Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
XXXXXXXX
xx xxx 15. xxxxxxxx 2014
x xxxxxxxxxxxxxx xxxxxxxxxx, kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx, reaktivních xxxxxxxxxx x x xxxxxxxxx xxxxxxxxxxx podání v xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx o kybernetické xxxxxxxxxxx)
Xxxxxxx xxxxxxxxxxxx úřad xxxxxxx xxxxx §28 xxxx. 2 xxxxxx x. 181/2014 Xx., x kybernetické bezpečnosti x x změně xxxxxxxxxxxxx xxxxxx (xxxxx x kybernetické xxxxxxxxxxx), (xxxx jen "zákon") x xxxxxxxxx §6 xxxx. a) až x), §8 xxxx. 4, §13 xxxx. 4 x §16 xxxx. 6 zákona.
ČÁST XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxxx xxxxxxxxx xx xxxxxxx obsah a xxxxxxxxx xxxxxxxxxxxx dokumentace xxx informační systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx systém, xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxx jejich xxxxxxxx, xxxx x kategorie xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxxxxxxx x způsob xxxxxxx kybernetického bezpečnostního xxxxxxxxx, náležitosti oznámení x xxxxxxxxx xxxxxxxxxxx xxxxxxxx x jeho xxxxxxxx a vzor xxxxxxxx xxxxxxxxxxx údajů x xxxx formu.
§2
Xxxxxxxx pojmů
V xxxx xxxxxxxx xx xxxxxx
x) xxxxxxxx řízení bezpečnosti xxxxxxxxx xxxx systému xxxxxx xxxxxx x xxxxx uvedené v §3 xxxx. x) xx e) zákona xxxxxxxx xx přístupu x xxxxxxx xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx stanoví xxxxxx ustavení, zavádění, xxxxxx, xxxxxxxxxxxx, přezkoumání, xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxxx informace xxxx xxxxxx, kterou zpracovává xxxx xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx významný informační xxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xx na xxxxxxx, xxxxxxx, správě nebo xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxx xxxxxxx technické xxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx, ve xxxxxxx xxxx xxxx systémy xxxxxxxx,
x) rizikem xxxxxxx, xx xxxxxx hrozba xxxxxxx zranitelnosti informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x způsobí xxxxxxxxx xxxxxx,
x) hodnocením xxxxx xxxxxx, xxx xxxx je xxxxxxxx xxxxxxxxxx xxxxx x xxxxxx xxxxxxxxxx úroveň,
h) xxxxxxx rizik činnost xxxxxxxxxx hodnocení xxxxx, xxxxx x xxxxxxxx xxxxxxxx xx xxxxxxxx xxxxx, xxxxxxx informací x xxxxxx a xxxxxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxx kybernetického xxxxxxxxxxxxxx incidentu, xxxxxx xxxxxxxxx xxxx xxx xxxxxxxxx xxxxxx,
x) zranitelností xxxxx xxxxx xxxxxx xxxx bezpečnostního opatření, xxxxx může xxx xxxxxxxx xxxxxx xxxx xxxx hrozbami,
k) přijatelným xxxxxxx xxxxxx xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx xxxxxxxx kritériím pro xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxx soubor zásad x xxxxxxxx, xxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxx orgánem x osobou xxxxxxxx x §3 xxxx. x) xx e) xxxxxx,
x) xxxxxxxx xxxxxx xxxxxxx xxxxx xxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxx v §3 xxxx. x) xx x) zákona x xxxxxxxxx rozvoje, použití x xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxx xxxxx xxxxxxx xxxx, xxxxx xxxxxxx primární xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxx xxxxx xxxxxxxx xxxxxxxx xxxxxx zajišťující xxxxxx, xxxxxx, xxxxxxx, xxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxx.
XXXX XXXXX
XXXXXXXXXXXX OPATŘENÍ
HLAVA X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx řízení xxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx x rámci xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx s xxxxxxx xx xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xx kterém xxxx, xxxxxxx xxxxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxx xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx,
x) xxxx rizika xxxxx §4 odst. 1,
x) xxxxxxx a xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx hlavní xxxxxx, cíle, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx xx xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxx a xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx hodnocení xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §5 x zavede xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx vhodnost a xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx §5,
x) zajistí xxxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx xxxxx §15, x to xxxxxxx xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxx, xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx a xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx na systém xxxxxx xxxxxxxxxxx xxxxxxxxx, x to xxxxxxx xxxxxx ročně,
h) aktualizuje xxxxxx xxxxxx bezpečnosti xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx xx základě xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, výsledků vyhodnocení xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x x xxxxxxxxxxx x xxxxxxxxxxx nebo plánovanými xxxxxxx x
x) řídí xxxxxx x xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxx xxxxxxx xx xxxxxxxx xxxxxx bezpečnosti xxxxxxxxx x xxxxxxx rizik.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx x xxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxx rizika xxxxx §4 odst. 2,
b) xxxxxxx a xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx systému xxxxxx xxxxxxxxxxx informací, která xxxxxxxx xxxxxx zásady, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x povinnosti xx xxxxxx k xxxxxx bezpečnosti xxxxxxxxx x na xxxxxxx xxxxxxxxxxxxxx potřeb x xxxxxxxx xxxxxxxxx rizik xxxxxxx xxxxxxxxxxxx politiku x dalších xxxxxxxxx xxxxx §5, x xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx a
c) xxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxxx xxxxx x xxxxx, bezpečnostní politiky, xxxxx zvládání xxxxx x xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx, a xx xxxxxxx jednou xx xxx xxxx xxxx v xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx.
§4
Xxxxxx rizik
(1) Orgán x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx x xxxxx xxxxxx rizik
a) stanoví xxxxxxxx pro xxxxxxxxxxxx x hodnocení xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx kritérií xxx xxxxxxxxxxxx rizik,
b) xxxxxxxxxxxx a hodnotí xxxxxxxxxx xxxxx, xxxxx xxxxx xx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx §8 x rozsahu přílohy č. 1 x xxxx xxxxxxxx x xxxxxxx zapracuje xx zprávy x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxxxxxx rizika, xxx kterých zohlední xxxxxx x xxxxxxxxxxxxx, xxxxxxx xxxxx xxxxxx xx aktiva, hodnotí xxxx rizika minimálně x xxxxxxx podle přílohy č. 2 x xxxx xxxxxxxx, určí x xxxxxxx xxxxxxxxxx rizika x zpracuje xxxxxx x xxxxxxxxx xxxxx x rizik,
d) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x výsledků xxxxxxxxx xxxxx prohlášení x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx x zavedených bezpečnostních xxxxxxxx,
x) zpracuje x xxxxxx xxxx xxxxxxxx xxxxx, xxxxx xxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx, xxxxxx xxxxx xxxxxxxxxxx prosazování xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx, potřebné xxxxxxxx, xxxxxxxxx, xxxxxx x informační xxxxxx, xxxxxx jejich xxxxxxxx x xxxxx xxxxx xxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx opatřeními x
x) xxxxxxxx xxx xxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxx xxxxxx Xxxxxxxx bezpečnostním xxxxxx (dále xxx "Xxxx") x hodnocení xxxxx a v xxxxxxx, xx xxxxxxxxx xxxxx aktualizované x xxxx xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx reaktivního xxxx ochranného xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx xxx přijatelnost rizik, xxxxxx xxxx xxxxxxxx xxxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xxxxxx x rámci xxxxxx xxxxx
x) xxxxxxx xxxxxxxx pro xxxxxxxxxxxx x hodnocení xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxxx stanovení xxxxxxxx xxx přijatelnost rizik,
b) xxxxxxxxxxxx x hodnotí xxxxxxxxxx xxxxxxxxxx xxxxx, xxxxx patří xx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx §8 minimálně x xxxxxxx přílohy č. 1 x xxxx xxxxxxxx a xxxxxxx xxxxxxxxx do xxxxxx x xxxxxxxxx xxxxx x rizik,
c) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxxxxx, xxxxxxx xxxxx dopady na xxxxxxxx xxxxxx, hodnotí xxxx rizika xxxxxxxxx x rozsahu podle přílohy č. 2 k xxxx xxxxxxxx a zpracuje xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxx na xxxxxxx xxxxxxxxxxxxxx potřeb a xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx x aplikovatelnosti, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx opatření,
e) xxxxxxxx x zavede xxxx xxxxxxxx xxxxx, xxxxx xxxxxxxx xxxx a xxxxxxx xxxxxxxxxxxxxx opatření xxx zvládání xxxxx, xxxxxx osoby zajišťující xxxxxxxxxxx xxxxxxxxxxxxxx opatření xxx zvládání xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxxx xxxxxx xxxxxxxx x popis xxxxx xxxx identifikovanými xxxxxx x příslušnými xxxxxxxxxxxxxx xxxxxxxxxx a
f) xxxxxxxx bez xxxxxxxxxx xxxxxxx reaktivní x xxxxxxxx xxxxxxxx vydaná Xxxxxx x xxxxxxxxx xxxxx x v xxxxxxx, xx xxxxxxxxx xxxxx xxxxxxxxxxxxx o xxxx xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx ochranného xxxxxxxx xxxxxxxx stanovená xxxxxxxx xxx xxxxxxxxxxxx xxxxx, xxxxxx plán zvládání xxxxx.
(3) Xxxxxx rizik xxxx xxx zajištěno x jinými xxxxxxx, xxx xxx je xxxxxxxxx x odstavcích 1 a 2, xxxxx orgán x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxxxxxxxx, že xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxxxx úroveň xxxxxx xxxxx.
(4) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxx xxxxxxxxx xxxxx zvažuje zejména xxxx hrozby
a) porušení xxxxxxxxxxxx xxxxxxxx, provedení xxxxxxxxxxxxx xxxxxxxx, zneužití xxxxxxxxx ze xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx programového xxxxxxxx,
x) xxxxxxxx xxxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxxx vybavení x xxxxxxx x xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx xxxx x xxxxxxxxxxx sítě,
f) xxxxxxxx kód (například xxxx, spyware, xxxxxxx xxxx),
x) xxxxxxxxxx xxx xxxxxxxxxxx služeb xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxxxx,
x) přerušení poskytování xxxxxx elektronických xxxxxxxxxx xxxx dodávek xxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxx xxxxxxxx xxxxxx x
x) odcizení nebo xxxxxxxxx xxxxxx.
