxx až xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxxxxx je pravidelně xxxxxxxxxxxx. Schopnost bezpečnostních xxxxxxxx včas detekovat xxxxx slabiny nebo xxxxxxxx xxxxxx o xxxxxxxxx xxxxxxxx xx xxxxxxx. Nejsou známé xxxxx úspěšné xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx je pravděpodobná xx velmi xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxx xxxxxx účinnost xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx x xxxx xxxxxxxxxx xxxxxxxxxxxx. Xxxx xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx opatření. |
|
Kritická |
Zranitelnost xx xxxxx pravděpodobná xx xx víceméně xxxxx xxxxxxxx. Bezpečnostní xxxxxxxx xxxxxx xxxxxxxxxxx xxxxx xx xxxxxx xxxxxxxx xxxxxx omezena. Xxxxxxxxx xxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx. Xxxx známé xxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx xx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxx x xxxxxxx xxxxx xxxxxxxxxx opatření xx xxxxxx přijatelné. |
|
Vysoké |
Riziko xx xxxxxxxxxx xxxxxxxxxxx x xxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx nepřípustné a xxxx xxx xxxxxxxxxx xxxxxxxx xxxxx x xxxx odstranění. |
V xxxxxxx, xx xxxxx xxxx xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxxxxx metodu xxx xxxxxxxxxxxx a hodnocení xxxxx, xxxxx xxxxxxxxxxx xxxxxxxxx hrozby x xxxxxxxxxxxxx, xx xxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx a xxxxxxxxxxxxx xxxxxxx. Sloučení stupnic xx nemělo vést xx xxxxxx xxxxxxxxxx xxxxxxxxx míry hrozby x zranitelnosti. Za xxxxx xxxxxx xxx xxxxxx xxxxxxxxx komentář, xxxxx zřetelně xxxxxxx xxx úroveň hrozby, xxx x úroveň xxxxxxxxxxxxx. Obdobně xxxxxxxxx x xxxxx xxxx xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx, xxxxx xxxxxxx xxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxx, xxxxxx, xxxxxxxxxxxxx a xxxxx.
Xxxxxxx č. 3 x vyhlášce x. 316/2014 Sb.
Minimální požadavky xx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxx
x) Xxxxxxx x xxxxxxxx xxxxx xxx xxxxxxx xxxxxxxxxx x xxxxxxxxx
1. Advanced Xxxxxxxxxx Xxxxxxxx (XXX) x xxxxxxxx xxxxx xxxxx 128, 192 x 256 bitů Xxxxxx Xxxx Xxxxxxxxxx Xxxxxxxx (3XXX) x xxxxxxxx délky klíčů 168 bitů, xxxxxxx xxxxxxx jen xx xxxxxxxxx klíče xxxxxx xxx 10 GB, xxxxxxxx přecházet xx XXX.
2. Xxxxxx Xxxx Xxxxxxxxxx Xxxxxxxx (3XXX) x využitím xxxxx xxxxx 112 bitů, xxxxxxx použití jen xx xxxxxxxxx klíče xxxxxx než 10 XX, xxxxxxxx xxxxxxxxx xx XXX. Doporučeno xxxxxxx xxxxxxxxxxx xxxxx xxx xxxxxx xxxxxx.
3. Xxxxxxxx s xxxxxxxx xxxxxxxxx xxxxx xxxxx 128 bitů, omezené xxxxxxx xxx se xxxxxxxxx xxxxx xxxxxx xxx 10 GB.
4. Xxxxxx s využitím xxxxx klíčů 128 xxxx, omezené xxxxxxx xxx se xxxxxxxxx xxxxx xxxxxx než 10 GB.
5. Xxxxxxx x xxxxxxxx xxxxx xxxxx 128 xx 256 xxxx.
6. Xxxxxxx x využitím délky xxxxx 128, 192, 256 bitů.
7. Xxxxxxxx x xxxxxxxx xxxxx xxxxx 128, 192 x 256 xxxx.
8. XXXX 2.0, XXXX 3X x využitím xxxxx klíčů 128, 256 bitů.
b) Módy xxxxxxxxx x xxxxxxxx xxxxxxxxx
1. XXX,
2. XXX,
3. XXX,
4. Složená xxxxxxxx xxxx "Encrypt-then-MAC".
Poznámka:
Schémata xxxx "Xxxxxxx-xxxx-XXX",xxxx používat x xxxxxxxxx pouze uvedené xxxxxxxxx módy a x xxxxxxx XXX xxxxx xxxxxxx xxxx xxx xxxxxxx xxxxxxxxx.
