Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
XXXXXXXX
xx xxx 15. xxxxxxxx 2014
o xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx, xxxxxxxxxxx opatřeních x x stanovení xxxxxxxxxxx podání x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx xxxxxxxxxxxx xxxx xxxxxxx xxxxx §28 xxxx. 2 xxxxxx x. 181/2014 Xx., x xxxxxxxxxxxx bezpečnosti x o xxxxx xxxxxxxxxxxxx xxxxxx (xxxxx x kybernetické xxxxxxxxxxx), (xxxx xxx "zákon") x provedení §6 xxxx. x) xx x), §8 odst. 4, §13 odst. 4 x §16 xxxx. 6 zákona.
XXXX PRVNÍ
ÚVODNÍ USTANOVENÍ
§1
Předmět xxxxxx
Xxxxx xxxxxxxxx xx xxxxxxx xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxx xxxxxxxxxx xxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxx xxxxxxxxxx systém, xxxxx bezpečnostních xxxxxxxx, xxxxxx xxxxxx zavedení, xxxx x kategorie xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx x způsob xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx a xxxx xxxxxxxx x xxxx xxxxxxxx xxxxxxxxxxx xxxxx x jeho formu.
§2
Xxxxxxxx pojmů
V této xxxxxxxx xx xxxxxx
x) xxxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx systému xxxxxx orgánu x xxxxx uvedené x §3 xxxx. c) xx x) zákona xxxxxxxx na xxxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury xxxx významného xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxx xxxxxx xxxxxxxx, zavádění, xxxxxx, monitorování, xxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx informací,
b) xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx aktivum,
c) xxxxxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx zpracovává xxxx xxxxxxxxx informační xxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx významný xxxxxxxxxx xxxxxx,
x) podpůrným xxxxxxx xxxxxxxxx xxxxxxx, zaměstnanci x xxxxxxxxxx xxxxxxxxxx xx xx provozu, xxxxxxx, xxxxxx nebo xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxx aktivem technické xxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx vybavení xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx x xxxxxxx, ve xxxxxxx xxxx tyto systémy xxxxxxxx,
x) xxxxxxx xxxxxxx, xx určitá xxxxxx xxxxxxx xxxxxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx x xxxxxxx xxxxxxxxx xxxxxx,
x) hodnocením xxxxx xxxxxx, při xxxx je xxxxxxxx xxxxxxxxxx rizik x xxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxx činnost xxxxxxxxxx xxxxxxxxx xxxxx, xxxxx x zavedení xxxxxxxx ke xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx x xxxxxx a xxxxxxxxx x přezkoumání xxxxx,
x) xxxxxxx potencionální xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxx nebo kybernetického xxxxxxxxxxxxxx xxxxxxxxx, jejímž xxxxxxxxx xxxx xxx xxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxx xxxxx xxxxx xxxxxx xxxx xxxxxxxxxxxxxx opatření, xxxxx může xxx xxxxxxxx jednou nebo xxxx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, jehož xxxxxx xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxxx rizik,
l) bezpečnostní xxxxxxxxx xxxxxx xxxxx x xxxxxxxx, xxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxx xxxxxxx x osobou xxxxxxxx x §3 písm. x) až x) xxxxxx,
x) xxxxxxxx xxxxxx xxxxxxx osoba xxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxx v §3 xxxx. x) až x) xxxxxx x xxxxxxxxx rozvoje, xxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx osoba xxxxx xxxxx xxxxxxx moci, xxxxx xxxxxxx primární xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxx xxxxx xxxxxxxx xxxxxxxx xxxxxx zajišťující správu, xxxxxx, použití, xxxxxx x bezpečnost technického xxxxxx.
ČÁST XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX OPATŘENÍ
§3
Systém řízení xxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 písm. x) x x) xxxxxx v rámci xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx
x) stanoví x xxxxxxx xx xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx, ve kterém xxxx, xxxxxxx xxxxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx,
x) xxxx xxxxxx xxxxx §4 odst. 1,
x) vytvoří x xxxxxxx bezpečnostní xxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, xxxxx xxxxxxxx xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx xx xxxxxx x řízení xxxxxxxxxxx xxxxxxxxx x na xxxxxxx bezpečnostních xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx bezpečnostní xxxxxxxx v xxxxxxx xxxxxxxxx xxxxx §5 x xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x xxxxxxxx bezpečnostní xxxxxxxx xxxxx §5,
f) xxxxxxx xxxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx xxxxx §15, x to xxxxxxx xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxx systému řízení xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxx, xxxxxxxxx výsledků xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, x to xxxxxxx xxxxxx xxxxx,
x) xxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x příslušnou xxxxxxxxxxx xx xxxxxxx xxxxxxxx auditů kybernetické xxxxxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx x x xxxxxxxxxxx s xxxxxxxxxxx nebo xxxxxxxxxxx xxxxxxx x
x) xxxx xxxxxx x xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, zaznamenává xxxxxxxx xxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x řízením rizik.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. e) zákona x xxxxx systému xxxxxx bezpečnosti xxxxxxxxx
x) xxxx xxxxxx xxxxx §4 xxxx. 2,
x) xxxxxxx a xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxx, xxxx, bezpečnostní xxxxxxx, xxxxx a xxxxxxxxxx xx vztahu x xxxxxx xxxxxxxxxxx xxxxxxxxx x xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx hodnocení xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx oblastech xxxxx §5, x xxxxxx příslušná xxxxxxxxxxxx xxxxxxxx a
c) xxxxxxx xxxxxxxxxxx zprávy o xxxxxxxxx xxxxx x xxxxx, bezpečnostní politiky, xxxxx zvládání rizik x xxxxx xxxxxxx xxxxxxxxxxxxxx povědomí, x xx nejméně xxxxxx xx xxx xxxx xxxx v souvislosti x xxxxxxxxxxx nebo xxxxxxxxxxx změnami.
§4
Xxxxxx xxxxx
(1) Xxxxx x osoba xxxxxxx x §3 písm. x) x d) xxxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx pro identifikaci x hodnocení xxxxx x pro identifikaci x xxxxxxxxx xxxxx xxxxxx stanovení kritérií xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxx, xxxxx xxxxx do xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxx §8 x rozsahu přílohy č. 1 x xxxx vyhlášce x xxxxxxx xxxxxxxxx xx zprávy x xxxxxxxxx xxxxx a xxxxx,
x) xxxxxxxxxxxx rizika, xxx xxxxxxx xxxxxxxx xxxxxx x zranitelnosti, xxxxxxx xxxxx dopady xx aktiva, hodnotí xxxx xxxxxx xxxxxxxxx x xxxxxxx podle přílohy č. 2 x xxxx xxxxxxxx, xxxx x xxxxxxx xxxxxxxxxx rizika x xxxxxxxx xxxxxx x xxxxxxxxx aktiv x xxxxx,
x) xxxxxxxx xx základě xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxxxxxxx x aplikovatelnosti, xxxxx xxxxxxxx přehled vybraných x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx x xxxxxx plán xxxxxxxx xxxxx, xxxxx obsahuje xxxx a xxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx, xxxxxx xxxxx zajišťující prosazování xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx rizik, potřebné xxxxxxxx, xxxxxxxxx, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxx jejich xxxxxxxx x popis xxxxx xxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx opatřeními x
x) xxxxxxxx xxx xxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx opatření xxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx (xxxx jen "Xxxx") x xxxxxxxxx xxxxx x x xxxxxxx, xx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx reaktivního xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx rizik, xxxxxx plán xxxxxxxx xxxxx.
(2) Orgán a xxxxx xxxxxxx x §3 xxxx. e) xxxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx pro xxxxxxxxxxxx x hodnocení xxxxx x xxx identifikaci x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx rizik,
b) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxx, xxxxx xxxxx do xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, podle §8 xxxxxxxxx v xxxxxxx přílohy č. 1 x xxxx xxxxxxxx a xxxxxxx zapracuje do xxxxxx o hodnocení xxxxx x xxxxx,
x) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx xxxxxxxx hrozby x xxxxxxxxxxxxx, posoudí xxxxx xxxxxx xx xxxxxxxx xxxxxx, xxxxxxx xxxx xxxxxx minimálně x rozsahu podle přílohy č. 2 x xxxx xxxxxxxx a xxxxxxxx xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxxxxxxx o xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx opatření,
e) xxxxxxxx x xxxxxx xxxx xxxxxxxx xxxxx, který xxxxxxxx cíle a xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, technické, xxxxxx x informační xxxxxx, termíny xxxxxx xxxxxxxx x xxxxx xxxxx xxxx xxxxxxxxxxxxxxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx opatřeními x
x) xxxxxxxx bez xxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxx xxxxxx Xxxxxx v hodnocení xxxxx a x xxxxxxx, xx xxxxxxxxx xxxxx aktualizované o xxxx xxxxxxxxxxxxx xxxxxxx x realizací xxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx kritéria xxx přijatelnost rizik, xxxxxx plán xxxxxxxx xxxxx.