(5) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx při xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx
x) nedostatečná xxxxxxx xxxxxxxx perimetru,
b) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx nastavení xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx xxx identifikování x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx,
x) xxxxxxxxxxxx monitorování činnosti xxxxxxxxx a administrátorů x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxx nebo xxxxxxx xxxxxxx chování x
x) nedostatečné xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxx nejednoznačné vymezení xxxx a xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx.
(6) Xxxxx x osoba uvedená x §3 xxxx. x) x x) xxxxxx při xxxxxxxxx xxxxx xxxx xxxxxxx xxxx hrozby
a) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, provedení xxxxxxxxxxxxx xxxxxxxx, zneužití xxxxxxxxx ze xxxxxx xxxxxxxxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) pochybení xx xxxxxx xxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx komunikací, xxxxxxx xxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxxxxx zaměstnanců x xxxxxxxxx xxxxxxxx xxxxxx,
x) cílený xxxxxxxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxx x
x) xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx nosičů xxx.
(7) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxx hodnocení xxxxx xxxx xxxxxxx tyto xxxxxxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx,
x) nevhodná xxxxxxxxxxxx xxxxxxxxxxxx,
x) xxxxxxxxxxxx míra xxxxxxxxx xxxxxxxx a
d) xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxxx.
§5
Xxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxxxxx bezpečnostní xxxxxxxx x xxxxxxxxx
x) xxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxx,
x) xxxxxx vztahů s xxxxxxxxxx,
x) xxxxxxxxxxx aktiv,
e) xxxxxxxxxx lidských xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxxx,
x) řízení přístupu,
h) xxxxxxxx xxxxxxx uživatelů,
i) xxxxxxxxxx a xxxxxx,
x) xxxxxxxx předávání x xxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx zranitelností,
l) bezpečné xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx a nabývání xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx,
x) dlouhodobé xxxxxxxx x xxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx,
x) xxxxxxx bezpečnost,
q) xxxxxxxxxx xxxxxxxxxxx sítě,
r) xxxxxxx xxxx xxxxxxxxx xxxxx,
x) xxxxxxxx x xxxxxxxxx nástroje pro xxxxxxx kybernetických bezpečnostních xxxxxxxx,
x) xxxxxxx x xxxxxx xxxxxxxx xxx xxxx x vyhodnocení xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x
x) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(2) Orgán a xxxxx uvedená x §3 písm. x) xxxxxx stanoví xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx bezpečnost,
c) xxxxxx xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxx,
x) řízení provozu x xxxxxxxxxx,
x) řízení xxxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x xxxxxx,
x) xxxxxxxxxxx x xxxxxxxx xxxxxxx programového xxxxxxxx x xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx,
x) xxxxxxxxx kryptografické xxxxxxx,
x) xxxxxxx xxxx xxxxxxxxx xxxxx x
x) xxxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx ji.
§6
Organizační xxxxxxxxxx
(1) Xxxxx x osoba uvedená x §3 písm. x) xx x) xxxxxx xxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, x xxxxx které xxxx xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x bezpečnostní role x jejich práva x xxxxxxxxxx související x xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx informačním xxxxxxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) a x) zákona xxxx xxxxxxxxxxxx role
a) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxx xxxxxx xxxxx §2 xxxx. x).
(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xxxx xxxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxx 2.
(4) Xxxxxxx kybernetické xxxxxxxxxxx xx xxxxx, xxxxxxxxx xx systém xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xx pro tuto xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx způsobilost xxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxx xxxxxxx xxx xxx.
(5) Architekt xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx opatření, xxxxx je xxx xxxx xxxxxxx xxxxxxxxx x prokáže odbornou xxxxxxxxxxx xxxxx x xxxxxxxxxxx bezpečnostní architektury xx xxxx nejméně xxx xxx.
(6) Auditor xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xx xxx xxxx xxxxxxx vyškolena a xxxxxxx odbornou xxxxxxxxxxx xxxxx s xxxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti xx dobu nejméně xxx xxx. Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx vykonává xxxxx roli nestranně x výkon xxxx xxxx xx xxxxxxx xx xxxxxx xxxx xxxxxxxxx x xxxxxxxx 2 písm. x), x) nebo x).
(7) Xxxxx pro řízení xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx, xxxxx jsou xxxxxxxx celkovým řízením x rozvojem xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx informačního xxxxxxx, anebo xx xxxxxxxx xxxxxxxx na xxxxxx a koordinaci xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx těchto xxxxxxx.
(8) Xxxxx a xxxxx uvedená x §3 xxxx. x) xx x) zákona xxxxxxx xxxxxxx xxxxxxx xxxx, xxxxx xxxxxxxxx xxxxxxxxxxxx xxxx v xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 písm. b).
§7
Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxx xxxxxxxx xxx xxxxxxxxxx, xxxxx xxxxxxxxxx potřeby xxxxxx xxxxxxxxxxx xxxxxxxxx, x xxxxxxxx je x xxxxxxxxxx xxxx xxxxxx xxxx, které se xxxxxxxx xx xxxxxxx, xxxxxxx xxxx zajištění xxxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xxxxxx xxxxxxxx xxxxxxxxxx xx xxxxxxx, provozu xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx a xxxxx uvedená x §3 xxxx. c) xx x) xxxxxx xxxxxxxx, xxxxx xxxxxxxx xx ustanovení x xxxxxxxxxxx xxxxxxxxx.
(2) Orgán x xxxxx uvedená x §3 písm. x) a x) xxxxxx x xxxxxxxxxx xxxxxxxxx x xxxxxxxx 1 dále
a) před xxxxxxxxx xxxxxxx provádí xxxxxxxxx rizik xxxxx přílohy č. 2 k xxxx xxxxxxxx, xxxxx jsou xxxxxxx x podstatnými xxxxxxxxx,
x) uzavírá xxxxxxx x xxxxxx služeb, xxxxx xxxxxxx xxxxxxx x xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx a xxxx xxxxx xxxxxxxx xxxxxxx odpovědnosti xx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, a
c) xxxxxxx pravidelné xxxxxxxxx xxxxx a pravidelnou xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx u xxxxxxxxxxxxx xxxxxx x zjištěné xxxxxxxxxx odstraňuje xxxx xx xxxxxx x xxxxxxxxxxx xxxxxxx jejich xxxxxxxxxx.
§8
Řízení xxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx x rámci xxxxxx aktiv
a) xxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxx,
x) xxxx xxxxxxx xxxxx, kteří xxxx xxxxxxxxx xx xxxxxxxx xxxxxx, x
x) xxxxxxx xxxxxxxxxx primárních aktiv x xxxxxxxx xxxxxxxxxx, xxxxxxxxx a dostupnosti x zařadí je xx xxxxxxxxxxxx xxxxxx xxxxxxxxx v rozsahu xxxxx přílohy č. 1 x xxxx xxxxxxxx.
(2) Při xxxxxxxxx xxxxxxxxxxx primárních xxxxx xx xxxxx xxxxxxxxx xxxxxxxx
x) xxxxxx x důležitost xxxxxxxx xxxxx nebo obchodního xxxxxxxxx,
x) xxxxxx dotčených xxxxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxx,
x) rozsah xxxxxxxx vnitřních řídících x xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx veřejných, obchodních xxxx ekonomických xxxxx,
x) xxxxx xxxxxxxx ztráty,
f) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) zákona,
g) xxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxx, integrity x xxxxxxxxxxx a
h) xxxxxx na xxxxxxxxx xxxxxxx jména nebo xxxxxxx dobré xxxxxxx.
(3) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxxxxxxx x eviduje xxxxxxxx xxxxxx,
x) xxxx xxxxxxx xxxxx, kteří xxxx xxxxxxxxx za xxxxxxxx xxxxxx, a
c) xxxx xxxxx xxxx xxxxxxxxxx a xxxxxxxxxx xxxxxx a hodnotí xxxxxxxx závislostí xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.
(4) Xxxxx x xxxxx uvedená v §3 xxxx. x) xx x) xxxxxx xxxx
x) xxxxxxx pravidla xxxxxxx, nutná xxx xxxxxxxxxxx jednotlivých xxxxxx xxxxx tím, že
1. xxxx způsoby rozlišování xxxxxxxxxxxx xxxxxx aktiv,
2. xxxxxxx xxxxxxxx pro xxxxxxxxxx x xxxxxxxx x aktivy podle xxxxxx xxxxx, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxx aktiv x
3. xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx,
x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx úrovni xxxxx x
x) určí způsoby xxx spolehlivé smazání xxxx xxxxxx xxxxxxxxxxx xxxxxx dat x xxxxxxx na xxxxxx xxxxx.
§9
Bezpečnost lidských zdrojů
(1) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx x xxxxx xxxxxx xxxxxxxxxxx xxxxxxxx zdrojů
a) xxxxxxx xxxx xxxxxxx bezpečnostního xxxxxxxx, xxxxx xxxxxxxx xxxxx, xxxxx a xxxxxx potřebných xxxxxxx x určí xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx x xxxxx xxxxxxx,
x) x xxxxxxx s xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx poučení xxxxxxxxx, xxxxxxxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx xxxx o xxxxxx xxxxxxxxxxxx x o xxxxxxxxxxxx politice xxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) zajistí kontrolu xxxxxxxxxx bezpečnostní xxxxxxxx xx xxxxxx uživatelů, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) xxxxxxx xxxxxxx xxxxxxxxx xxxxx a xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxx, xxxxxxxxxxxxxx nebo xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Xxxxx a osoba xxxxxxx x §3 xxxx. x) xx x) zákona vede x xxxxxxx podle xxxxxxxx 1 xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxx a xxxxxx xxxx, xxxxx školení xxxxxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x d) xxxxxx xxxx
x) xxxxxxx pravidla xxx xxxxxx xxxx, xxxxx budou zastávat xxxxxxxxxxxx role, role xxxxxxxxxxxxxx xxxx uživatelů,
b) xxxxxxx účinnost xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxxxxx školení x xxxxxxx xxxxxxxx spojených x prohlubováním xxxxxxxxxxxxxx xxxxxxxx,
x) xxxx xxxxxxxx x xxxxxxx pro xxxxxx případů porušení xxxxxxxxxxx xxxxxxxxxxxxxx pravidel xx xxxxxx uživatelů, xxxxxxxxxxxxxx a osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) xxxxxxx změnu xxxxxxxxxxxx oprávnění xxx xxxxx xxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
§10
Řízení xxxxxxx x xxxxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxx xxxxxx xxxxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx v §21 xx 23 xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxx a xx xxxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxx x §13.