x) Xxxx šifrování
1. XXX,
2. XXX,
3. XXX,
4. XXX,
Xxxxxxxx:
Xxxx XXX a XXX xxxx být xxxxxxx x xxxxxxxx, xxx xxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxxx xxxx OFB xx xxx xxxx xxxx xxxxx opakovat hodnota xxxxxxxxxxxxxxx xxxxxxx, xxx xxxxxxx xxxx XXX xx xxx xxxx xxxx nesmí xxxxxxxx xxxxxxx xxxxxx, v xxxxxxx použití XXX xxxx x xxxxxxxxx xxx ochrany xxxxxxxxx xx xxxxx xxxxxx xxxxxxxx xxxxx xxxxx xx xxxxxxx XXX xxxx.
x) Xxxx pro xxxxxxx xxxxxxxxx
1. XXXX,
2. XXX-XXX-X9.19, omezené xxxxxxx xxx xx zatížením xxxxxx xxx 109 XXX,
3. CBC-MAC-EMAC,
4. CMAC.
(2) Xxxxxxxxxxx xxxxxxxxx
x) Pro xxxxxxxxxxx xxxxxxxxxxx xxxxxxx
1. Xxxxxxx Xxxxxxxxx Algorithm (XXX) s xxxxxxxx xxxxx xxxxx 2048 xxxx x více, xxxxx parametru xxxxxxxx xxxxxxxx 224 xxxx x xxxx.
2. Elliptic Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxxxxx (EC-DSA) s xxxxxxxx xxxxx xxxxx 224 xxxx x xxxx.
3. Xxxxxx-Xxxxxx-Xxxxxxx Xxxxxxxxxxxx Xxxxxxxxx Xxxxxx (XXX-XXX) x využitím xxxxx xxxxx 2048 xxxx x xxxx.
x) Xxx xxxxxxx xxxxx na xxxxx x xxxxxxxxx xxxxx
1. Diffie-Hellman (XX) x xxxxxxxx xxxxx xxxxx 2048 bitů x xxxx, xxxxx xxxxxxxxx cylické xxxxxxxx 224 xxxx a xxxx.
2. Elliptic Curve Xxxxxx-Xxxxxxx (ECDH) x xxxxxxxx délky xxxxx 224 bitů x xxxx.
3. Xxxxxxxx Curve Xxxxxxxxxx Encryption Xxxxxx - Xxx Encapculation Xxxxxxxxx (XXXXX-XXX) s xxxxxxxx xxxxx klíčů 256 bitů x xxxx.
4. Xxxxxxxx Secure Xxxxxxxx Xxxxx - Xxx Encapculation Xxxxxxxxx (XXXX-XXX) x využitím xxxxx xxxxx 256 xxxx xxxx.
5. Xxxxxxxxx Xxxxxxx xxx Xxx Xxxxxxxxxxxxx Xxxxxxxxx (ACE-KEM) x xxxxxxxx délky xxxxx 256 xxxx x xxxx.
6. Xxxxxx Xxxxxx Adleman - Xxxxxxx Xxxxxxxxx Xxxxxxxxxx Xxxxxxx (RSA-OAEP) x xxxxxxxx xxxxx xxxxx 2048 x xxxx.
7. Xxxxxx Shamir Xxxxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (RSA-KEM) x xxxxxxxx délky klíčů 2048 a xxxx.
(3) Xxxxxxxxx hash funkcí
a) XXX-2
1. SHA-224,
2. XXX-256,
3. XXX-384,
4. XXX-512,
5. SHA-512/224,
6. XXX-512/256.
x) XXX-3
1. XXX3-224,
2. XXX3-256,
3. XXX3-384,
4. XXX3-512,
5. XXXXX-128,
6. XXXXX-256.
x) Xxxxxxx xxxxxxxx xxxxxx
1. Xxxxxxxx,
2. XXXXXX-160,
3. XXX 1 x xxxxxxxx xxxxxxxx.
Xxxxxxxx x. 1:
SHA-1 xx xxxxx xxxxxxxx pro xxxxxxxxxx xxxxxx digitálních xxxxxxx, xxxxxxxx razítek, xxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx XXX-1.