(3) Xxxxxx rizik xxxx být xxxxxxxxx x jinými způsoby, xxx jak xx xxxxxxxxx x xxxxxxxxxx 1 a 2, xxxxx xxxxx a xxxxx uvedená v §3 xxxx. x) xx e) xxxxxx xxxxxxxxx, xx používá xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx vyšší xxxxxx xxxxxx xxxxx.
(4) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxx xxxxxxxxx xxxxx zvažuje zejména xxxx hrozby
a) porušení xxxxxxxxxxxx xxxxxxxx, provedení xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxx nebo xxxxxxx xxxxxxxxxxx anebo programového xxxxxxxx,
x) xxxxxxxx xxxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxx x licenčními xxxxxxxxxx,
x) xxxxxxxxxxxx xxxx x xxxxxxxxxxx sítě,
f) xxxxxxxx kód (například xxxx, spyware, xxxxxxx xxxx),
x) nedostatky při xxxxxxxxxxx xxxxxx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
x) narušení xxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx dodávek xxxxxxxxxx xxxxxxx,
x) xxxxxxxx nebo xxxxxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxx xxxxxxxx hrozby x
x) odcizení nebo xxxxxxxxx xxxxxx.
(5) Xxxxx x xxxxx uvedená x §3 písm. x) až e) xxxxxx xxx xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx vnějšího perimetru,
b) xxxxxxxxxxxx xxxxxxxxxxxx povědomí xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx xxx xxxxxxxxxxxxxx x odhalení xxxxxxxxxxx xxxxxxxxxxxxxx jevů, xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx činnosti xxxxxxxxx x administrátorů x neschopnost xxxxxxx xxxxxx nevhodné xxxx xxxxxxx způsoby xxxxxxx x
x) xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxx xxxx x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx.
(6) Orgán x xxxxx uvedená x §3 písm. x) x x) xxxxxx xxx xxxxxxxxx xxxxx xxxx xxxxxxx xxxx hrozby
a) xxxxxxxx xxxxxxxxxxxx politiky, xxxxxxxxx xxxxxxxxxxxxx činností, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxxxxxx kritické informační xxxxxxxxxxxxxx,
x) xxxxxxxxx xx xxxxxx xxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx prostředků, sabotáž,
d) xxxxxxxxxx přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx komunikací, xxxxxxx elektrické energie xxxx jiných xxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx, použití špionážních xxxxxxx x
x) zneužití xxxxxxxxxxxxx xxxxxxxxxxx nosičů xxx.
(7) Orgán a xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxx xxxxxxxxx rizik xxxx xxxxxxx xxxx xxxxxxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxx xxxxxxxxx kontroly a
d) xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx strany xxxxxxxxxxx.
§5
Xxxxxxxxxxxx politika
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx stanoví xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxx,
x) xxxxxx vztahů s xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxxx,
x) řízení přístupu,
h) xxxxxxxx chování uživatelů,
i) xxxxxxxxxx x xxxxxx,
x) xxxxxxxx předávání a xxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx,
x) bezpečné xxxxxxxxx xxxxxxxxx zařízení,
m) xxxxxxxxxxx x nabývání xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx,
x) xxxxxxx osobních xxxxx,
x) fyzická xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx sítě,
r) xxxxxxx xxxx xxxxxxxxx xxxxx,
x) nasazení a xxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx x xxxxxx xxxxxxxx xxx xxxx x vyhodnocení xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x
x) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxxxx bezpečnostní xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx bezpečnost,
c) xxxxxx xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) bezpečnost xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxxx,
x) řízení xxxxxxxx,
x) bezpečné chování xxxxxxxxx,
x) xxxxxxxxxx x xxxxxx,
x) poskytování x xxxxxxxx xxxxxxx programového xxxxxxxx a xxxxxxxxx,
x) xxxxxxx osobních xxxxx,
x) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxx škodlivým xxxxx a
n) nasazení x xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
(3) Orgán x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx pravidelně xxxxxxx xxxxxxxx bezpečnostní politiky x xxxxxxxxxxx ji.
§6
Xxxxxxxxxxx bezpečnost
(1) Orgán x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx zavede organizaci xxxxxx xxxxxxxxxxx informací, x xxxxx xxxxx xxxx xxxxx xxx xxxxxx kybernetické xxxxxxxxxxx x xxxxxxxxxxxx xxxx x jejich xxxxx x xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury nebo xxxxxxxxx xxxxxxxxxxx systémem.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx xxxxxxxxxxxx xxxx
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) architekt xxxxxxxxxxxx bezpečnosti,
c) xxxxxxx xxxxxxxxxxxx bezpečnosti a
d) xxxxxx aktiva podle §2 xxxx. m).
(3) Xxxxx x osoba xxxxxxx x §3 xxxx. e) xxxx xxxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxx 2.
(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx, xxxxxxxxx xx systém xxxxxx xxxxxxxxxxx xxxxxxxxx, která xx pro xxxx xxxxxxx xxxxxxxxx a xxxxxxx odbornou způsobilost xxxxx s řízením xxxxxxxxxxx xxxxxxxxx xx xxxx xxxxxxx xxx xxx.
(5) Architekt xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxxx bezpečnostních xxxxxxxx, xxxxx je xxx xxxx činnost vyškolena x xxxxxxx odbornou xxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xx dobu xxxxxxx xxx let.
(6) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx xxxxxxxxxxx audit xxxxxxxxxxxx bezpečnosti, xxxxx xx xxx xxxx xxxxxxx vyškolena x xxxxxxx xxxxxxxx způsobilost xxxxx x prováděním xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxx xxxxxxx xxx let. Auditor xxxxxxxxxxxx xxxxxxxxxxx vykonává xxxxx roli xxxxxxxxx x xxxxx xxxx xxxx xx xxxxxxx xx xxxxxx xxxx xxxxxxxxx x xxxxxxxx 2 písm. a), x) xxxx x).
(7) Xxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxx xxxxxxx tvořená xxxxxxx, xxxxx xxxx xxxxxxxx celkovým xxxxxxx x rozvojem xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného informačního xxxxxxx, anebo se xxxxxxxx podílejí xx xxxxxx x koordinaci xxxxxxxx spojených s xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx.
(8) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx e) xxxxxx xxxxxxx xxxxxxx xxxxxxx xxxx, xxxxx zastávají xxxxxxxxxxxx xxxx x xxxxxxx s plánem xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 písm. x).
§7
Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx zavede xxxxxxxx xxx dodavatele, která xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, x xxxxxxxx xx u xxxxxxxxxx nebo xxxxxx xxxx, xxxxx xx xxxxxxxx na xxxxxxx, xxxxxxx nebo xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx systému. Xxxxxx xxxxxxxx xxxxxxxxxx xx rozvoji, xxxxxxx xxxx zajištění bezpečnosti xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému prokazatelně xxxxxxxxxxx xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxxxxx, xxxxx xxxxxxxx xx xxxxxxxxxx o xxxxxxxxxxx informací.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx x xxxxxxxxxx xxxxxxxxx x odstavci 1 xxxx
x) před xxxxxxxxx xxxxxxx provádí xxxxxxxxx xxxxx podle přílohy č. 2 x této xxxxxxxx, která jsou xxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) uzavírá xxxxxxx x úrovni xxxxxx, xxxxx xxxxxxx způsoby x úrovně xxxxxxxxx xxxxxxxxxxxxxx opatření x xxxx vztah xxxxxxxx xxxxxxx odpovědnosti xx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx opatření, a
c) xxxxxxx pravidelné xxxxxxxxx xxxxx a xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx u poskytovaných xxxxxx a xxxxxxxx xxxxxxxxxx odstraňuje xxxx xx dohodě x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxx.
§8
Xxxxxx xxxxx
(1) Xxxxx x osoba uvedená x §3 xxxx. x) xx x) xxxxxx x xxxxx xxxxxx xxxxx
x) identifikuje x xxxxxxx xxxxxxxx xxxxxx,
x) xxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xx xxxxxxxx xxxxxx, x
x) xxxxxxx xxxxxxxxxx primárních xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x zařadí xx xx xxxxxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxx xxxxx přílohy č. 1 k xxxx vyhlášce.
(2) Xxx xxxxxxxxx důležitosti xxxxxxxxxx xxxxx xx xxxxx xxxxxxxxx xxxxxxxx
x) xxxxxx x xxxxxxxxxx osobních xxxxx xxxx xxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx vnitřních xxxxxxxx x kontrolních xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, obchodních xxxx xxxxxxxxxxxx zájmů,
e) xxxxx xxxxxxxx xxxxxx,
x) xxxxxx narušení xxxxxxx xxxxxxxx orgánu a xxxxx uvedené x §3 xxxx. x) xx e) zákona,
g) xxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti a
h) xxxxxx xx zachování xxxxxxx jména xxxx xxxxxxx xxxxx xxxxxxx.