(2) Orgán x xxxxx uvedená v §3 xxxx. x) xx e) xxxxxx x xxxxx řízení xxxxxxx x xxxxxxxxxx xxxx zajišťuje bezpečný xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačního xxxxxxx. Xx tímto xxxxxx xxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx.
(3) Provozní xxxxxxxx x xxxxxxx xxxxxx a osoby xxxxxxx x §3 xxxx. x) x x) xxxxxx obsahují
a) xxxxx x xxxxxxxxxx xxxx zastávajících xxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx x xxxxxxxxx,
x) xxxxxxx xxx xxxxxxxx x ukončení xxxxx xxxxxxx, xxx xxxxxxx xxxx xxxxxxxx xxxxx xxxxxxx xx xxxxxxx x xxx xxxxxxxx chybových stavů xxxx mimořádných jevů,
c) xxxxxxx pro sledování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x pro xxxxxxx xxxxxxxx k záznamům x těchto činnostech,
d) xxxxxxx na xxxxxxxxx xxxxx, které jsou xxxxxx xxxx xxxxxxx xxx xxxxxx neočekávaných xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx,
x) postupy xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxx x
x) xxxxxxx xxx sledování, xxxxxxxxx x řízení xxxxxxxx xxxxxxxx a xxxxxxxxxxx xxxxxx.
(4) Řízení provozu xxxxxx x xxxxx xxxxxxx v §3 xxxx. c) xx x) zákona spočívá x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x prověřování xxxxxxxxxxxxx provedených xxxxx.
(5) Xxxxxx provozu xxxxxx x osoby xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxx x
x) xxxxxxxxx xxxxxxxx vývojového, xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx xxx, xx xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx
1. xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx opatření xx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikační systém xxxxxxxx xxxxxxxxxx infrastruktury x na xxxxxxxx xxxxxxxxxxxx xxxxxxxx, vyhodnotí xxxxx negativní účinky x bez xxxxxxxxxx xxxxxxx je xxxxxx Xxxxx x
2. xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, který xxxxxxxxxxxx možné negativní xxxxxx, x xxxx xxxxxx xxxx jeho xxxxxxxxx.
(6) Xxxxx x xxxxx xxxxxxx v §3 písm. x) x d) xxxxxx x xxxxx řízení xxxxxxxxxx
x) xxxxxxxxx xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx xxxx x xxxxxxxxxx xxxxxxxxxxxxx služeb xxxxx §17,
x) xxxx pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxx, xxxxx xxxx přenášeny xxxxxxxxxxxxx xxxxxx,
x) xxxxxxx výměnu x xxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxx xxxxxxxx dokumentuje x
x) s xxxxxxx xx xxxxxxxxxxx aktiv xxxxxxx výměnu x xxxxxxxxx informací na xxxxxxx xxxxxxxxx smluv, xxxxxxx xxxxxxxx xx xxxxxxxxxx x bezpečnosti xxxxxxxxx.
§11
Xxxxxx xxxxxxxx x xxxxxxxx chování xxxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xx xxxxxxx xxxxxxxxxx a xxxxxxxxxxxxxx xxxxxx řídí xxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačnímu xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx informačnímu xxxxxxx x xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx.
(2) Orgán a xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxxx opatření, která xxxxxx k xxxxxxxxx xxxxxxx xxxxx, které xxxx xxxxxxxxx xxx xxxxxxxxxx uživatelů x xxxxxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému xxxxx §18 a 19, a xxxxx xxxxx xx zneužití xxxxxx údajů xxxxxxxxxxxx xxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx xxxx x xxxxx xxxxxx přístupu
a) přidělí xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxx přidělování xxxxxxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx x xxxxxxxxx řízení xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx nastavení xxxxxxxxxxxx xxxxxxxxx xxxxxx rozdělení xxxxxxxxxxxx uživatelů v xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxx,
x) xxxxxxx nástroj xxx ověřování xxxxxxxx xxxxxxxxx xxxxx §18 x xxxxxxx xxx xxxxxx přístupových oprávnění xxxxx §19 x
x) xxxxxx bezpečnostní xxxxxxxx xxxxxxxx pro xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxx orgán x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxxxxxxxxxx.
§12
Akvizice, xxxxx x xxxxxx
(1) Orgán a xxxxx uvedená x §3 xxxx. x) xx x) zákona xxxxxxx bezpečnostní požadavky xx změny xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx spojené x xxxxxx xxxxxxxx, xxxxxxx x údržbou x xxxxxx xx xx xxxxxxxx akvizice, xxxxxx x údržby systému.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx dále
a) xxxxxxxxxxxx, xxxxxxx a xxxx rizika xxxxxxxxxxx x akvizicí, xxxxxxx x xxxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx; xxx xxxxxxx xxxxxxxxx x xxxxxx xxxxx xx xxxxxxxx xxxxx §4 xxxx. 1 xxxx. x) xxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx dat x
x) xxxxxxx bezpečnostní xxxxxxxxx změn informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo komunikačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx před xxxxxx xxxxxxxxx xx provozu.
§13
Zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a incidentů
Orgán x osoba uvedená x §3 xxxx. x) xx x) xxxxxx xxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx, xxxxx xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx u informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xx xxxxxx xxxxxxxxx, administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x x xxxxxxxxxx xxxx xxxxxxx,
x) xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxxxx bezpečnostních xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx §21 xx 23, xxxxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx incidenty,
c) xxxxxxx klasifikaci xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů, přijímá xxxxxxxx xxx xxxxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx, xxxxxxx xxxxxxx kybernetického xxxxxxxxxxxxxx incidentu podle §32 a zajistí xxxx věrohodných xxxxxxxx xxxxxxxxxx pro analýzu xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx a xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a na xxxxxxx xxxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx x zamezení xxxxxxxxx xxxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx a
e) dokumentuje xxxxxxxx kybernetických bezpečnostních xxxxxxxxx.
§14
Xxxxxx xxxxxxxxxx činností
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx v xxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxxx
x) xxxxx x xxxxxxxxxx garantů xxxxx, administrátorů a xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) xxxx xxxxxx xxxxxxxxxx činností xxxxxx xxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx služeb, xxxxx xx xxxxxxxxxx xxx xxxxxxx, xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx informačního xxxxxxx,
2. xxxx xxxxxxxx xxxxx, xxxxx xxxxx bude xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx obnovena minimální xxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému, a
3. xxxx obnovení xxx xxxx termínu, xx xxxxxxx budou xxxxxxxx xxxx xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx, a
c) xxxxxxxxx xxxxxx kontinuity xxxxxxxx, xxxxx obsahuje xxxxxxxx cílů xxxxx xxxxxxx x).
(2) Xxxxx x osoba xxxxxxx x §3 písm. x) a x) xxxxxx xxxx
x) xxxxxxxxx x xxxxxxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxxx,
x) xxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) realizuje xxxxxxxx pro xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx kybernetickému xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx xxx xxxxxxxxxxx xxxxxx dostupnosti xxxxx §26 a
d) xxxxxxx x xxxxxxxxxxx xxxxxxx xxx xxxxxxxxx opatření xxxxxxxx Úřadem podle §13 x 14 xxxxxx, xx xxxxxxx xxxxxxxx
1. xxxxxxxx xxxxxxxxx xxxxx provedení opatření,
2. xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
3. xxxxxxxxxxx xxxxxxxxxx negativních dopadů xx xxxxxx x xxxxxxxxxx informačního systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx komunikačního systému xxxxxxxx informační infrastruktury.
§15
Kontrola x xxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxxxx a xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx x rámci kontroly x xxxxxx kritické xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx (xxxx xxx "audit xxxxxxxxxxxx xxxxxxxxxxx")
x) xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxx, xxxxxxxxx předpisy, jinými xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxxx se x informačnímu xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x určí opatření xxx xxxx xxxxxxxxxxx x
x) provádí x xxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x výsledky xxxxxx xxxxxxx xxxxxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x plánu xxxxxxxx xxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx s xxxxxxxx xxxxxxxxxxx podle §6 xxxx. 6, xxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxx bezpečnostních xxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x x) zákona xxxx xxx informační xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx kontrolu xxxxxxxxxxxxx technických xxxxxxxxxx xxxxxx automatizovaných xxxxxxxx x xxxxxx odborné xxxxxxxxxxx a xxxxxxx xx xxxxxxxx xxxxxxxxxxxxx.
HLAVA XX
XXXXXXXXX XXXXXXXX
§16
Xxxxxxx xxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona x rámci xxxxxxx xxxxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx k zamezení xxxxxxxxxxxxx xxxxxx xx xxxxxxxxxx prostor, kde xxxx zpracovávány informace x xxxxxxxx xxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx nezbytná xxxxxxxx x xxxxxxxx poškození x zásahům do xxxxxxxxxx prostor, xxx xxxx xxxxxxxx xxxxxxxxx x xxxxxxxx technická xxxxxx informačního xxxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx informačního xxxxxxx, x
x) xxxxxxxxx xxxxxxxxx, xxxxxxx xxxx xxxxxxxx xxxxx nebo přerušení xxxxxxxxxxx služeb xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx xxxx uplatňuje xxxxxxxxxx xxxxxxx bezpečnosti
a) pro xxxxxxxxx xxxxxxx na xxxxxx xxxxxxx x
x) xxx xxxxxxxxx xxxxxxx x rámci xxxxxxx xxxxxxxxxx zvýšené xxxxxxxxxxx xxxxxxxxxx prostor, ve xxxxxxx xxxx xxxxxxxx xxxxxxxxx aktiva xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.
(3) Xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxx xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx,
x) prostředky omezující xxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxx projevů xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxx xxxxxxxx xxxxxx,
x) xxxxxxxx xxxxxxx,
x) zařízení xxx xxxxxxxxx ochrany xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxx.
§17
Nástroj xxx xxxxxxx xxxxxxxxx komunikačních xxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) zákona xxx xxxxxxx integrity rozhraní xxxxxx xxxxxxxxxxx xxxx, xxxxx xxxx xxx xxxxxxx xxxxxx xxxx xxxxx, a vnitřní xxxxxxxxxxx sítě, xxxxx xx pod xxxxxxx xxxxxx xxxx osoby, xxxxxx
x) řízení bezpečného xxxxxxxx mezi vnější x xxxxxxx xxxx,
x) xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxxxxxx xxx jako xxxxxxxxxxx xxxx sítě xxxxxxxxxxx xx zvýšení xxxxxxxxxxx xxxxxxxx xxxxxxxxxx x xxxxxx xxxx x x xxxxxxxx xxxxx xxxxxxxxxx xxxxxxx xxxx x xxxxxx xxxx,
x) xxxxxxxxxxxxxx prostředky (§25) pro xxxxxxxx xxxxxxx, xxxxxxxxx xxxxxx xxxx xxx přístup xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxxxx pro xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxx, které xxxxxxxxxxxx xxxxxxxxxx xx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx.