Xxxxxxxx x. 2:
XXX-1 lze xxxxxxxx xxxxx xxx xxxxxxxxx xxx existujících xxxxxxxxxxx xxxxxxx x xxxxxxxx razítek, generování x ověřování XXXX-XXX1, xxxxxx xxx odvozování xxxxx x xxxxxxxxxxxxx xxxxxxxxxx.
Xxxxxxx x. 4 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
Xxxx příloha obsahuje xxxxxxxxxx xxxxx bezpečnostní xxxxxxxxxxx. Xxxxxxxxxx struktury xxxxxxxxxxxx xxxxxxxxx zahrnují xxxxxx, xxxxx jednotlivé xxxxxxxxx xxxxx této xxxxxxxx pokrývají, xxxxxxx xxxxxxx xxxxxxxxx dokumentů xxxxxx xxxxxxx a xx xx xxxxxx xxxx xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx, jaký přístup x tvorbě xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx. Xxxxxxxxx xx x xxxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxx xxxx xxxxx xx jednoho xxxxxxxxx.
X. Struktura xxxxxxxxxxxx xxxxxxxx
(1) Xxxxxxxx xxxxxxx xxxxxx bezpečnosti informací*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. a)]
a) Xxxx, xxxxxxxx x xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.
c) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxx x xxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx pro xxxxxxxx xxxxxxxx a xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxxx organizační xxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Určení xxxxxxxxxxxxxx xxxx x xxxxxx xxxx x xxxxxxxxxx,
1. xxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
2. xxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx bezpečnosti,
3. xxxxx a xxxxxxxxxx xxxxxxxx kybernetické xxxxxxxxxxx,
4. xxxxx a xxxxxxxxxx xxxxxxx aktiv,
5. xxxxx x povinnosti výboru xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Požadavky na xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx rolí.
(3) Xxxxxxxx řízení xxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx a principy xxx výběr xxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxx xxxxxxxxxx.
x) Náležitosti xxxxxxx x xxxxxx xxxxxx a xxxxxxx x úrovní xxxxxxxxx xxxxxxxxxxxxxx opatření x x určení xxxxxxxx xxxxxxx xxxxxxxxxxxx.
x) Pravidla xxx provádění kontroly xxxxxxxx xxxxxxxxxxxxxx opatření.
e) Xxxxxxxx xxx hodnocení xxxxxxxxxx.
(4) Politika xxxxxxxxxxx xxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx primárních xxxxx
1. určení x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx garanta,
2. xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx důvěrnosti, xxxxxxxxx x dostupnosti.
b) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x evidence xxxxxxxxxxxx podpůrných xxxxx xxxxxx určení jejich xxxxxxx,
2. určení vazeb xxxx primárními a xxxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx úrovní xxxxx
1. xxxxxxx rozlišování xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx xxx manipulaci x evidenci xxxxx xxxxx xxxxxx aktiv,
3. xxxxxxxxx xxxxxxx používání xxxxx.
x) Xxxxxxx spolehlivého xxxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx dat.
(5) Xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Pravidla xxxxxxx xxxxxxxxxxxxxx povědomí a xxxxxxx xxxx xxxxxxxxx
1. xxxxxxx a xxxxx xxxxxxx xxxxxxxxx,
2. způsoby x xxxxx xxxxxxx xxxxxxx xxxxx,
3. xxxxxxx x formy xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx x xxxxx poučení dalších xxxx xxxxxxxxxxxxx bezpečnostní xxxx.
x) Xxxxxxxxxxxx xxxxxxx xxxxxx zaměstnanců.
c) Xxxxxxxx xxx řešení xxxxxxx xxxxxxxx bezpečnostní xxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxxxxxx vztahu xxxx xxxxx pracovní xxxxxx.