(3) Xxxxx a osoba xxxxxxx x §3 xxxx. x) a x) xxxxxx dále
a) xxxxxxxxxxxx x eviduje xxxxxxxx xxxxxx,
x) xxxx xxxxxxx xxxxx, xxxxx xxxx odpovědní xx xxxxxxxx aktiva, x
x) xxxx vazby mezi xxxxxxxxxx x xxxxxxxxxx xxxxxx x hodnotí xxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxx a xxxxxxxxxx xxxxxx.
(4) Orgán a xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxx
x) stanoví pravidla xxxxxxx, nutná xxx xxxxxxxxxxx xxxxxxxxxxxx úrovní xxxxx xxx, xx
1. xxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxx xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx x xxxxxx xxxxx xxxxxx xxxxx, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxx xxxxx x
3. xxxxxxx přípustné xxxxxxx používání xxxxx,
x) xxxxxx xxxxxxxx ochrany xxxxxxxxxxxx úrovni xxxxx x
x) xxxx xxxxxxx xxx spolehlivé xxxxxxx xxxx xxxxxx technických xxxxxx xxx s xxxxxxx na úroveň xxxxx.
§9
Bezpečnost lidských xxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxx řízení bezpečnosti xxxxxxxx xxxxxx
x) xxxxxxx xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx obsahuje xxxxx, obsah x xxxxxx potřebných xxxxxxx x xxxx osoby xxxxxxxxxxx xxxxxxxxx jednotlivých xxxxxxxx, které xxxx x xxxxx uvedeny,
b) x xxxxxxx x xxxxxx rozvoje bezpečnostního xxxxxxxx zajistí xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxx xxxxxxxxxxxx a x xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx a xxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx bezpečnostní xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a osob xxxxxxxxxxxxx xxxxxxxxxxxx role x
x) zajistí xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx přístupových xxxxxxxxx xxx ukončení xxxxxxxxx xxxxxx x xxxxxxxxx, xxxxxxxxxxxxxx xxxx osobami xxxxxxxxxxxxx bezpečnostní role.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx vede x školení xxxxx xxxxxxxx 1 xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxx, xxxxx školení xxxxxxxxxxx.
(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxx
x) stanoví xxxxxxxx xxx xxxxxx osob, xxxxx xxxxx zastávat xxxxxxxxxxxx xxxx, role xxxxxxxxxxxxxx xxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx plánu xxxxxxx xxxxxxxxxxxxxx povědomí, xxxxxxxxxxx xxxxxxx x xxxxxxx činností xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxx xxxxxxxx x postupy xxx xxxxxx případů porušení xxxxxxxxxxx xxxxxxxxxxxxxx pravidel xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx bezpečnostní xxxx x
x) zajistí xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
§10
Řízení provozu x xxxxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxx xxxxxx xxxxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx v §21 xx 23 xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxx x xx xxxxxxxx xxxxxxxxxx reaguje x xxxxxxx s §13.
(2) Xxxxx x xxxxx uvedená x §3 písm. x) xx x) xxxxxx x rámci xxxxxx xxxxxxx x xxxxxxxxxx xxxx xxxxxxxxx bezpečný xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačního systému. Xx tímto účelem xxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx.
(3) Xxxxxxxx xxxxxxxx x xxxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxxx
x) xxxxx x xxxxxxxxxx xxxx zastávajících xxxxxxxxxxxx xxxx, administrátorů x xxxxxxxxx,
x) xxxxxxx pro xxxxxxxx a xxxxxxxx xxxxx xxxxxxx, xxx xxxxxxx xxxx xxxxxxxx xxxxx xxxxxxx po xxxxxxx x xxx xxxxxxxx xxxxxxxxx xxxxx xxxx mimořádných xxxx,
x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x pro ochranu xxxxxxxx k xxxxxxxx x těchto činnostech,
d) xxxxxxx xx xxxxxxxxx xxxxx, které xxxx xxxxxx xxxx xxxxxxx xxx řešení xxxxxxxxxxxxx xxxxxxxxxxx xxxx technických xxxxxx,
x) xxxxxxx xxxxxx x schvalování provozních xxxx x
x) postupy xxx sledování, xxxxxxxxx x xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxx.
(4) Xxxxxx xxxxxxx xxxxxx a xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxxxxx x xxxxxxxxx pravidelného xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx záloh.
(5) Xxxxxx provozu xxxxxx x osoby xxxxxxx x §3 písm. x) x x) xxxxxx xxxxxxx x
x) xxxxxxxxx xxxxxxxx vývojového, xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxx vydaných Xxxxxx xxx, že orgán x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx
1. posoudí xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xx informační systém xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x na xxxxxxxx xxxxxxxxxxxx xxxxxxxx, vyhodnotí xxxxx negativní xxxxxx x xxx zbytečného xxxxxxx je xxxxxx Xxxxx x
2. xxxxxxx xxxxxx xxxxxxxx provedení xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxxxxxx možné negativní xxxxxx, x určí xxxxxx plán xxxx xxxxxxxxx.
(6) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx x xxxxx xxxxxx xxxxxxxxxx
x) zajišťuje bezpečnost x xxxxxxxxx xxxxxxxxxxxxx xxxx x xxxxxxxxxx xxxxxxxxxxxxx služeb xxxxx §17,
x) určí xxxxxxxx x xxxxxxx pro xxxxxxx informací, xxxxx xxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx,
x) provádí xxxxxx x předávání xxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxx a xxxx xxxxxxxx dokumentuje x
x) s xxxxxxx xx klasifikaci xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxx xxxxx, xxxxxxx součástí xx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx.
§11
Řízení přístupu a xxxxxxxx xxxxxxx uživatelů
(1) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) až x) xxxxxx xx xxxxxxx provozních x xxxxxxxxxxxxxx potřeb řídí xxxxxxx x xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačnímu xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxx uživateli xxxxxxxxxxx xxxxxxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 písm. x) xx x) xxxxxx xxxxxx xxxxxxxx, xxxxx xxxxxx x zajištění xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx §18 x 19, x která xxxxx xx xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx xxxx v xxxxx xxxxxx xxxxxxxx
x) přidělí xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx x xxxxxxx přístupová xxxxxxxxx x xxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx,
x) xxxxxxx pravidelné xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx uživatelů x xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxx,
x) xxxxxxx xxxxxxx xxx ověřování identity xxxxxxxxx xxxxx §18 x nástroj pro xxxxxx xxxxxxxxxxxx oprávnění xxxxx §19 x
x) xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx zařízení, xxxxxxxx x xxxxxxxxxxxx xxxxxxxx spojená x xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxx orgán a xxxxx xxxxxxx v §3 xxxx. c) x x) zákona xxxxxxxxxxx.
§12
Xxxxxxxx, xxxxx x xxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) zákona xxxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx xxxxxxx x xxxxxx xxxxxxxx, xxxxxxx x xxxxxxx x xxxxxx je xx xxxxxxxx xxxxxxxx, xxxxxx x xxxxxx xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) zákona dále
a) xxxxxxxxxxxx, hodnotí x xxxx xxxxxx související x akvizicí, xxxxxxx x xxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx; xxx xxxxxxx xxxxxxxxx x řízení xxxxx xx metodiky xxxxx §4 xxxx. 1 xxxx. x) xxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx prostředí x zajistí xxxxxxx xxxxxxxxxxx xxxxxxxxxxx dat x
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx změn xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx nebo komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx před jejich xxxxxxxxx xx xxxxxxx.
§13
Xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx a xxxxxxxxx
Xxxxx x osoba xxxxxxx x §3 xxxx. x) až x) xxxxxx xxx zvládání xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) přijme xxxxxxxx xxxxxxxx, xxxxx xxxxxxx xxxxxxxxxx kybernetických bezpečnostních xxxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx informační xxxxxxxxxxxxxx x významného informačního xxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x o xxxxxxxxxx xxxx xxxxxxx,
x) xxxxxxxx prostředí xxx xxxxxxxxxxx oznámených xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx §21 až 23, xxxxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx incidenty,
c) xxxxxxx klasifikaci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxx xxx odvrácení x xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle §32 a xxxxxxx xxxx xxxxxxxxxxx podkladů xxxxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx x xxxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxx účinnost xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a na xxxxxxx xxxxxxxxxxx xxxxxxx xxxxx bezpečnostní xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
§14
Xxxxxx xxxxxxxxxx xxxxxxxx
(1) Xxxxx x osoba xxxxxxx v §3 xxxx. x) až x) zákona x xxxxx xxxxxx xxxxxxxxxx xxxxxxxx stanoví
a) xxxxx x xxxxxxxxxx xxxxxxx xxxxx, administrátorů x xxxx zastávajících bezpečnostní xxxx,
x) xxxx řízení xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx, která xx přijatelná xxx xxxxxxx, provoz x xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
2. xxxx obnovení chodu, xxxxx xxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx minimální xxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x
3. xxxx obnovení xxx xxxx xxxxxxx, xx xxxxxxx xxxxx xxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu, x
x) xxxxxxxxx xxxxxx kontinuity xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxx podle xxxxxxx x).