(2) Orgán a xxxxx xxxxxxx v §3 písm. x) x x) zákona xxxx využívá xxxxxxxx xxx ochranu xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxx, xxxxx xxxxxxx xxxx xxxxxxxxxx.
§18
Nástroj xxx xxxxxxxxx xxxxxxxx uživatelů
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx xxxxxxx nástroje xxx ověření xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému.
(2) Nástroj xxx xxxxxxxxx xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx xxxx xxxxxxxxx xxxxxx xxxxxxx v xxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxx.
(3) Nástroj xxx xxxxxxxxx identity uživatelů, xxxxx xxxxxxx xxxxxxxxxxx xxxxx xxxxxx, xxxxxxxxx
x) xxxxxxxxx délku xxxxx xxx xxxxx,
x) xxxxxxxxx xxxxxxxxx xxxxx xxx, xx xxxxx xxxx xxxxxxxxx alespoň 3 x xxxxxxxxxxxxx čtyř xxxxxxxxx
1. xxxxxxx xxxxx xxxxx xxxxxxx,
2. xxxxxxx xxxxx malé písmeno,
3. xxxxxxx jednu číslici, xxxx
4. xxxxxxx jeden xxxxxxxxx xxxx xxxxxxx xx xxxxxxxxx xxxxxxxxx x bodech 1 xx 3,
x) xxxxxxxxx xxxx xxx xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxxx xxx xxx; xxxxx xxxxxxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(4) Orgán x xxxxx uvedená v §3 písm. c) x d) xxxxxx xxxx
x) používá xxxxxxx xxx xxxxxxx xxxxxxxx, xxxxx
1. xxxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxx x xxxxxxxx xxxx xxxx hesla xxxxxxx uživatele xxxxx xxxxxxxxxxx xxxxxx, xxxxx xxxx xxx nejméně 24 xxxxx, a
2. xxxxxxx opětovné ověření xxxxxxxx xx určené xxxx xxxxxxxxxx x
x) xxxxxxx nástroj xxx xxxxxxxxx xxxxxxxx administrátorů. X xxxxxxx, xx xxxxx xxxxxxx využívá xxxxxxxxxxx heslem, xxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxx xxxxx xxx xxxxxxxx xxxxxxxxx xxxxx odstavce 3 xxxx. x) x x).
(5) Nástroj pro xxxxxxxxx identity xxxxxxxxx xxxx xxx xxxxxxxx x xxxxxx způsoby, xxx jaké xxxx xxxxxxxxx v odstavcích 3 až 5, xxxxx xxxxx a xxxxx xxxxxxx v §3 xxxx. c) xx x) zákona xxxxxxxxx, xx používá xxxxxxxx xxxxxxxxxxx stejnou xxxx xxxxx xxxxxx xxxxxxxxx xxxxx.
§19
Xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx nástroj xxx řízení xxxxxxxxxxxx xxxxxxxxx, kterým xxxxxxx xxxxxx xxxxxxxxx
x) xxx xxxxxxx k xxxxxxxxxxx xxxxxxxxx x datům x
x) xxx xxxxx xxx, pro xxxxx xxx x pro xxxxx xxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxx xxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx v xxxxxxx x bezpečnostními xxxxxxxxx x xxxxxxxx hodnocení xxxxx.
§20
Xxxxxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až e) xxxxxx xxx xxxxxx xxxxx xxxxxxxxx s xxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxx xxx xxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx škodlivým xxxxx, xxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxx
x) xxxxxxxxxx mezi xxxxxxx xxxx x vnější xxxx,
x) xxxxxxx x xxxxxxxxx datových úložišť x
x) xxxxxxxxxx stanic,
přičemž xxxxxxx xxxxxxxxxxx a xxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxx xxxxxxxxx kódem, xxxx xxxxxxx a xxxxxxxx.
§21
Xxxxxxx pro zaznamenávání xxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx systémů, xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx
(1) Xxxxx x osoba xxxxxxx v §3 xxxx. x) xx x) zákona xxxxxxx xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému, xxxxx zajistí
a) sběr xxxxxxxxx x provozních x xxxxxxxxxxxxxx činnostech, xxxxxxx typ činnosti, xxxxx x čas, xxxxxxxxxxxx technického xxxxxx, xxxxx xxxxxxx zaznamenalo, xxxxxxxxxxxx xxxxxxx a xxxxx xxxxxxxx x xxxxxxxxx nebo xxxxxxxxxxx xxxxxxxx x
x) xxxxxxx xxxxxxxxx xxxxxxxxx před xxxxxxxxxxxx xxxxxx xxxx xxxxxx.
(2) Orgán x xxxxx uvedená x §3 písm. x) xx x) zákona xxxx xxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a významného xxxxxxxxxxxx xxxxxxx zaznamenává
a) xxxxxxxxxx x xxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxx provedené xxxxxxxxxxxxxx,
x) xxxxxxxx vedoucí xx xxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx v xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx a xxxxx xxxxxxxxx xxxxxxxx uživatelů,
e) xxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx kritické informační xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) automatická xxxxxxx xxxx xxxxxxx xxxxxxx technických xxxxx,
x) xxxxxxxx x xxxxxxxx x xxxxxxxxxx, xxxxxx x manipulaci xx xxxxxxx o činnostech x xxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx a
h) použití xxxxxxxxxx identifikace x xxxxxxxxxxx včetně xxxxx xxxxx, xxxxx xxxxxx x xxxxxxxxxx.
(3) Orgán x osoba uvedená x §3 písm. x) x x) xxxxxx záznamy xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxxx xxxxxxx xx xxxx 3 xxxxxx.
(4) Orgán x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx xxxxxxxxx xxxxxxx jednou xx 24 xxxxx xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxxx aktiv xxxxxxxxx xx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
§22
Xxxxxxx xxx detekci xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) xx x) zákona xxxxxxx xxxxxxx pro detekci xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxxxx xxxxxxx xx xxxxxxxxxxx bezpečnostních xxxxxx x xxxxxxxx hodnocení xxxxx a xxxxx xxxxxxx xxxxxxx, kontrolu x xxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx sítí x xxxxxx xxxx.
(2) Xxxxx x osoba uvedená x §3 xxxx. x) x d) xxxxxx xxxx xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxxxx xxxxxxx xxxxxxx, xxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxx
x) x xxxxx xxxxxxx xxxxxxxxxxx xxxx x
x) xxxxxxx xxxxxxxxx xx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.
§23
Xxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx používá xxxxxxx xxx sběr x xxxxxxxx vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx x xxxxxxx s xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxxx xxxxx xxxxxxx
x) integrovaný xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx z xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxx určené xxxxxxxxxxxx xxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx xxxx x xxxxxxxxxx infrastruktury x
x) xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí s xxxxx identifikace kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxx.
(2) Orgán x xxxxx uvedená x §3 písm. x) x x) xxxxxx xxxx xxxxxxx
x) xxxxxxxxxxx xxxxxxxxxxx nastavení xxxxxxxx pro vyhodnocování xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxx varování, xxx byly xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxx xxxxxxx xxxxxxxxx xxxxxxxx, x
x) xxxxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxxxx nástrojem xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx optimální xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury.
§24
Xxxxxxxxx xxxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxx jsou přístupné x xxxxxx xxxx, x xx před xxxxxx xxxxxxxx xx xxxxxxx a po xxxxx xxxxxxx xxxxx xxxxxxxxxxxxxx mechanismů.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx dále x xxxxx aplikační xxxxxxxxxxx xxxxxxx trvalou xxxxxxx
x) xxxxxxxx x informací xxxxxxxxxx x xxxxxx xxxx před xxxxxxxxxxxx xxxxxxxx, popřením xxxxxxxxxxx xxxxxxxx, xxxxxxxxxxxx xxxx xxxxxxxxxxxxxxx xxxxxx x
x) xxxxxxxxx xxxx jejich xxxxxxxxxxxx, xxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxxx změnou xxxxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxx.
§25
Kryptografické xxxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 písm. x) až x) xxxxxx
x) xxx xxxxxxxxx xxxxxxxxxxxxxx ochrany xxxxxxx
1. xxxxxx xxxxxxx x xxxxxxx na xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx x
2. xxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx xxx přenosu po xxxxxxxxxxxxx sítích nebo xxx xxxxxxx xx xxxxxxx zařízení nebo xxxxxxxxxxx xxxxxxxxx xxxxxx xxx x
x) x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx a výsledky xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxxx xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxx xxx x xxxxxxxxx xxxxxxxxxxxx xxxxx xx xxxxxxxxx xxxxxxxx.
(2) Orgán x xxxxx uvedená x §3 xxxx. c) x x) xxxxxx xxxx
x) stanoví xxx xxxxxxxxx kryptografických prostředků xxxxxx xxxxxx xxxxx, xxxxx xxxxxxx xxxxxxxxxx, xxxxxxxxxx, xxxxxxxx, xxxxxxxxx, xxxxx, xxxxxx, kontrolu x xxxxx xxxxx, x
x) xxxxxxx xxxxxx xxxxxxxxxxxxxx algoritmy a xxxxxxxxxxxxxx klíče; v xxxxxxx nesouladu s xxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx algoritmy xxxxxxxxx x příloze č. 3 x xxxx xxxxxxxx xxxx xxxxxx xxxxxxx s xxxxx nesouladem.
§26
Xxxxxxx xxx zajišťování xxxxxx dostupnosti
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx v xxxxxxx x bezpečnostními xxxxxxxxx x xxxxxxxx hodnocení xxxxx používá nástroj xxx xxxxxxxxxxx úrovně xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx používá xxxxxxx xxx xxxxxxxxxxx úrovně xxxxxxxxxxx xxxxxxxxx, který xxxxxxx
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxx splnění xxxx xxxxxx xxxxxxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentům, které xx xxxxx xxxxxx xxxxxxxxxx, x
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury
1. xxxxxxxx xxxxxxxxxx x návrhu xxxxxx x
2. xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx aktiv x xxxxxxx xxxx.