1. vrácení xxxxxxxxx xxxxx x xxxxxxxx xxxx při xxxxxxxx xxxxxxxxxx xxxxxx,
2. změna xxxxxxxxxxxx oprávnění při xxxxx xxxxxxxx pozice.
(6) Xxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Pravomoci x xxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx.
x) Xxxxxxx bezpečného xxxxxxx.
x) Xxxxxxxxx x xxxxxxxxx xxxxxxxxxx provozu.
d) Xxxxxx xxxxxxxxxxx zranitelností.
e) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx.
(7) Xxxxxxxx xxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (xxxx xx know).
b) Požadavky xx řízení xxxxxxxx.
x) Xxxxxxx cyklus xxxxxx xxxxxxxx.
x) Xxxxxx privilegovaných xxxxxxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx situace.
f) Xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx rozdělení xxxxxxxxxxxx uživatelů x xxxxxxxxxxxx xxxxxxxxx.
(8) Politika xxxxxxxxxx chování xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. h)]
a) Xxxxxxxx pro xxxxxxxx xxxxxxxxx x xxxxxx.
x) Xxxxxxxx použití přístupového xxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx x xxxxxxxx xx xxxxxxxx.
x) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx xxxxxxx xx xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx xx xxxxxx x xxxxxxxx xxxxxxxxx.
(9) Xxxxxxxx xxxxxxxxxx a xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxx na xxxxxxxxxx x obnovu.
b) Xxxxxxxx x postupy xxxxxxxxxx.
x) Xxxxxxxx bezpečného xxxxxxx xxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxx.
x) Xxxxxxxx x xxxxxxx testování xxxxxxxxxx x obnovy.
(10) Xxxxxxxx xxxxxxxxxx předávání x xxxxxx xxxxxxxxx**
[§5 xxxx. 1 písm. x)]
x) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx xxxxxxx elektronické xxxxxx xxxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx kryptografické xxxxxxx.
(11) Xxxxxxxx řízení xxxxxxxxxxx xxxxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx xxx xxxxxxx instalace xxxxxxxxxxxx vybavení,
b) Xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) Xxxxxxxx x postupy xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxx oprav xxxxxxxxxxxx vybavení.
(12) Xxxxxxxx xxxxxxxxxx používání xxxxxxxxx xxxxxxxx*
[§5 odst. 1 xxxx. 1)]
a) Pravidla x postupy pro xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx zařízení, xxxxxxx xxxxx x osoba xxxxxxx x §3 xxxx. c) x x) zákona nedisponuje.
(13) Xxxxxxxx xxxxxxxxxxx a xxxxxxxx xxxxxxx programového xxxxxxxx x xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 odst. 2 písm. j)]
a) Xxxxxxxx a postupy xxxxxxxx programového xxxxxxxx x xxxx xxxxxxxx.
x) Xxxxxxxx a postupy xxx xxxxxxxx dodržování xxxxxxxxxx podmínek.
(14) Xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx*
[§5 odst. x xxxx. n)]
a) Xxxxxxxx a xxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxx.
x) Ochrana xxxxxxxxxxxxx xxxxxxxxx a xxxxxxx.
x) Xxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxx.
(15) Xxxxxxxx xxxxxxx xxxxxxxx údajů*
[§5 odst. x xxxx. x), §5 odst. 2 xxxx. k)]
a) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx osobních xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx opatření xxx xxxxxxx xxxxxxxx xxxxx.
x) Xxxxx přijatých x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx pro ochranu xxxxxxxx xxxxx.
(16) Xxxxxxxx xxxxxxx xxxxxxxxxxx**
[§5 xxxx. x xxxx. x)]
x) Xxxxxxxx xxx xxxxxxx xxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx vstupu xxxx.
x) Xxxxxxxx pro xxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxx.