(2) Xxxxx x xxxxx uvedená x §3 písm. x) x x) xxxxxx xxxx
x) xxxxxxxxx x dokumentuje xxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx a posoudí xxxxx xxxxxx xxxxxxxxxxx x ohrožením xxxxxxxxxx xxxxxxxx,
x) stanoví, aktualizuje x xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx xxx zajišťování xxxxxx dostupnosti xxxxx §26 x
x) xxxxxxx x xxxxxxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx xxxxx §13 a 14 xxxxxx, xx xxxxxxx xxxxxxxx
1. xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxx xxxxxxxx,
2. xxxx xxxxxxxxx bezpečnostních xxxxxxxx a
3. vyhodnocení xxxxxxxxxx xxxxxxxxxxx xxxxxx xx provoz x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury xxxx xxxxxxxxxxxxx systému xxxxxxxx informační infrastruktury.
§15
Kontrola a xxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Orgán x xxxxx xxxxxxx v §3 xxxx. c) xx e) xxxxxx x xxxxx xxxxxxxx x xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx systémů (xxxx xxx "audit xxxxxxxxxxxx xxxxxxxxxxx")
x) xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx předpisy, xxxxxxxxx předpisy, xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxxx xx x xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxx xxxxxxxx xxx xxxx xxxxxxxxxxx x
x) provádí a xxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx politiky x xxxxxxxx xxxxxx xxxxxxx zohlední v xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx xxxxx.
(2) Orgán x xxxxx uvedená x §3 písm. x) x x) xxxxxx zajišťuje xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxxx xxxxx §6 xxxx. 6, xxxxx xxxxxxx xxxxxxxxx x xxxxxxxx zavedených bezpečnostních xxxxxxxx.
(3) Orgán a xxxxx xxxxxxx x §3 písm. c) x x) xxxxxx xxxx pro xxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx a xxxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx prostředků xxxxxx xxxxxxxxxxxxxxxx xxxxxxxx x xxxxxx odborné xxxxxxxxxxx x xxxxxxx xx xxxxxxxx xxxxxxxxxxxxx.
XXXXX XX
XXXXXXXXX XXXXXXXX
§16
Xxxxxxx xxxxxxxxxx
(1) Xxxxx a xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx x xxxxx fyzické xxxxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx x zamezení xxxxxxxxxxxxx xxxxxx do xxxxxxxxxx xxxxxxx, xxx xxxx zpracovávány informace x umístěna xxxxxxxxx xxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx poškození x xxxxxxx xx xxxxxxxxxx xxxxxxx, kde xxxx xxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx informačního systému, x
x) xxxxxxxxx xxxxxxxxx, xxxxxxx xxxx zneužití xxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx uplatňuje xxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxx xxxxxxxxx xxxxxxx xx xxxxxx xxxxxxx x
x) xxx xxxxxxxxx xxxxxxx x xxxxx xxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxx, ve xxxxxxx xxxx umístěna xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.
(3) Xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxx prostředky,
b) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx,
x) prostředky omezující xxxxxxxx požárů,
d) prostředky xxxxxxxxx působení xxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxx kontrolu vstupu,
f) xxxxxxxx xxxxxxx,
x) zařízení xxx zajištění ochrany xxxx xxxxxxxx dodávky xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxx xxx zajištění xxxxxxxxxxx xxxxxxxxxx xxxxxxxx.
§17
Xxxxxxx pro xxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxx xxxxxxx integrity xxxxxxxx xxxxxx xxxxxxxxxxx sítě, xxxxx není pod xxxxxxx xxxxxx xxxx xxxxx, x vnitřní xxxxxxxxxxx xxxx, xxxxx xx xxx xxxxxxx xxxxxx xxxx osoby, xxxxxx
x) xxxxxx bezpečného xxxxxxxx xxxx vnější x xxxxxxx xxxx,
x) xxxxxxxxxx zejména použitím xxxxxxxxxxxxxxxxxx xxx xxxx xxxxxxxxxxx xxxx xxxx xxxxxxxxxxx xx xxxxxxx xxxxxxxxxxx xxxxxxxx dostupných x xxxxxx xxxx x x zamezení xxxxx xxxxxxxxxx xxxxxxx xxxx x vnější xxxx,
x) kryptografické xxxxxxxxxx (§25) xxx xxxxxxxx xxxxxxx, vzdálenou xxxxxx xxxx pro xxxxxxx xxxxxx xxxxxxxxxxxx technologií x
x) xxxxxxxx xxx xxxxxxxxxx xxxx blokování xxxxxxxxxxx xxx, xxxxx xxxxxxxxxxxx požadavkům na xxxxxxx integrity xxxxxxxxxxx xxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxxx xxxxxxx xxxxxxxx xxx xxxxxxx integrity xxxxxxx komunikační xxxx, xxxxx zajistí xxxx xxxxxxxxxx.
§18
Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx
(1) Orgán x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx xxxxxxx nástroje xxx ověření xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxx xxx ověřování identity xxxxxxxxx a administrátorů xxxxxxxxx ověření xxxxxxxx xxxxxxxxx x administrátorů xxxx xxxxxxxxx jejich xxxxxxx v xxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačním xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxx xxxxxxxxxxx xxxxxxx.
(3) Xxxxxxx pro xxxxxxxxx identity uživatelů, xxxxx používá xxxxxxxxxxx xxxxx heslem, xxxxxxxxx
x) xxxxxxxxx xxxxx xxxxx xxx xxxxx,
x) xxxxxxxxx xxxxxxxxx xxxxx xxx, xx heslo xxxx xxxxxxxxx alespoň 3 x následujících čtyř xxxxxxxxx
1. xxxxxxx xxxxx xxxxx písmeno,
2. nejméně xxxxx malé písmeno,
3. xxxxxxx xxxxx xxxxxxx, xxxx
4. nejméně xxxxx xxxxxxxxx xxxx xxxxxxx xx xxxxxxxxx xxxxxxxxx x xxxxxx 1 xx 3,
x) xxxxxxxxx xxxx xxx xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxxx xxx xxx; xxxxx xxxxxxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(4) Orgán x xxxxx xxxxxxx x §3 xxxx. c) x d) zákona xxxx
x) xxxxxxx xxxxxxx xxx ověření xxxxxxxx, xxxxx
1. xxxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxx a xxxxxxxx xxxx xxxx xxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxx, které xxxx xxx xxxxxxx 24 hodin, x
2. xxxxxxx xxxxxxxx xxxxxxx xxxxxxxx xx určené xxxx xxxxxxxxxx x
x) xxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx. X případě, xx xxxxx nástroj využívá xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxxxx xxxxxxxxx délky xxxxx xxxxxxx znaků xxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx. b) a x).
(5) Xxxxxxx xxx xxxxxxxxx identity xxxxxxxxx xxxx xxx xxxxxxxx x xxxxxx xxxxxxx, xxx xxxx xxxx xxxxxxxxx x xxxxxxxxxx 3 xx 5, xxxxx xxxxx a xxxxx xxxxxxx v §3 xxxx. c) xx e) xxxxxx xxxxxxxxx, že xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxxxx úroveň xxxxxxxxx xxxxx.
§19
Xxxxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx používá nástroj xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx xxxxxx xxxxxxxxx
x) xxx xxxxxxx x jednotlivým xxxxxxxxx x datům x
x) xxx čtení xxx, xxx xxxxx xxx a xxx xxxxx xxxxxxxxx.
(2) Orgán x osoba xxxxxxx x §3 písm. x) a d) xxxxxx xxxx xxxxxxx xxxxxxx pro řízení xxxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxxxxx xxxxxxx přístupových xxxxxxxxx x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx.
§20
Xxxxxxx xxx xxxxxxx xxxx xxxxxxxxx kódem
Orgán x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx pro xxxxxx xxxxx spojených x xxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx škodlivým kódem, xxxxx zajistí ověření x stálou kontrolu
a) xxxxxxxxxx xxxx vnitřní xxxx x vnější xxxx,
x) xxxxxxx x xxxxxxxxx datových xxxxxxx x
x) xxxxxxxxxx stanic,
přičemž xxxxxxx pravidelnou a xxxxxxx xxxxxxxxxxx nástroje xxx xxxxxxx před xxxxxxxxx kódem, jeho xxxxxxx a signatur.