§27
Bezpečnost xxxxxxxxxxxx a xxxxxxxx xxxxxxx
Xxxxx a xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx, xxxxx jsou informačním xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxx jsou xxxxxx součástí, xxxxxxx xxxxxxxx, které xxxxxxx
x) xxxxxxx fyzického xxxxxxxx x síti x xxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxx a xxxxxxxxxx xxxxxxxx x síti xxxxxxxxxxxx x xxxxxxxx xxxxxxx,
x) ochranu jednotlivých xxxxxxxxxxx xxxxx průmyslových x řídicích xxxxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx průmyslových x xxxxxxxx systémů po xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
XXXXX XXX
XXXXXXXXXXXX XXXXXXXXXXX
§28
Xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxx x xxxxxxxxxxx xxxxxxxxxxxx dokumentaci, která xxxxxxxx
x) xxxxxxxxxxxx politiku xxxxx §5 xxxx. 1,
x) zprávy x xxxxxx kybernetické xxxxxxxxxxx xxxxx §3 xxxx. 1 xxxx. x),
x) xxxxxx x přezkoumání xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxx §3 xxxx. 1 písm. x),
x) xxxxxxxx xxx xxxxxxxxxxxx a xxxxxxxxx xxxxx a pro xxxxxxxxxxxx x hodnocení xxxxx,
x) zprávu x xxxxxxxxx aktiv a xxxxx,
x) xxxxxxxxxx x xxxxxxxxxxxxxxxx,
x) xxxx xxxxxxxx xxxxx,
x) plán xxxxxxx xxxxxxxxxxxxxx povědomí xxxxx §9 xxxx. 1 xxxx. x),
x) zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 písm. x),
x) xxxxxxxxx xxxxxx xxxxxxxxxx činností xxxxx §14 odst. 1 xxxx. x) x
x) xxxxxxx xxxxxxxx předpisů, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx podle §15 odst. 1 xxxx. x).
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx vede x aktualizuje xxxxxxxxxxxx xxxxxxxxxxx, xxxxx obsahuje
a) xxxxxxxxxxxx politiku podle §5 xxxx. 2,
x) xxxxxxxx xxx xxxxxxxxxxxx x hodnocení xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxx §4 xxxx. 2 xxxx. x),
x) xxxxxx x xxxxxxxxx xxxxx x rizik xxxxx §4 xxxx. 2 xxxx. b) x x),
x) prohlášení x xxxxxxxxxxxxxxxx xxxxx §4 odst. 2 xxxx. d),
e) plán xxxxxxxx rizik xxxxx §4 odst. 2 xxxx. e),
f) xxxx xxxxxxx xxxxxxxxxxxxxx povědomí xxxxx §9 odst. 1 xxxx. x),
x) xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx podle §13 xxxx. e),
h) strategii xxxxxx xxxxxxxxxx xxxxxxxx xxxxx §14 xxxx. 1 písm. x) x
x) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxx §15 xxxx. 1 xxxx. x).
(3) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx vede xxxxxxxxxxxx xxxxxxxxxxx xxx, xxx záznamy o xxxxxxxxxxx xxxxxxxxxx byly xxxxx, čitelné, xxxxxx xxxxxxxxxxxxxxxxx x aby xx xxxx xxxxxx xxxxxxxx. Xxxxxxxx potřebná x identifikaci, xxxxxxx, xxxxxxx, xxxxxxxxx, xxxx xxxxxxxxx a xxxxxxxxxx xxxxxxx x provedených xxxxxxxxxx xxxxxxxxxxx.
(4) Doporučená xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxx x příloze č. 4 k xxxx xxxxxxxx.
§29
Prokázání certifikace
Orgán x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx, xxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxx informační systém xx zcela xxxxxxx xx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxx xxxxxxxxxxxx xxxxx příslušné technické xxxxx1) akreditovaným xxxxxxxxxxxxx xxxxxxx, a která xxxx xxxxxxxxx obsahující
a) xxxxx rozsahu xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx a xxxx xxxxxxx xxxxxx xxxxxxxxxxx informací,
c) popis xxxxxxx xxxxxx xxxxxxxxx xxxxx a xxxxxx x xxxxxxxxx rizik,
d) xxxxxxxxxx x xxxxxxxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx příslušné xxxxxxxxx xxxxx xxxxxxxxxx xx xxxxxxxxxxx informací1),
f) záznam x přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx informací xxxxxx xxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxx x
x) xxxxxx x xxxxxx provedených xxxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxxx neshod x xxxxxxxxxx normou,
splňuje xxxxxxxxx xx xxxxxxxx bezpečnostních xxxxxxxx podle xxxxxx x xxxx xxxxxxxx.
ČÁST XXXXX
XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX
§30
Xxxx kybernetických bezpečnostních xxxxxxxxx
(1) Xxxxx příčiny xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx rozděleny xx xxxxxxxxxxxxx xxxx
x) kybernetický xxxxxxxxxxxx incident způsobený xxxxxxxxxxxxx xxxxxx xxxx xxxxx xxxxxxxx xxxxxxx x xxxxxxx xx xxxxxxx xxxx k xxxxxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx,
x) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxx porušením xxxxxxxxxxxxx opatření,
e) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx trvale xxxxxxxxxx hrozeb x
x) xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx.
(2) Xxxxx dopadu xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx rozděleny xx xxxxxxxxxxxxx xxxx
x) kybernetický xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxx důvěrnosti xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx způsobující xxxxxxxx xxxxxxxxxxx aktiv, xxxx
x) xxxxxxxxxxxx bezpečnostní incident xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx v xxxxxxxxx x) xx c).
§31
Kategorie kybernetických bezpečnostních xxxxxxxxx
(1) Xxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx podle xxxxxxxx x negativních xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - xxxxx xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx kterém xx xxxxx a xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx s tím, xx musí xxx xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx vzniklých x xxxxxxxxxxxxx xxxx.
x) Xxxxxxxxx XX - xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx kterém xx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx služeb xxxx xxxxx. Xxxx řešení xxxxxxxx neprodlené zásahy xxxxxxx x xxx, xx xxxx být xxxxxxxx xxxxxxxxxx zabráněno xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxxxxx xxxxxxxxx škod.
c) Xxxxxxxxx X - xxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xxxxxxx x xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho xxxxxx xxxxxxxx xxxxxx obsluhy x xxx, že xxxx xxx vhodnými xxxxxxxxxx omezeno další xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx při xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx 1 zohlední
a) xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
x) dopady xx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxx na xxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxxxx systémy x
x) xxxxxxxxxxxxx xxxxx x xxxxx dopady.
§32
Forma a xxxxxxxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 písm. x) xx x) zákona xxxxx kybernetický xxxxxxxxxxxx xxxxxxxx
x) x xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxx
1. xxxxxxxxxxxxxx xxxxxxxxx zveřejněného xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
2. xxxxxx xx xxxxxx xxxxxxxxxxxx pošty Úřadu xxxxxx xxx xxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxx na xxxxxxxxxxxxx stránkách Xxxxx,
3. xxxxxx zprávy xx xxxxxx xxxxxxxx Úřadu, xxxx
4. xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xxxxx je xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx, anebo
b) x xxxxxxxx xxxxxx na xxxxxx Xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxx v xxxxxxxx podobě xx xxxxxx pouze x xxxxxxxxx, kdy xxxxx xxxxxx xxxxx xx xxxxxxx xxxxxxxxx x xxxxxxxx 1 písm. x).
(3) Xxxxxxxxxxx hlášení xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxx uvedeny x příloze č. 5 x xxxx xxxxxxxx.
ČÁST XXXXXX
XXXXXXXXX XXXXXXXX X KONTAKTNÍ XXXXX
§33
Xxxxxxxxx xxxxxxxx
Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona xxxxxx xxxxxxxxx reaktivního xxxxxxxx x jeho xxxxxxxx xx xxxxxxxxx, xxxxx xxxx je xxxxxx x příloze č. 6 x xxxx xxxxxxxx.
§34
Xxxxxxxxx xxxxx
Xxxxx a xxxxx xxxxxxx x §3 zákona oznamuje xxxxxxxxx xxxxx na xxxxxxxxx, xxxxx xxxx xx xxxxxx x příloze č. 7 k xxxx xxxxxxxx. Orgán x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxx x §32 xxxx. 1 xxxx. a).
XXXX XXXX
XXXXXXXX
§35
Xxxx xxxxxxxx xxxxxx xxxxxxxxx xxxx 1. ledna 2015.
Xxxxxxx:
Xxx. Xxxxxxxx x. x.
Xxxxxxx x. 1 x xxxxxxxx č. 316/2014 Sb.
Hodnocení x xxxxxx xxxxxxxxxxx xxxxx
Xxx xxxxxxxxx důležitosti xxxxx xxxx použity stupnice x čtyřech xxxxxxxx. Xxxxx xxxx xxxxx xxxxxxx x §3 xxxx. c) až x) xxxxxx může xxxxxxxx xxxxxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxx xxxx xx xxxxxx x xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx vazby xxxx jí xxxxxxxxxx xxxxxxxx hodnocení důležitosti xxxxx x xxxxxxxxxx x xxxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx jsou uvedeny x xxxx příloze.
V xxxxxxx xxxxxxx xxx xxxxxx hodnocení důležitosti xxxxx je xxxxxxxxx xxxxxxx xxx xxxxxx xxxxx a xxxxxxx, xxxx úrovně xxxxxx x xxxxxxxx.