(17) Politika xxxxxxxxxxx komunikační xxxx**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla x xxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxx.
x) Xxxxxx xxxx x xxxxxxxxxx xx bezpečný xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxxx v xxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx ochranu xxxxxxxxxx xxxxxxxx x xxxx.
x) Xxxxxxxx x xxxxxxx xxx monitorování xxxx x vyhodnocování xxxxxxxxxx xxxxxxx.
(18) Xxxxxxxx xxxxxxx před škodlivým xxxxx*
[§5 xxxx. l xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx x xxxxxxx xxx ochranu xxxxxxxxxx xxxx vnitřní x vnější xxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxx.
(19) Politika xxxxxxxx a xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx**
[§5 xxxx. 1 písm. x), §5 odst. 2 písm. x)]
x) Xxxxxxxx x xxxxxxx xxxxxxxx nástroje xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx postupy xxx xxxxxxxxxxxxx a xxxxxxxxx na xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx detekci xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
(20) Xxxxxxxx využití x xxxxxx xxxxxxxx xxx xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx pro xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx pro sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(21) Xxxxxxxx xxxxxxxxxx používání kryptografické xxxxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxx x ohledem xx xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxx informací
1. xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx,
2. xxx xxxxxxx na mobilní xxxxxxxx nebo xxxxxxxxxxx xxxxxxxxx xxxxx dat,
c) Xxxxxx xxxxxx xxxxx.
XX. Xxxxxxxxx další xxxxxxxxxxx
(1) Xxxxxx z xxxxxx xxxxxxxxxxxx xxxxxxxxxxx**
[§28 xxxx. 1 xxxx. b)]
a) Xxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx auditu xxxxxxxxxxxx bezpečnosti.
c) Kritéria xxxxxx xxxxxxxxxxxx bezpečnosti.
d) Xxxxxxxxxxxxxx xxxx xxxxxxxx x osob, xxxxx xx xxxxxx kybernetické xxxxxxxxxxx xxxxxxxxxx.
x) Datum x xxxxx, kde xxxx xxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Zjištění z xxxxxx xxxxxxxxxxxx bezpečnosti.
g) Xxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
(2) Zpráva x xxxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 xxxx. x)]
x) Xxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) Xxxxxxxxxxxx xxxx x xxxxxxxxx, xxxxx xxxxx xxx xxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx vazba x výkonnosti xxxxxx xxxxxxxxxxx xxxxxxxxx
1. neshody x nápravná xxxxxxxx,
2. xxxxxxxx xxxxxxxxxxxx x xxxxxx,
3. xxxxxxxx auditu,
4. xxxxxxxx xxxx xxxxxxxxxxx,
x) Xxxxxxxx hodnocení rizik x stav plánu xxxxxxxx xxxxx.
x) Xxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx xxxxxxxx x xxxx xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
(3) Xxxxxxxx xxx identifikaci x hodnocení xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx rizik*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx stupnice xxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxxxxxx xxxxx,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx dostupnosti aktiv.
b) Xxxxxx xxxxxxxx xxx xxxxxxxxx rizik
1. určení xxxxxxxx pro xxxxxxxxx xxxxxx dopadu,
2. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxxx,
3. určení xxxxxxxx pro hodnocení xxxxxx xxxxxxxxxxxxx,
4. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxx,
x) Xxxxxx x přístupy xxx xxxxxxxx rizik.
b) Xxxxxxx xxxxxxxxxxx přijatelných rizik.
(4) Xxxxxx o xxxxxxxxx xxxxx x rizik**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. x)]
x) Xxxxxxx primárních xxxxx
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx aktiv,
2. xxxxxx xxxxxxx primárních xxxxx,
3. xxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti.
b) Xxxxxxx podpůrných xxxxx (xxxxxxx xxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) xxxxxx)
1. xxxxxxxxxxxx x popis xxxxxxxxxx xxxxx,
2. určení xxxxxxx xxxxxxxxxx aktiv,
3. xxxxxx xxxxx mezi xxxxxxxxxx x xxxxxxxxxx xxxxxx,
x) Xxxxxxxxxxxxxx x xxxxxxxxx xxxxx
1. posouzení možných xxxxxx xx xxxxxx,
2. xxxxxxxxx existujících xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx xxxxxxxxxxxx opatření,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx xxxx xxxxxx x kritérii xxx xxxxxxxxxxxx xxxxx,
5. určení x xxxxxxxxx přijatelných xxxxx.
x) Xxxxxxxx rizik
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. xxxxx xxxxxxxx x xxxxxx realizace.