§21
Xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x významných xxxxxxxxxxxx systémů, jejich xxxxxxxxx x xxxxxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) až x) xxxxxx používá xxxxxxx pro zaznamenávání xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačního xxxxxxx, xxxxx xxxxxxx
x) xxxx xxxxxxxxx x xxxxxxxxxx x bezpečnostních xxxxxxxxxx, xxxxxxx xxx xxxxxxxx, xxxxx x xxx, xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, xxxxx činnost xxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx x xxxxx xxxxxxxx x xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx a
b) ochranu xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxx čtením xxxx xxxxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 písm. x) xx x) xxxxxx xxxx xxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxxxxxx a xxxxxxxxx xxxxxxxxx x administrátorů,
b) xxxxxxxx provedené xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxx xx xxxxx přístupových oprávnění,
d) xxxxxxxxxxx činností v xxxxxxxx nedostatku přístupových xxxxxxxxx a další xxxxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxx x ukončení xxxxxxxx technických xxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významného xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxx nebo xxxxxxx xxxxxxx xxxxxxxxxxx xxxxx,
x) xxxxxxxx x xxxxxxxx x xxxxxxxxxx, xxxxxx x manipulaci se xxxxxxx o xxxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx xxx zaznamenávání xxxxxxxx x
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxx xxxxxx xxxxx xxxxx, xxxxx xxxxxx x xxxxxxxxxx.
(3) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxxxxx činností xxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxxx nejméně xx xxxx 3 xxxxxx.
(4) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxxxxxxx nejméně xxxxxx xx 24 xxxxx xxxxxxxxxxxxx jednotného xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxx xxxxxxxxx do xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
§22
Xxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
(1) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona xxxxxxx xxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx ze xxxxxxxxxxx xxxxxxxxxxxxxx potřeb x výsledků hodnocení xxxxx x xxxxx xxxxxxx xxxxxxx, xxxxxxxx x xxxxxxxx zablokování xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxx x xxxxxx xxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxx používá xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx xxxxxxx, xxxxxxxx x případně xxxxxxxxxxx komunikace
a) x xxxxx xxxxxxx xxxxxxxxxxx xxxx x
x) serverů xxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.
§23
Xxxxxxx xxx xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
(1) Xxxxx x osoba xxxxxxx x §3 písm. x) x d) xxxxxx xxxxxxx nástroj xxx xxxx x xxxxxxxx vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, který x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx
x) xxxxxxxxxxx sběr x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) poskytování xxxxxxxxx pro xxxxxx xxxxxxxxxxxx xxxx o xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x informačním xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx xxxx é xxxxxxxxxx infrastruktury a
c) xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů, xxxxxx xxxxxxxx xxxxxxxx určených xxxxxxxxxxxxxx xxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxx xxxxxxx
x) xxxxxxxxxxx xxxxxxxxxxx nastavení xxxxxxxx pro xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxx xxxxxxxx, xxx byly omezovány xxxxxxx nesprávného vyhodnocení xxxxxxxx xxxx xxxxxxx xxxxxxxxx varování, x
x) xxxxxxxxx xxxxxxxxx, které xxxx připraveny xxxxxxxxx xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx.
§24
Xxxxxxxxx xxxxxxxxxx
(1) Orgán x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxxxxxx bezpečnostní xxxxx zranitelnosti xxxxxxxx, xxxxx xxxx přístupné x vnější xxxx, x xx xxxx xxxxxx xxxxxxxx xx xxxxxxx x xx xxxxx xxxxxxx xxxxx xxxxxxxxxxxxxx mechanismů.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) a x) xxxxxx dále x xxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx
x) xxxxxxxx x informací xxxxxxxxxx x xxxxxx xxxx xxxx xxxxxxxxxxxx xxxxxxxx, popřením provedených xxxxxxxx, xxxxxxxxxxxx xxxx xxxxxxxxxxxxxxx xxxxxx a
b) xxxxxxxxx xxxx jejich xxxxxxxxxxxx, xxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxxx změnou xxxxxxxxxxx xxxxxxxx obsahu, kompromitací, xxxxxxxxxxxxxxx duplikováním xxxx xxxxxxxxxx.
§25
Xxxxxxxxxxxxxx xxxxxxxxxx
(1) Orgán x osoba xxxxxxx x §3 xxxx. x) až x) xxxxxx
x) pro xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx stanoví
1. xxxxxx ochrany x xxxxxxx xx xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx x
2. xxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx nebo xxx uložení xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxx a
b) v xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x výsledky xxxxxxxxx xxxxx používá xxxxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx ochranu xxxxxxxxxx x xxxxxxxxx předávaných xxxx xxxxxxxxxx xxx x xxxxxxxxx xxxxxxxxxxxx xxxxx xx xxxxxxxxx xxxxxxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 písm. x) x x) zákona xxxx
x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx správy xxxxx, xxxxx xxxxxxx generování, xxxxxxxxxx, ukládání, xxxxxxxxx, xxxxx, xxxxxx, xxxxxxxx x xxxxx xxxxx, x
x) xxxxxxx xxxxxx xxxxxxxxxxxxxx algoritmy x xxxxxxxxxxxxxx xxxxx; x xxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxxx uvedenými x příloze č. 3 x xxxx xxxxxxxx xxxx xxxxxx xxxxxxx x xxxxx nesouladem.
§26
Xxxxxxx pro xxxxxxxxxxx xxxxxx xxxxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 písm. x) xx e) xxxxxx v souladu x bezpečnostními xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx nástroj xxx zajišťování xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x osoba uvedená x §3 písm. x) x x) xxxxxx používá nástroj xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxx xxxxxxx xxxx xxxxxx kontinuity xxxxxxxx,
x) xxxxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx vůči kybernetickým xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx mohly xxxxxx xxxxxxxxxx, a
c) xxxxxxxxxx xxxxxxxxxx technických xxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury
1. xxxxxxxx xxxxxxxxxx x návrhu xxxxxx x
2. xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxx x určeném xxxx.
§27
Bezpečnost xxxxxxxxxxxx a xxxxxxxx xxxxxxx
Xxxxx a xxxxx uvedená x §3 xxxx. c) x d) zákona xxx bezpečnost xxxxxxxxxxxx x xxxxxxxx systémů, xxxxx xxxx xxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx anebo jsou xxxxxx xxxxxxxx, používá xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx xxxxxxxxx přístupu x xxxx a xxxxxxxxx průmyslových x xxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxx x vzdáleného xxxxxxxx x xxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxx,
x) ochranu xxxxxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx x xxxxxxxx systémů xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxx a
d) xxxxxxxx xxxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxx xx xxxxxxxxxxxxx bezpečnostním xxxxxxxxx.
HLAVA XXX
XXXXXXXXXXXX DOKUMENTACE
§28
Bezpečnostní xxxxxxxxxxx
(1) Orgán x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx
x) bezpečnostní politiku xxxxx §5 xxxx. 1,
x) xxxxxx z xxxxxx kybernetické xxxxxxxxxxx xxxxx §3 xxxx. 1 písm. f),
c) xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxx §3 xxxx. 1 xxxx. x),
x) xxxxxxxx xxx xxxxxxxxxxxx a xxxxxxxxx xxxxx x pro xxxxxxxxxxxx x xxxxxxxxx xxxxx,
x) xxxxxx x xxxxxxxxx aktiv x xxxxx,
x) xxxxxxxxxx o xxxxxxxxxxxxxxxx,
x) xxxx xxxxxxxx xxxxx,
x) xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xxxxx §13 písm. x),
x) strategii xxxxxx xxxxxxxxxx činností xxxxx §14 xxxx. 1 xxxx. x) a
k) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx předpisů x xxxxxxxxx závazků xxxxx §15 xxxx. 1 xxxx. x).
(2) Orgán x xxxxx uvedená x §3 xxxx. x) xxxxxx xxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxx xxxxx §5 xxxx. 2,
x) xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x pro identifikaci x xxxxxxxxx xxxxx xxxxx §4 odst. 2 xxxx. x),
x) xxxxxx x xxxxxxxxx xxxxx x xxxxx xxxxx §4 xxxx. 2 xxxx. x) x c),
d) xxxxxxxxxx x aplikovatelnosti xxxxx §4 xxxx. 2 xxxx. d),
e) xxxx xxxxxxxx xxxxx podle §4 xxxx. 2 xxxx. x),
x) xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. e),
h) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxx §14 xxxx. 1 xxxx. x) x
x) přehled právních xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx závazků xxxxx §15 xxxx. 1 xxxx. x).
(3) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxx xxxxxxxxxxxx dokumentaci tak, xxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxx xxxxx, čitelné, xxxxxx xxxxxxxxxxxxxxxxx x xxx xx xxxx snadno xxxxxxxx. Xxxxxxxx potřebná x xxxxxxxxxxxx, xxxxxxx, xxxxxxx, xxxxxxxxx, době xxxxxxxxx a uspořádání xxxxxxx o provedených xxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx stanovena x příloze č. 4 k xxxx xxxxxxxx.