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxx xxxx xxxxxxx xxxxxxxxx xxxx xxxx xxxxxx xx xxxxxxxxxx (např. xx xxxxxxx zákona č. 106/1999 Sb., x xxxxxxxxx přístupu x xxxxxxxxxx, ve xxxxx xxxxxxxxxx předpisů). Xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) až x) xxxxxx. |
Xxxx vyžadována xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx a xxxxx xxxx-xxx xxxxxx x xxxxx uvedené x §3 xxxx. x) xx x) xxxxxx, xxxxxxx aktiv xxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxx nebo xxxxxxxx xxxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxx jsou využívány xxxxxxxxxx pro xxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxx xxxxxx veřejně xxxxxxxxx a xxxxxx xxxxxxx je vyžadována xxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx (např. xxxxxxxx xxxxxxxxx xxxxx zákona č. 89/2012 Sb., občanský zákoník, xxxxxx xxxxx podle xxxxxx č. 101/2000 Sb., x xxxxxxx xxxxxxxx údajů, xx xxxxx xxxxxxxxxx xxxxxxxx). |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx prostředky, xxxxx xxxxxxx xxxxxx x zaznamenávání přístupu. Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxx xxxx xxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxx xxx xxxxx xxxxxxxxx xxxxxxxxx (např. xxxxxxxxxxx xxxxxxxx xxxxxxxxx, citlivé xxxxxx xxxxx). |
Xxx ochranu xxxxxxxxxx xx požadována xxxxxxxx xxxx, xxxxx x xxxxxxx přistoupily, x metody xxxxxxx xxxxxxxxxxx xxxxxxxx aktiv xx xxxxxx administrátorů. Xxxxxxx informací xxxx xxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxxxx xxxxxxxxxx xxxxxxxxx zájmy xxxxxx a osoby xxxxxxx x §3 xxxx. c) až x) zákona. |
Není xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx xxxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx xxxxxx xxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx orgánu x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx x xxxx xx xxxxxxxx méně xxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx standardní xxxxxxxx (xxxx. xxxxxxx xxxxxxxxxxxx xxxx pro xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx x xxxxxxxxxxx xxxxxx na primární xxxxxx. |
Xxx ochranu integrity xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxx dovolují xxxxxxxx xxxxxxxx provedených xxxx x xxxxxxxxxx xxxxxxxx osoby xxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx prostředků. |
|
Kritická |
Aktivum vyžaduje xxxxxxx z hlediska xxxxxxxxx. Narušení integrity xxxx x velmi xxxxxxx poškození xxxxxxxxxxx xxxxx orgánu x xxxxx uvedené x §3 xxxx. x) xx e) xxxxxx x xxxxxxx x xxxxx vážnými xxxxxx xx xxxxxxxx xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx využívány xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx osoby xxxxxxxxxxx xxxxx (xxxx. xxxxxx xxxxxxxxxxx xxxxxxxxxxx podpisu). |
Stupnice xxx xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxx x x xxxxxxx výpadku xx xxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx pro xxxxxxx (cca do 1 xxxxx). |
Xxx xxxxxxx xxxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx dostupnosti xxxxxx by xxxxxx xxxxxxxxx xxxx xxxxxxxxxx xxx, dlouhodobější výpadek xxxx k xxxxxxx xxxxxxxx xxxxx orgánu x xxxxx uvedené x §3 písm. x) xx x) xxxxxx. |
Xxx xxxxxxx dostupnosti xxxx využívány běžné xxxxxx xxxxxxxxxx a obnovy. |
|
Vysoká |
Narušení xxxxxxxxxxx aktiva by xxxxxx xxxxxxxxx dobu xxxxxxxx xxxxx. Xxxxxxxx xxxxxxx xx xxxxx xxxxx xxxxxxxxxx, xxxxxxx xxxx x přímému xxxxxxxx zájmů xxxxxx x osoby xxxxxxx x §3 písm. x) xx x) xxxxxx. Xxxxxx xxxx xxxxxxxxxx xxxx xxxxx důležitá. |
Pro xxxxxxx dostupnosti xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx poskytování xxxxxx může xxx xxxxxxxxx zásahy obsluhy xxxx xxxxxxx technických xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xxxx xxxxxxxxx a x krátkodobá xxxxxxxxxxxx (x xxxx xxxxxxxx xxxxx) vede x xxxxxxx ohrožení zájmů orgánu x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx. Xxxxxx jsou xxxxxxxxxx xxxx xxxxxxxx. |
Xxx xxxxxxx dostupnosti xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx poskytování xxxxxx xx krátkodobá x xxxxxxxxxxxxxx. |
Xxxxxxx č. 2 x vyhlášce x. 316/2014 Sb.
Hodnocení xxxxx
Xxxxxxxxx xxxxx xx vyjádřeno xxxx xxxxxx, kterou xxxxxxxxx xxxxx, xxxxxx x xxxxxxxxxxxx.
Xxx xxxxxxxxx xxxxx lze použít xxxxxxx xxxx xxxxxx
xxxxxx = xxxxx x xxxxxx x xxxxxxxxxxxx.
Xxxxxxxxxxx xxxxxx xxxxxx xxx xxxxxx xxxxxx xx xxxxxxxxx součástí xxxxxxxx xxx xxxxxxxxxxxx a xxxxxxxxx xxxxxx
|
Xxxxxxxx xxx xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxx xx x omezeném xxxxxxx xxxxxx x malého xxxxxxx x nesmí xxx xxxxxxxxxxxxx. Xxxxxx případných xxxx xxxxxxxxxxx x) 10 xxxxxxxxx xxxx s xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx než 24 hodin xxxx x) xxxxxxxx nebo materiální xxxxxx xx 5&xxxx;000&xxxx;000 Xx anebo c) představuje xxxxx na xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx služeb nebo xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxxx 250 xxxx. |
|
Xxxxxxx |
Xxxxx xx omezeného xxxxxxx x x xxxxxxxx xxxxxxx xxxxxx. Xxxxxx xxxxxxxxxx škod xx xxxxxxxx x xxxxxxx x) xx 10 mrtvých xxxx xx 11 xx 100 osob x následnou hospitalizací xx dobu xxxxx xxx 24 xxxxx xxxx x) finanční xxxx xxxxxxxxxx ztráty xx 5&xxxx;000&xxxx;000 Xx xx 50&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx dopad xx xxxxxxxxx x xxxxxxxxx xxxxxxxx nezbytných xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx do každodenního xxxxxx xxxxxxxxxxxxx xx 251 do 2&xxxx;500 xxxx. |
|
Xxxxxx |
Xxxxx je xxxxxxxxx xxxxxxx, xxx xxxxxx xxxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xx xxxxxxxx x rozmezí a) xx 11 do 100 xxxxxxx nebo xx 101 do 1 000 xxxx s xxxxxxxxx hospitalizací po xxxx delší xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx od 50&xxxx;000&xxxx;000 Xx xx 500&xxxx;000&xxxx;000 Xx xxxxx x) představuje xxxxx na veřejnost x rozsáhlým xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx od 2&xxxx;501 xx 25&xxxx;000 osob. |
|
Kritický |
Dopad xx xxxxxx xxxxxxxx, xxxxxx x katastrofický. Rozsah xxxxxxxxxx xxxx xx xxxxxxxx x xxxxxxx x) 10 x více xxxxxxx x 1 001 x xxxx xxxx s následnou xxxxxxxxxxxxx xx dobu xxxxx než 24 xxxxx nebo b) finanční xxxx xxxxxxxxxx xxxxxx xxxxxxxxxxx 500 000 000 Xx xxxxx x) xxxxxxxxxxx dopad xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx nebo xxxxxx xxxxxxxxx zásahu xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxx xxx 25&xxxx;000 xxxx. |
|
Xxxxxxxx pro xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx xxxx xx xxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx hrozby xxxx xxxxxxxx xxx xxxxxx xx 5 xxx. |
|
Xxxxxxx |
Xxxxxx xx xxxx xxxxxxxxxxxxx až pravděpodobná. Xxxxxxxxxxxxx xxxxxxxxx hrozby xx x xxxxxxx xx 1 xxxx xx 5 xxx. |
|
Xxxxxx |
Xxxxxx xx pravděpodobná xx xxxxx pravděpodobná. Předpokládaná xxxxxxxxx xxxxxx xx x xxxxxxx xx 1 měsíce xx 1 xxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx jistá. Předpokládaná xxxxxxxxx xxxxxx xx xxxxxxxx xxx jednou xx xxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx xxxx xx xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx jsou xxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxx xxxx xxxxxxxx pokusy x xxxxxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxxxxxx xx xxxx pravděpodobná xx xxxxxxxxxxxxx. Existují xxxxxxxx xxxxxxxxxxxx opatření, xxxxxxx xxxxxxxx je xxxxxxxxxx xxxxxxxxxxxx. Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx včas detekovat xxxxx slabiny xxxx xxxxxxxx xxxxxx o xxxxxxxxx xxxxxxxx xx xxxxxxx. Xxxxxx xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx je pravděpodobná xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxx xxxxxx xxxxxxxx xxxxxxxxx všechny xxxxxxxx xxxxxxx a xxxx xxxxxxxxxx xxxxxxxxxxxx. Jsou xxxxx dílčí úspěšné xxxxxx o xxxxxxxxx xxxxxxxxxxxxxx opatření. |
|
Kritická |
Zranitelnost je xxxxx xxxxxxxxxxxxx až xx xxxxxxxx xxxxx xxxxxxxx. Xxxxxxxxxxxx opatření xxxxxx xxxxxxxxxxx xxxxx xx xxxxxx účinnost xxxxxx xxxxxxx. Xxxxxxxxx xxxxxxxx účinnosti xxxxxxxxxxxxxx xxxxxxxx. Jsou xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření. |
|
Stupnice pro xxxxxxxxx rizik |
|
|
Úroveň |
Popis |
|
Nízké |
Riziko je xxxxxxxxxx xx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxx v případě xxxxx xxxxxxxxxx xxxxxxxx xx riziko xxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxx xxxxxxxxxxx x xxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxx x jeho xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxxxxxxxx x xxxx xxx xxxxxxxxxx xxxxxxxx kroky k xxxx odstranění. |
V xxxxxxx, xx xxxxx xxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxxxxx xxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx, která nerozlišuje xxxxxxxxx hrozby x xxxxxxxxxxxxx, je xxxxx xxxxxxxx pro hodnocení xxxxxx x zranitelností xxxxxxx. Xxxxxxxx stupnic xx xxxxxx xxxx xx ztrátě schopnosti xxxxxxxxx míry xxxxxx x xxxxxxxxxxxxx. Xx xxxxx xxxxxx xxx xxxxxx xxxxxxxxx komentář, xxxxx zřetelně vyjádří xxx úroveň hrozby, xxx x xxxxxx xxxxxxxxxxxxx. Obdobně xxxxxxxxx x xxxxx xxxx xxxxx uvedená x §3 xxxx. c) xx e) zákona, xxxxx používá xxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxx, hrozeb, xxxxxxxxxxxxx x xxxxx.
Příloha x. 3 x vyhlášce x. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxx
x) Xxxxxxx x proudové xxxxx xxx xxxxxxx xxxxxxxxxx x integrity
1. Advanced Xxxxxxxxxx Standard (XXX) x využitím xxxxx xxxxx 128, 192 x 256 xxxx Xxxxxx Data Encryption Xxxxxxxx (3XXX) x xxxxxxxx délky xxxxx 168 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx menším xxx 10 XX, xxxxxxxx přecházet xx XXX.