(5) Xxxxxxxxxx x xxxxxxxxxxxxxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. d)]
a) Xxxxxxx vybraných xxxxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxx xxxxxx x xxxxxx xxxxx na xxxxxxxxxxxxxx xxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(6) Xxxx zvládání xxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx a xxxx xxxxxxxxx xxxxxxxxxxxxxx opatření xxx zvládání rizik.
b) Xxxxxxxx zdroje xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
c) Xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx opatření xxx xxxxxxxx rizik.
d) Xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx zvládání xxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx jednotlivých xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
(7) Xxxx xxxxxxx bezpečnostního xxxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx a xxxxxxx xxxxxxx xxxxxxxxx.
x) Xxxxx x xxxxxxx poučení xxxxxxx aktiv (xxxxxxx xxx xxxxxx x xxxxx uvedené x §3 xxxx. x) xxxxxx).
x) Xxxxx a xxxxxxx xxxxxxx xxxxxxxxxxxxxx (xxxxxxx xxx orgány x xxxxx xxxxxxx x §3 písm. x) xxxxxx).
x) Obsah x xxxxxxx poučení xxxxxxx osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Formy x způsoby xxxxxxxxx xxxxx.
(8) Xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx**
[§28 odst. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Definování xxxxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla a xxxxxxx pro evidenci x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů x xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(9) Xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxx xxxxxx xxxxxxxxxx xxxxxxxx
1. xxxxxxxxx xxxxxx poskytovaných xxxxxx,
2. xxxx xxxxxxxx xxxxx,
3. xxx obnovení xxxxx.
x) Strategie řízení xxxxxxxxxx činností xxx xxxxxxxx xxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostních incidentů xx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxx xxxxx.
x) Xxxxxx x xxxxx xxxxxxxxxx xxxxx xxxxxxxxxx.
x) Xxxxxxx xxx realizaci xxxxxxxx xxxxxxxx Národním xxxxxxxxxxxxx xxxxxx.
(10) Xxxxxxx xxxxxx závazných xxxxxxxx xxxxxxxx, vnitřních xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxx x xxxxxx předpisů.
c) Xxxxxxx xxxxxxxxx xxxxxxx.
Xxxxxxxx:
* Xxxxxxxxx xxxxxxxxx dokumentu je xx úrovni střední xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx x úroveň xxxxx.
** Xxxxxxxxx xxxxxxxxx xxxxxxxxx xx na úrovni xxxxxx podle xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx a xxxxxx xxxxx.
Xxxxxxx x. 5 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxx hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx x. 6 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxx oznámení x xxxxxxxxx xxxxxxxxxxx xxxxxxxx x jeho xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx x. 7 x vyhlášce č. 316/2014 Xx.
Xxxxxxxx pro xxxxxxx xxxxxxxxxxx údajů
Vyplnitelný formulář ve formátu PDF
Xxxxxxxxx
Xxxxxx předpis x. 316/2014 Xx. nabyl xxxxxxxxx xxxx 1.1.2015.
Xx xxx uzávěrky xxxxxx xxxxxxx nebyl xxxxx xx xxxxxxxxx.
Xxxxxx xxxxxxx x. 316/2014 Xx. xxx xxxxxx právním xxxxxxxxx č. 82/2018 Sb. s xxxxxxxxx od 28.5.2018.
Xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx není xxxxxxxxxxxxx, pokud xx xxxx netýká xxxxxxxxx xxxxx xxxxx uvedeného xxxxxxxx předpisu.
1) ISO/IEC 27001:2013, xxxxxxxx ČSN XXX/XXX 27001:2014