§29
Xxxxxxxxx certifikace
Orgán x xxxxx xxxxxxx x §3 písm. c) xx x) xxxxxx, xxxxx informační xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury nebo xxxxxxxx informační systém xx xxxxx xxxxxxx xx xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx xxxxx1) xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx, x která xxxx dokumenty xxxxxxxxxx
x) xxxxx xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx x xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) popis xxxxxxx xxxxxx hodnocení xxxxx x xxxxxx x xxxxxxxxx rizik,
d) xxxxxxxxxx x aplikovatelnosti,
e) xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx zabývající se xxxxxxxxxxx informací1),
f) záznam x xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx souvisejících xxxxxx x xxxxxxx přezkoumání x
x) xxxxxx x xxxxxx provedených xxxxxxxxxxxxx xxxxxxx včetně příslušných xxxxxxx o nápravě xxxxxxxxxx xxxxxx s xxxxxxxxxx xxxxxx,
xxxxxxx xxxxxxxxx xx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx x xxxx xxxxxxxx.
XXXX TŘETÍ
KYBERNETICKÝ XXXXXXXXXXXX XXXXXXXX
§30
Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx příčiny xxxx kybernetické bezpečnostní xxxxxxxxx xxxxxxxxx do xxxxxxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobený xxxxxxxxxxxxx xxxxxx xxxx xxxxx událostí vedoucí x xxxxxxx xx xxxxxxx nebo x xxxxxxx dostupnosti xxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxx škodlivým xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx,
x) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx spojený x projevem trvale xxxxxxxxxx xxxxxx a
f) xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx kybernetickým xxxxxx.
(2) Xxxxx xxxxxx xxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx rozděleny xx xxxxxxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobující xxxxxxxx xxxxxxxxxx aktiv,
b) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx narušení xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx způsobující xxxxxxxx xxxxxxxxxxx aktiv, xxxx
x) xxxxxxxxxxxx bezpečnostní incident xxxxxxxxxxx xxxxxxxxx dopadů xxxxxxxxx x xxxxxxxxx x) až x).
§31
Kategorie xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Xxx potřeby xxxxxxxx kybernetických bezpečnostních xxxxxxxxx xx xxxxx xxxxxxxx a xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx dělí do xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - velmi xxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, xxx kterém xx xxxxx x xxxxxxxx xxxxxxxx bezpečnost xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx řešení xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x xxx, xx musí xxx xxxxx dostupnými xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx škod.
b) Xxxxxxxxx XX - xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, při xxxxxx xx narušena bezpečnost xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho xxxxxx xxxxxxxx xxxxxxxxxx zásahy xxxxxxx s xxx, xx xxxx být xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx šíření xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
x) Xxxxxxxxx X - xxxx xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx kterém xxxxxxx k méně xxxxxxxxxx xxxxxxxx bezpečnosti xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxx xxxxxxx x tím, xx xxxx být xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace xxxxxxxxx xxxx.
(2) Orgán x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xxxxx odstavce 1 xxxxxxxx
x) důležitost xxxxxxxxx aktiv xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx,
x) dopady xx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxx xx xxxxxx poskytované xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx a
d) xxxxxxxxxxxxx xxxxx x xxxxx xxxxxx.
§32
Xxxxx x náležitosti xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx
x) v elektronické xxxxxx xxxxxxxxxxxxxxx
1. xxxxxxxxxxxxxx xxxxxxxxx zveřejněného xx xxxxxxxxxxxxx stránkách Xxxxx,
2. xxxxxx xx xxxxxx xxxxxxxxxxxx xxxxx Úřadu xxxxxx xxx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxx xx xxxxxxxxxxxxx stránkách Úřadu,
3. xxxxxx xxxxxx xx xxxxxx schránky Úřadu, xxxx
4. prostřednictvím xxxxxxxx xxxxxxxx rozhraní, xxxxx xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx, anebo
b) x xxxxxxxx xxxxxx xx xxxxxx Xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, zveřejněné xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxx x xxxxxxxx xxxxxx se xxxxxx pouze x xxxxxxxxx, xxx nelze xxxxxx žádný xx xxxxxxx xxxxxxxxx x xxxxxxxx 1 xxxx. x).
(3) Náležitosti hlášení xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxx xxxxxxx x příloze č. 5 x této xxxxxxxx.
XXXX ČTVRTÁ
REAKTIVNÍ XXXXXXXX X XXXXXXXXX ÚDAJE
§33
Reaktivní xxxxxxxx
Xxxxx a osoba xxxxxxx v §3 xxxx. x) xx x) zákona xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx xx xxxxxxxxx, xxxxx xxxx xx xxxxxx x příloze č. 6 k xxxx xxxxxxxx.
§34
Xxxxxxxxx xxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxxxx xxxxxxxx xxxxxxxxx xxxxx xx xxxxxxxxx, xxxxx xxxx xx xxxxxx v příloze č. 7 x této xxxxxxxx. Orgán a xxxxx xxxxxxx v §3 písm. c) xx x) xxxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxx x §32 odst. 1 xxxx. a).
ČÁST XXXX
XXXXXXXX
§35
Xxxx xxxxxxxx xxxxxx xxxxxxxxx dnem 1. xxxxx 2015.
Xxxxxxx:
Xxx. Xxxxxxxx v. r.
Xxxxxxx x. 1 x xxxxxxxx x. 316/2014 Sb.
Hodnocení x xxxxxx důležitosti xxxxx
Xxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxx použity stupnice x xxxxxxx xxxxxxxx. Xxxxx xxxx xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxx xxxxxxxx xxxxxxx počet xxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxx xxxx xx uveden x xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx xx používaným xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx x xxxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx xxxx uvedeny x této xxxxxxx.
X xxxxxxx xxxxxxx tří xxxxxx hodnocení xxxxxxxxxxx xxxxx je xxxxxxxxx xxxxxxx xxx úrovně xxxxx a xxxxxxx, xxxx úrovně vysoká x xxxxxxxx.
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxx jsou xxxxxxx xxxxxxxxx xxxx xxxx určena xx xxxxxxxxxx (např. na xxxxxxx xxxxxx č. 106/1999 Sb., x xxxxxxxxx xxxxxxxx x xxxxxxxxxx, ve xxxxx xxxxxxxxxx předpisů). Xxxxxxxx důvěrnosti aktiv xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona. |
Není xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx a xxxxx xxxx-xxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx, xxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx pro řízení xxxxxxxx. |
|
Xxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx x xxxxxx xxxxxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx (xxxx. xxxxxxxx xxxxxxxxx xxxxx zákona č. 89/2012 Sb., xxxxxxxx xxxxxxx, xxxxxx xxxxx podle xxxxxx č. 101/2000 Sb., x xxxxxxx xxxxxxxx xxxxx, xx xxxxx pozdějších xxxxxxxx). |
Xxx xxxxxxx důvěrnosti xxxx využívány xxxxxxxxxx, xxxxx xxxxxxx xxxxxx x zaznamenávání přístupu. Xxxxxxx xxxxxxxxx vnější xxxxxxxxxxx xxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxx xxx rámec xxxxxxxxx xxxxxxxxx (xxxx. xxxxxxxxxxx xxxxxxxx tajemství, citlivé xxxxxx xxxxx). |
Xxx ochranu xxxxxxxxxx xx požadována xxxxxxxx xxxx, xxxxx x xxxxxxx xxxxxxxxxxx, x xxxxxx ochrany xxxxxxxxxxx zneužití aktiv xx strany xxxxxxxxxxxxxx. Xxxxxxx informací jsou xxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxxxx xxxxxxxxxx oprávněné xxxxx xxxxxx a osoby xxxxxxx x §3 xxxx. c) až x) xxxxxx. |
Xxxx vyžadována xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx xxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx může xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx x může se xxxxxxxx xxxx závažnými xxxxxx na xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány standardní xxxxxxxx (xxxx. xxxxxxx xxxxxxxxxxxx práv xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx ochranu x hlediska integrity. Xxxxxxxx xxxxxxxxx xxxxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxxxxxxxx xxxxxx na xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxx dovolují xxxxxxxx xxxxxxxx provedených xxxx x zaznamenat xxxxxxxx xxxxx xxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx informací xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx sítěmi xx zajištěna xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx z hlediska xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx x velmi xxxxxxx poškození xxxxxxxxxxx xxxxx xxxxxx a xxxxx xxxxxxx x §3 písm. c) xx x) zákona x xxxxxxx x xxxxx vážnými xxxxxx xx xxxxxxxx xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx využívány xxxxxxxxx prostředky xxxxxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (xxxx. pomocí xxxxxxxxxxx digitálního xxxxxxx). |
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxx a x xxxxxxx výpadku xx xxxxx xxxxxxxxxx delší xxxxxx xxxxxx xxx xxxxxxx (cca xx 1 xxxxx). |
Xxx ochranu xxxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx zálohování. |
|
Střední |
Narušení xxxxxxxxxxx xxxxxx by xxxxxx xxxxxxxxx xxxx xxxxxxxxxx xxx, xxxxxxxxxxxxx xxxxxxx xxxx x možnému xxxxxxxx xxxxx orgánu x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx. |
Xxx xxxxxxx dostupnosti xxxx xxxxxxxxx běžné xxxxxx xxxxxxxxxx x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx by xxxxxx xxxxxxxxx xxxx xxxxxxxx hodin. Xxxxxxxx xxxxxxx xx nutné xxxxx xxxxxxxxxx, protože xxxx x přímému xxxxxxxx xxxxx xxxxxx x xxxxx uvedené x §3 xxxx. x) xx e) xxxxxx. Xxxxxx jsou považována xxxx velmi xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx xxxxxxx x obnova xxxxxxxxxxx xxxxxx xxxx být xxxxxxxxx xxxxxx xxxxxxx xxxx výměnou xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx dostupnosti xxxxxx xxxx xxxxxxxxx x x krátkodobá xxxxxxxxxxxx (x xxxx xxxxxxxx xxxxx) vede x xxxxxxx xxxxxxxx xxxxx xxxxxx x xxxxx uvedené x §3 písm. x) xx x) xxxxxx. Xxxxxx xxxx xxxxxxxxxx xxxx kritická. |
Pro xxxxxxx dostupnosti xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx poskytování xxxxxx je xxxxxxxxxx x xxxxxxxxxxxxxx. |
Příloha x. 2 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx xxxxx
Xxxxxxxxx xxxxx xx vyjádřeno xxxx funkce, xxxxxx xxxxxxxxx dopad, xxxxxx x xxxxxxxxxxxx.