2. Xxxxxx Data Xxxxxxxxxx Standard (3XXX) x xxxxxxxx xxxxx xxxxx 112 bitů, xxxxxxx xxxxxxx jen xx zatížením klíče xxxxxx xxx 10 XX, xxxxxxxx xxxxxxxxx xx XXX. Xxxxxxxxxx xxxxxxx jedinečného xxxxx xxx xxxxxx xxxxxx.
3. Xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxx 128 bitů, xxxxxxx xxxxxxx jen xx xxxxxxxxx klíče xxxxxx xxx 10 XX.
4. Xxxxxx x xxxxxxxx xxxxx klíčů 128 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX.
5. Xxxxxxx x xxxxxxxx délky xxxxx 128 až 256 bitů.
6. Xxxxxxx x xxxxxxxx délky xxxxx 128, 192, 256 xxxx.
7. Camellia x xxxxxxxx xxxxx xxxxx 128, 192 x 256 xxxx.
8. XXXX 2.0, SNOW 3X x využitím xxxxx xxxxx 128, 256 bitů.
b) Módy xxxxxxxxx x xxxxxxxx xxxxxxxxx
1. XXX,
2. XXX,
3. XXX,
4. Složená xxxxxxxx xxxx "Xxxxxxx-xxxx-XXX".
Xxxxxxxx:
Xxxxxxxx xxxx "Xxxxxxx-xxxx-XXX",xxxx používat x xxxxxxxxx xxxxx xxxxxxx xxxxxxxxx módy a x výpočtu MAC xxxxx uvedené xxxx xxx xxxxxxx xxxxxxxxx.
x) Xxxx šifrování
1. XXX,
2. XXX,
3. CBC,
4. CFB,
Poznámka:
Módy XXX x XXX xxxx xxx použity x xxxxxxxx, pro xxxxxxxx xxxxxxxxxxxxxxxxxx inicializačním xxxxxxxx, xxx xxxxxxx xxxx XXX xx xxx xxxx xxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxxx vektoru, xxx xxxxxxx módu XXX xx pro xxxx xxxx xxxxx xxxxxxxx xxxxxxx xxxxxx, v xxxxxxx použití XXX xxxx x xxxxxxxxx xxx xxxxxxx integrity xx xxxxx xxxxxx xxxxxxxx xxxxx xxxxx xx xxxxxxx XXX xxxx.
x) Xxxx xxx xxxxxxx xxxxxxxxx
1. XXXX,
2. XXX-XXX-X9.19, xxxxxxx použití xxx se xxxxxxxxx xxxxxx než 109 XXX,
3. CBC-MAC-EMAC,
4. XXXX.
(2) Xxxxxxxxxxx xxxxxxxxx
x) Xxx xxxxxxxxxxx digitálního xxxxxxx
1. Xxxxxxx Signature Xxxxxxxxx (XXX) s xxxxxxxx xxxxx xxxxx 2048 xxxx x více, xxxxx xxxxxxxxx cyklické xxxxxxxx 224 bitů x xxxx.
2. Xxxxxxxx Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxxxxx (XX-XXX) x xxxxxxxx xxxxx xxxxx 224 xxxx x xxxx.
3. Xxxxxx-Xxxxxx-Xxxxxxx Xxxxxxxxxxxx Xxxxxxxxx Xxxxxx (XXX-XXX) x xxxxxxxx délky xxxxx 2048 xxxx x xxxx.
x) Xxx xxxxxxx xxxxx na xxxxx a xxxxxxxxx xxxxx
1. Xxxxxx-Xxxxxxx (XX) x využitím délky xxxxx 2048 xxxx x xxxx, xxxxx xxxxxxxxx xxxxxxx xxxxxxxx 224 xxxx x xxxx.
2. Xxxxxxxx Curve Xxxxxx-Xxxxxxx (XXXX) x xxxxxxxx xxxxx klíčů 224 xxxx a xxxx.
3. Xxxxxxxx Xxxxx Xxxxxxxxxx Xxxxxxxxxx Xxxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (ECIES-KEM) x xxxxxxxx xxxxx xxxxx 256 bitů x xxxx.
4. Xxxxxxxx Xxxxxx Xxxxxxxx Curve - Xxx Encapculation Mechanism (XXXX-XXX) s xxxxxxxx xxxxx xxxxx 256 xxxx xxxx.
5. Asymetrie Xxxxxxx xxx Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) x xxxxxxxx xxxxx xxxxx 256 xxxx x více.
6. Xxxxxx Xxxxxx Xxxxxxx - Xxxxxxx Xxxxxxxxx Xxxxxxxxxx Xxxxxxx (XXX-XXXX) x xxxxxxxx délky xxxxx 2048 a více.
7. Xxxxxx Xxxxxx Xxxxxxx - Key Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) s xxxxxxxx xxxxx xxxxx 2048 a xxxx.
(3) Xxxxxxxxx xxxx xxxxxx
x) XXX-2
1. XXX-224,
2. SHA-256,
3. XXX-384,
4. XXX-512,
5. XXX-512/224,
6. XXX-512/256.
x) SHA-3
1. XXX3-224,
2. XXX3-256,
3. SHA3-384,
4. SHA3-512,
5. XXXXX-128,
6. XXXXX-256.
x) Xxxxxxx xxxxxxxx xxxxxx
1. Xxxxxxxx,
2. XXXXXX-160,
3. SHA 1 x xxxxxxxx xxxxxxxx.
Xxxxxxxx x. 1:
SHA-1 xx xxxxx používat pro xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx, časových xxxxxxx, xxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx XXX-1.
Xxxxxxxx x. 2:
SHA-1 lze xxxxxxxx pouze xxx xxxxxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxx podpisů x xxxxxxxx xxxxxxx, xxxxxxxxxx x ověřování XXXX-XXX1, xxxxxx pro odvozování xxxxx x xxxxxxxxxxxxx xxxxxxxxxx.
Příloha č. 4 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
Xxxx xxxxxxx obsahuje xxxxxxxxxx obsah bezpečnostní xxxxxxxxxxx. Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx, která jednotlivé xxxxxxxxx xxxxx xxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx struktury xxxxxxxxx xxxxxx xxxxxxx x xx xx xxxxxx xxxx xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx, xxxx přístup x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx. Xxxxxxxxx xx x xxxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxx xxxx xxxxx do jednoho xxxxxxxxx.
X. Struktura xxxxxxxxxxxx xxxxxxxx
(1) Politika xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. x)]
x) Xxxx, xxxxxxxx x xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx a xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxx xxxxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxx xxxxxx a xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro nápravná xxxxxxxx x xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Politika xxxxxxxxxxx xxxxxxxxxxx**
[§5 odst. 1 xxxx. b), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxxxxxxxxx xxxx x jejich xxxx x povinností,
1. xxxxx a povinnosti xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
2. xxxxx a xxxxxxxxxx xxxxxxxxxx kybernetické xxxxxxxxxxx,
3. xxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx bezpečnosti,
4. xxxxx x xxxxxxxxxx xxxxxxx xxxxx,
5. práva x povinnosti xxxxxx xxx řízení kybernetické xxxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxx.
(3) Xxxxxxxx xxxxxx xxxxxxxxxx**
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x principy xxx výběr xxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxx dodavatelů.
c) Náležitosti xxxxxxx x úrovni xxxxxx x xxxxxxx x úrovní xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a x xxxxxx vzájemné xxxxxxx odpovědnosti.
d) Xxxxxxxx xxx xxxxxxxxx kontroly xxxxxxxx xxxxxxxxxxxxxx opatření.
e) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx.
(4) Xxxxxxxx xxxxxxxxxxx xxxxx**
[§5 odst. 1 xxxx. d), §5 xxxx. 2 písm. x)]
x) Xxxxxxxxxxxx, hodnocení x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx a xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx určení xxxxxx xxxxxxx,
2. xxxxxxxxx xxxxxxxxxxx primárních xxxxx x hlediska důvěrnosti, xxxxxxxxx a dostupnosti.
b) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx podpůrných aktiv
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx aktivy.
c) Xxxxxxxx xxxxxxx xxxxxxxxxxxx úrovní xxxxx
1. způsoby rozlišování xxxxxxxxxxxx xxxxxx aktiv,
2. xxxxxxxx xxx manipulaci x xxxxxxxx aktiv xxxxx úrovní xxxxx,
3. xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx.
x) Způsoby xxxxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxxx nosičů xxx.
(5) Xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxx xxxxxxxxx
1. xxxxxxx a xxxxx xxxxxxx xxxxxxxxx,
2. způsoby x xxxxx poučení xxxxxxx xxxxx,
3. xxxxxxx x formy xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx a xxxxx xxxxxxx dalších xxxx xxxxxxxxxxxxx bezpečnostní xxxx.
x) Xxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx bezpečnostní xxxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx.
x) Xxxxxxxx pro xxxxxxxx xxxxxxxxxx vztahu xxxx změnu xxxxxxxx xxxxxx.
1. xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxx,
2. xxxxx xxxxxxxxxxxx xxxxxxxxx při xxxxx xxxxxxxx xxxxxx.
(6) Xxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxx**
[§5 xxxx. 1 xxxx. f), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x bezpečným xxxxxxxx.
x) Xxxxxxx bezpečného provozu.
c) Xxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxx xxxxxxxxxxx zranitelností.
e) Pravidla x xxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a bezpečnostních xxxxx.
(7) Xxxxxxxx xxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxx minimálních xxxxxxxxx/xxxxxxx znát (xxxx xx know).
b) Xxxxxxxxx xx xxxxxx přístupu.
c) Xxxxxxx xxxxxx xxxxxx xxxxxxxx.
x) Xxxxxx privilegovaných xxxxxxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx přezkoumání xxxxxxxxxxxx xxxxxxxxx xxxxxx rozdělení xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx.
(8) Politika xxxxxxxxxx xxxxxxx xxxxxxxxx*
[§5 xxxx. 1 písm. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx pro xxxxxxxx xxxxxxxxx x aktivy.
b) Xxxxxxxx použití xxxxxxxxxxxx xxxxx.
x) Bezpečné xxxxxxx xxxxxxxxxxxx pošty x xxxxxxxx xx internet.
d) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx xxxxxxx xx xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx xx vztahu x xxxxxxxx xxxxxxxxx.