Xxx hodnocení xxxxx xxx xxxxxx xxxxxxx tuto xxxxxx
xxxxxx = xxxxx x xxxxxx x xxxxxxxxxxxx.
Xxxxxxxxxxx xxxxxx xxxxxx xxx xxxxxx xxxxxx xx xxxxxxxxx součástí xxxxxxxx xxx identifikaci x xxxxxxxxx xxxxxx
|
Xxxxxxxx pro xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxx je x xxxxxxxx xxxxxxx xxxxxx a malého xxxxxxx x xxxxx xxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx nepřesahuje a) 10 xxxxxxxxx osob s xxxxxxxxx xxxxxxxxxxxxx po xxxx delší xxx 24 hodin nebo b) xxxxxxxx xxxx materiální xxxxxx do 5 000 000 Xx xxxxx x) představuje xxxxx na xxxxxxxxx x rozsáhlým omezením xxxxxxxxxx xxxxxx nebo xxxxxx xxxxxxxxx xxxxxx xx každodenního života xxxxxxxxxxxxx xxxxxxx 250 xxxx. |
|
Xxxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx x v xxxxxxxx xxxxxxx xxxxxx. Xxxxxx xxxxxxxxxx škod xx xxxxxxxx x rozmezí a) xx 10 xxxxxxx xxxx xx 11 xx 100 xxxx x xxxxxxxxx hospitalizací xx dobu xxxxx xxx 24 hodin xxxx x) xxxxxxxx nebo xxxxxxxxxx xxxxxx xx 5&xxxx;000&xxxx;000 Kč xx 50&xxxx;000&xxxx;000 Xx anebo c) xxxxxxxxxxx xxxxx na xxxxxxxxx x rozsáhlým xxxxxxxx nezbytných xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx od 251 do 2&xxxx;500 xxxx. |
|
Xxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx, xxx xxxxxx xxxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx se xxxxxxxx x xxxxxxx x) xx 11 xx 100 xxxxxxx nebo xx 101 xx 1 000 osob x xxxxxxxxx xxxxxxxxxxxxx xx xxxx delší než 24 xxxxx xxxx x) xxxxxxxx nebo xxxxxxxxxx xxxxxx xx 50&xxxx;000&xxxx;000 Xx xx 500&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx veřejnost x xxxxxxxxx omezením xxxxxxxxxx xxxxxx nebo xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx života xxxxxxxxxxxxx od 2&xxxx;501 xx 25&xxxx;000 xxxx. |
|
Xxxxxxxx |
Xxxxx xx plošný rozsahem, xxxxxx x xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx se xxxxxxxx x rozmezí a) 10 x xxxx xxxxxxx x 1 001 a xxxx xxxx s xxxxxxxxx xxxxxxxxxxxxx po xxxx xxxxx xxx 24 xxxxx nebo b) xxxxxxxx xxxx xxxxxxxxxx ztráty xxxxxxxxxxx 500&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx dopad xx xxxxxxxxx s xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx jiného xxxxxxxxx xxxxxx xx xxxxxxxxxxxx života xxxxxxxxxxxxx xxxx xxx 25 000 xxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx neexistuje nebo xx xxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx realizace hrozby xxxx xxxxxxxx xxx xxxxxx xx 5 xxx. |
|
Xxxxxxx |
Xxxxxx xx málo xxxxxxxxxxxxx až pravděpodobná. Xxxxxxxxxxxxx xxxxxxxxx hrozby xx x rozpětí xx 1 xxxx xx 5 xxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Předpokládaná xxxxxxxxx xxxxxx je x xxxxxxx xx 1 xxxxxx xx 1 xxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx xxxxxxxxxxxxx až xxxxxxxx xxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx je xxxxxxxx xxx xxxxxx xx měsíc. |
|
Stupnice xxx xxxxxxxxx xxxxxxxxxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx neexistuje xxxx xx xxxxxxxx xxxxxxxxxxxxx xxxx pravděpodobné. Xxxxxxxx kvalitní xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxx nebo xxxxxxxx xxxxxx x xxxxxxxxx opatření. |
|
Střední |
Zranitelnost je xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Existují xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx. Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxx opatření xx xxxxxxx. Xxxxxx xxxxx xxxxx xxxxxxx pokusy x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx xx xxxxxxxxxxxxx xx velmi xxxxxxxxxxxxx. Xxxxxxxxxxxx opatření xxxxxxxx, xxx jejich xxxxxxxx xxxxxxxxx všechny potřebné xxxxxxx x není xxxxxxxxxx xxxxxxxxxxxx. Jsou xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxxxxxx je xxxxx pravděpodobná xx xx xxxxxxxx xxxxx xxxxxxxx. Xxxxxxxxxxxx opatření xxxxxx realizována xxxxx xx xxxxxx xxxxxxxx xxxxxx xxxxxxx. Neprobíhá xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Jsou xxxxx xxxxxxx pokusy xxxxxxxxx xxxxxxxxxxxxxx opatření. |
|
Stupnice pro xxxxxxxxx xxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx je xxxxxxxxxx xx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxx x xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xx xxxxxx přijatelné. |
|
Vysoké |
Riziko xx xxxxxxxxxx nepřípustné x xxxx být xxxxxxxx xxxxxxxxxxxx xxxxx x jeho odstranění. |
|
Kritické |
Riziko xx nepřípustné a xxxx xxx xxxxxxxxxx xxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
X případě, xx xxxxx xxxx xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx xxxxxxx xxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx, která nerozlišuje xxxxxxxxx xxxxxx x xxxxxxxxxxxxx, je xxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxx xx nemělo vést xx ztrátě xxxxxxxxxx xxxxxxxxx míry xxxxxx x xxxxxxxxxxxxx. Xx xxxxx xxxxxx lze xxxxxx xxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx vyjádří xxx xxxxxx xxxxxx, xxx x xxxxxx xxxxxxxxxxxxx. Xxxxxxx postupuje x xxxxx nebo xxxxx xxxxxxx v §3 xxxx. c) xx e) xxxxxx, xxxxx používá xxxx xxxxx xxxxxx pro xxxxxxxxx xxxxxx, xxxxxx, xxxxxxxxxxxxx a xxxxx.
Xxxxxxx x. 3 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxx xx kryptografické xxxxxxxxx
(1) Xxxxxxxxxx algoritmy
a) Xxxxxxx x xxxxxxxx xxxxx xxx xxxxxxx xxxxxxxxxx x integrity
1. Advanced Xxxxxxxxxx Xxxxxxxx (XXX) x xxxxxxxx xxxxx xxxxx 128, 192 x 256 bitů Xxxxxx Xxxx Encryption Xxxxxxxx (3XXX) x xxxxxxxx délky xxxxx 168 xxxx, xxxxxxx xxxxxxx xxx se xxxxxxxxx xxxxx menším xxx 10 XX, xxxxxxxx přecházet na XXX.
2. Xxxxxx Xxxx Xxxxxxxxxx Xxxxxxxx (3XXX) x využitím délky xxxxx 112 xxxx, xxxxxxx xxxxxxx jen xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX, xxxxxxxx přecházet xx XXX. Doporučeno xxxxxxx jedinečného klíče xxx každou xxxxxx.