(9) Xxxxxxxx xxxxxxxxxx a xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxx xx xxxxxxxxxx x obnovu.
b) Xxxxxxxx x postupy zálohování.
c) Xxxxxxxx bezpečného xxxxxxx xxxxx.
x) Pravidla a xxxxxxx xxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxx x xxxxxx.
(10) Xxxxxxxx bezpečného předávání x výměny xxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx xxxxxxx xxxxxxxxxxxx výměny xxxxxxxxx.
x) Pravidla xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(11) Xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) Xxxxxxxx a xxxxxxx xxxxxxxxx oprav xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx a xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
(12) Xxxxxxxx xxxxxxxxxx používání xxxxxxxxx xxxxxxxx*
[§5 odst. 1 xxxx. 1)]
a) Pravidla x postupy xxx xxxxxxxx používání xxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx zajištění xxxxxxxxxxx zařízení, kterými xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x x) zákona xxxxxxxxxxx.
(13) Xxxxxxxx xxxxxxxxxxx x xxxxxxxx licencí programového xxxxxxxx a informací*
[§5 xxxx. 1 xxxx. x), §5 odst. 2 písm. j)]
a) Xxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
(14) Xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx*
[§5 odst. x xxxx. x)]
x) Xxxxxxxx a postupy xxxxxxxxx xxxxxxxxx a xxxxxxx.
x) Xxxxxxx xxxxxxxxxxxxx xxxxxxxxx x záznamů.
c) Xxxxxxxx xxxxxxxx k xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx.
(15) Politika ochrany xxxxxxxx údajů*
[§5 odst. x xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx údajů.
b) Xxxxx xxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx ochranu osobních xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx technických xxxxxxxx xxx ochranu xxxxxxxx xxxxx.
(16) Politika xxxxxxx xxxxxxxxxxx**
[§5 xxxx. x xxxx. x)]
x) Xxxxxxxx xxx ochranu xxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx vstupu xxxx.
x) Xxxxxxxx pro xxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxx bezpečnosti.
(17) Politika xxxxxxxxxxx xxxxxxxxxxx xxxx**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx sítě.
b) Určení xxxx a xxxxxxxxxx xx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxx xxxxxxxx v rámci xxxx.
x) Xxxxxxxx x xxxxxxx xxx ochranu xxxxxxxxxx xxxxxxxx x xxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxxx xxxxxxxxxx záznamů.
(18) Politika xxxxxxx xxxx xxxxxxxxx xxxxx*
[§5 xxxx. x xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Pravidla x xxxxxxx pro xxxxxxx xxxxxxxxxx xxxx xxxxxxx x xxxxxx sítí.
b) Xxxxxxxx x xxxxxxx xxx ochranu serverů x sdílených xxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxx stanic.
(19) Xxxxxxxx xxxxxxxx a používání xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Provozní postupy xxx xxxxxxxxxxxxx x xxxxxxxxx na detekované xxxxxxxxxxxx bezpečnostní xxxxxxxx.
x) Xxxxxxxx x postupy xxx optimalizaci nastavení xxxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
(20) Xxxxxxxx xxxxxxx a xxxxxx xxxxxxxx xxx xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx**
[§5 xxxx. 1 písm. x)]
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxxx pravidel pro xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx optimální xxxxxxxxx xxxxxxxxxxxxxx vlastností xxxxxxxx xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(21) Xxxxxxxx xxxxxxxxxx xxxxxxxxx kryptografické xxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Úroveň xxxxxxx x xxxxxxx xx xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx ochrany xxxxxxxxx
1. xxx přenosu xx xxxxxxxxxxxxx xxxxxx,
2. xxx xxxxxxx xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx nosič xxx,
x) Xxxxxx správy xxxxx.
XX. Xxxxxxxxx xxxxx xxxxxxxxxxx
(1) Xxxxxx x auditu xxxxxxxxxxxx bezpečnosti**
[§28 xxxx. 1 xxxx. x)]
x) Xxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Kritéria xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx týmu xxxxxxxx x xxxx, xxxxx xx auditu xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx.
x) Xxxxx x xxxxx, kde xxxx prováděny xxxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(2) Xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 písm. c)]
a) Xxxxxxxxxxx opatření x xxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací,
b) Xxxxxxxxxxxx xxxx x xxxxxxxxx, které xxxxx xxx xxxx xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxx xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x nápravná opatření,
2. xxxxxxxx xxxxxxxxxxxx x xxxxxx,
3. výsledky xxxxxx,
4. xxxxxxxx cílů bezpečnosti,
d) Xxxxxxxx hodnocení xxxxx x xxxx xxxxx xxxxxxxx xxxxx.
x) Identifikace xxxxxxxx xxx xxxxxxxx xxxxxxxxxx.
x) Doporučení potřebných xxxxxxxxxx, stanovení opatření x osob xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx činností.
(3) Xxxxxxxx xxx identifikaci x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxx stupnice pro xxxxxxxxx primárních xxxxx
1. xxxxxx stupnice pro xxxxxxxxx xxxxxx důvěrnosti xxxxx,
2. určení xxxxxxxx xxx xxxxxxxxx úrovní xxxxxxxxx xxxxx,
3. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxxxxxxxx xxxxx.
x) Xxxxxx stupnice xxx xxxxxxxxx rizik
1. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx hrozby,
3. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx,
4. xxxxxx xxxxxxxx pro hodnocení xxxxxx xxxxx,
x) Xxxxxx x přístupy xxx xxxxxxxx rizik.
b) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx.
(4) Xxxxxx o xxxxxxxxx xxxxx x xxxxx**
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. c)]
a) Xxxxxxx primárních xxxxx
1. xxxxxxxxxxxx a xxxxx xxxxxxxxxx xxxxx,
2. určení xxxxxxx xxxxxxxxxx aktiv,
3. xxxxxxxxx primárních aktiv x xxxxxxxx důvěrnosti, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx aktiv (xxxxxxx pro xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) zákona)
1. xxxxxxxxxxxx x xxxxx podpůrných xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx aktivy,
c) Xxxxxxxxxxxxxx x xxxxxxxxx xxxxx
1. xxxxxxxxx možných xxxxxx xx xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx zranitelností, xxxxxxxxx existujících xxxxxxxx,
4. xxxxxxxxx úrovně rizika, xxxxxxxxx xxxx xxxxxx x xxxxxxxx xxx xxxxxxxxxxxx rizik,
5. určení x xxxxxxxxx přijatelných xxxxx.
x) Xxxxxxxx xxxxx
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. xxxxx opatření x xxxxxx xxxxxxxxx.
(5) Xxxxxxxxxx o xxxxxxxxxxxxxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx vybraných xxxxxxxxxxxxxx xxxxxxxx včetně zdůvodnění xxxxxx xxxxxx x xxxxxx xxxxx na xxxxxxxxxxxxxx xxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx opatření.
(6) Xxxx xxxxxxxx rizik**
[§28 xxxx. 1 písm. x), §28 odst. 2 xxxx. x)]
x) Xxxxx a xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxxx xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
x) Termíny xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
(7) Xxxx xxxxxxx xxxxxxxxxxxxxx povědomí*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. f)]
a) Xxxxx x termíny xxxxxxx xxxxxxxxx.
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxx xxxxx (neplatí xxx xxxxxx x xxxxx xxxxxxx v §3 xxxx. x) xxxxxx).
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxxxxxxxxx (xxxxxxx xxx xxxxxx x osoby uvedené x §3 písm. x) zákona).
d) Xxxxx x xxxxxxx poučení xxxxxxx osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Obsah x xxxxxxx poučení xxxxxx xxxxxxxxxxx.
x) Xxxxx x xxxxxxx xxxxxxxxx xxxxx.
(8) Zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů**
[§28 xxxx. 1 xxxx. i), §28 xxxx. 2 xxxx. x)]
x) Definování xxxxxxxxx kybernetického bezpečnostního xxxxxxxxx.
x) Pravidla x xxxxxxx pro xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx kybernetických bezpečnostních xxxxxxxxx.
x) Pravidla a xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů x pro xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(9) Xxxxxxxxx xxxxxx xxxxxxxxxx činností**
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. h)]
a) Xxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxx xxxxxx xxxxxxxxxx xxxxxxxx
1. xxxxxxxxx xxxxxx poskytovaných xxxxxx,
2. xxxx obnovení xxxxx,
3. xxx obnovení xxxxx.
x) Strategie xxxxxx xxxxxxxxxx činností pro xxxxxxxx cílů xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx kontinuitu x xxxxxxxxxx xxxxxxxxxxxxx xxxxx.
x) Xxxxxx x xxxxx xxxxxxxxxx plánů xxxxxxxxxx.
x) Xxxxxxx pro xxxxxxxxx xxxxxxxx xxxxxxxx Národním xxxxxxxxxxxxx xxxxxx.
(10) Přehled xxxxxx závazných právních xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx předpisů x xxxxxxxxx xxxxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 písm. x)]
x) Xxxxxxx xxxxxx závazných xxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx předpisů a xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxx.
Xxxxxxxx:
* Xxxxxxxxx xxxxxxxxx xxxxxxxxx xx xx úrovni xxxxxxx xxxxx stupnice xxxxxxx x příloze č. 1: Xxxxxxxxx x úroveň xxxxx.
** Xxxxxxxxx xxxxxxxxx xxxxxxxxx xx xx úrovni xxxxxx podle stupnice xxxxxxx x příloze č. 1: Xxxxxxxxx x úroveň xxxxx.
Xxxxxxx x. 5 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx x. 6 x xxxxxxxx x. 316/2014 Sb.
Formulář xxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx a xxxx xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Příloha x. 7 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx xxx xxxxxxx xxxxxxxxxxx údajů
Vyplnitelný formulář ve formátu PDF
Xxxxxxxxx
Xxxxxx xxxxxxx x. 316/2014 Xx. nabyl xxxxxxxxx dnem 1.1.2015.
Xx xxx xxxxxxxx xxxxxx xxxxxxx xxxxx xxxxx xx doplňován.
Právní xxxxxxx x. 316/2014 Xx. xxx xxxxxx xxxxxxx xxxxxxxxx č. 82/2018 Sb. s xxxxxxxxx od 28.5.2018.
Xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx x odkazech není xxxxxxxxxxxxx, pokud xx xxxx xxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
1) ISO/IEC 27001:2013, xxxxxxxx ČSN XXX/XXX 27001:2014