3. Xxxxxxxx s využitím xxxxxxxxx xxxxx klíčů 128 xxxx, xxxxxxx xxxxxxx xxx se xxxxxxxxx xxxxx xxxxxx xxx 10 XX.
4. Xxxxxx x xxxxxxxx xxxxx xxxxx 128 xxxx, xxxxxxx použití xxx se xxxxxxxxx xxxxx xxxxxx xxx 10 XX.
5. Xxxxxxx x xxxxxxxx xxxxx xxxxx 128 až 256 bitů.
6. Xxxxxxx x využitím xxxxx xxxxx 128, 192, 256 bitů.
7. Xxxxxxxx x využitím xxxxx xxxxx 128, 192 x 256 bitů.
8. XXXX 2.0, XXXX 3X x xxxxxxxx xxxxx xxxxx 128, 256 xxxx.
x) Módy xxxxxxxxx x xxxxxxxx xxxxxxxxx
1. XXX,
2. XXX,
3. XXX,
4. Složená xxxxxxxx xxxx "Encrypt-then-MAC".
Poznámka:
Schémata typu "Xxxxxxx-xxxx-XXX",xxxx používat x xxxxxxxxx xxxxx uvedené xxxxxxxxx xxxx a x xxxxxxx XXX xxxxx xxxxxxx xxxx xxx xxxxxxx xxxxxxxxx.
x) Xxxx šifrování
1. XXX,
2. XXX,
3. XXX,
4. XXX,
Xxxxxxxx:
Xxxx XXX x CFB xxxx být xxxxxxx x xxxxxxxx, xxx xxxxxxxx xxxxxxxxxxxxxxxxxx inicializačním xxxxxxxx, při xxxxxxx xxxx XXX se xxx xxxx klíč xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxxx xxxxxxx, xxx xxxxxxx xxxx XXX xx xxx daný xxxx xxxxx opakovat xxxxxxx čítače, v xxxxxxx xxxxxxx XXX xxxx x xxxxxxxxx xxx ochrany integrity xx xxxxx xxxxxx xxxxxxxx xxxxx útoku xx xxxxxxx CBC xxxx.
x) Módy pro xxxxxxx integrity
1. XXXX,
2. XXX-XXX-X9.19, xxxxxxx xxxxxxx xxx se xxxxxxxxx xxxxxx xxx 109 XXX,
3. CBC-MAC-EMAC,
4. CMAC.
(2) Xxxxxxxxxxx xxxxxxxxx
x) Pro xxxxxxxxxxx xxxxxxxxxxx xxxxxxx
1. Xxxxxxx Signature Algorithm (XXX) x xxxxxxxx xxxxx klíčů 2048 xxxx a více, xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx 224 xxxx x více.
2. Elliptic Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxxxxx (EC-DSA) x xxxxxxxx xxxxx xxxxx 224 xxxx a xxxx.
3. Xxxxxx-Xxxxxx-Xxxxxxx Xxxxxxxxxxxx Xxxxxxxxx Xxxxxx (RSA-PSS) x využitím xxxxx xxxxx 2048 xxxx x xxxx.
x) Xxx xxxxxxx dohod xx xxxxx a xxxxxxxxx xxxxx
1. Diffie-Hellman (XX) x xxxxxxxx délky xxxxx 2048 xxxx x xxxx, délky xxxxxxxxx xxxxxxx xxxxxxxx 224 xxxx x xxxx.
2. Xxxxxxxx Xxxxx Xxxxxx-Xxxxxxx (XXXX) x xxxxxxxx délky xxxxx 224 xxxx x xxxx.
3. Elliptic Curve Xxxxxxxxxx Xxxxxxxxxx Xxxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (ECIES-KEM) x xxxxxxxx xxxxx xxxxx 256 xxxx a xxxx.
4. Xxxxxxxx Secure Xxxxxxxx Xxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXXX-XXX) x xxxxxxxx xxxxx xxxxx 256 xxxx více.
5. Xxxxxxxxx Xxxxxxx xxx Xxx Xxxxxxxxxxxxx Mechanism (ACE-KEM) x xxxxxxxx xxxxx xxxxx 256 bitů x více.
6. Xxxxxx Xxxxxx Xxxxxxx - Xxxxxxx Xxxxxxxxx Encryption Xxxxxxx (RSA-OAEP) x xxxxxxxx xxxxx xxxxx 2048 x xxxx.
7. Xxxxxx Xxxxxx Xxxxxxx - Key Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) x xxxxxxxx délky xxxxx 2048 x více.
(3) Xxxxxxxxx xxxx xxxxxx
x) XXX-2
1. XXX-224,
2. XXX-256,
3. XXX-384,
4. XXX-512,
5. XXX-512/224,
6. XXX-512/256.
x) XXX-3
1. SHA3-224,
2. XXX3-256,
3. SHA3-384,
4. XXX3-512,
5. XXXXX-128,
6. SHAKE-256.
c) Ostatní xxxxxxxx xxxxxx
1. Whirpool,
2. XXXXXX-160,
3. XXX 1 x xxxxxxxx xxxxxxxx.
Xxxxxxxx x. 1:
XXX-1 xx xxxxx xxxxxxxx pro xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx, xxxxxxxx razítek, xxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx XXX-1.
Xxxxxxxx x. 2:
SHA-1 lze xxxxxxxx pouze xxx xxxxxxxxx již existujících xxxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxx, xxxxxxxxxx x ověřování HMAC-SHA1, xxxxxx xxx xxxxxxxxxx xxxxx a pseudonáhodné xxxxxxxxxx.
Xxxxxxx x. 4 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
Xxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx dokumentů zahrnují xxxxxx, xxxxx jednotlivé xxxxxxxxx xxxxx xxxx xxxxxxxx xxxxxxxxx, přičemž xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx x xx xx orgánu xxxx osobě xxxxxxx x §3 xxxx. x) xx e) xxxxxx, jaký xxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx. Xxxxxxxxx xx i xxxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxx xxxx xxxxx do xxxxxxx xxxxxxxxx.
X. Xxxxxxxxx xxxxxxxxxxxx xxxxxxxx
(1) Xxxxxxxx systému xxxxxx xxxxxxxxxxx informací*
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. x)]
x) Xxxx, xxxxxxxx x xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Rozsah x xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxx xxxxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxx xxxxxx a xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx a xxxxxxx pro xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxx a zlepšování xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxxx organizační xxxxxxxxxxx**
[§5 odst. 1 xxxx. b), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxxxxxxxxx xxxx x xxxxxx xxxx a povinností,
1. xxxxx a xxxxxxxxxx xxxxxxxx kybernetické xxxxxxxxxxx,
2. xxxxx a xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
3. xxxxx a xxxxxxxxxx xxxxxxxx kybernetické bezpečnosti,
4. xxxxx a povinnosti xxxxxxx aktiv,
5. xxxxx x xxxxxxxxxx výboru xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx bezpečnostních xxxx.
(3) Xxxxxxxx řízení xxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxx x xxxxxxxx xxx xxxxx xxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxx dodavatelů.
c) Náležitosti xxxxxxx x úrovni xxxxxx x xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x x určení vzájemné xxxxxxx xxxxxxxxxxxx.
x) Xxxxxxxx xxx provádění xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx.
(4) Xxxxxxxx xxxxxxxxxxx xxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x xxxxxxxx jednotlivých xxxxxxxxxx xxxxx včetně určení xxxxxx garanta,
2. hodnocení xxxxxxxxxxx xxxxxxxxxx xxxxx x hlediska xxxxxxxxxx, xxxxxxxxx a dostupnosti.
b) Xxxxxxxxxxxx, hodnocení x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx podpůrných xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx aktivy.
c) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx xxxxx xxxxx úrovní xxxxx,
3. xxxxxxxxx xxxxxxx používání xxxxx.
x) Xxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx dat.
(5) Xxxxxxxx bezpečnosti xxxxxxxx xxxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx povědomí x xxxxxxx xxxx xxxxxxxxx
1. xxxxxxx a formy xxxxxxx uživatelů,
2. xxxxxxx x formy xxxxxxx xxxxxxx xxxxx,
3. xxxxxxx x xxxxx poučení xxxxxxxxxxxxxx,
4. xxxxxxx x xxxxx xxxxxxx xxxxxxx xxxx zastávajících xxxxxxxxxxxx xxxx.
x) Xxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Pravidla xxx řešení xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Pravidla pro xxxxxxxx pracovního xxxxxx xxxx xxxxx xxxxxxxx xxxxxx.
1. vrácení svěřených xxxxx x odebrání xxxx při ukončení xxxxxxxxxx xxxxxx,
2. xxxxx xxxxxxxxxxxx oprávnění xxx xxxxx xxxxxxxx pozice.
(6) Xxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxx**
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. f)]
a) Pravomoci x xxxxxxxxxxxx spojené x bezpečným provozem.
b) Xxxxxxx bezpečného xxxxxxx.
x) Xxxxxxxxx x xxxxxxxxx xxxxxxxxxx provozu.
d) Xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx a xxxxxxxxxxxxxx xxxxx.
(7) Xxxxxxxx řízení xxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (need xx know).
b) Xxxxxxxxx xx xxxxxx přístupu.
c) Xxxxxxx cyklus řízení xxxxxxxx.
x) Xxxxxx privilegovaných xxxxxxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxx xxxxxxxxxxxx uživatelů x xxxxxxxxxxxx xxxxxxxxx.
(8) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxx*
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. h)]
a) Xxxxxxxx xxx xxxxxxxx xxxxxxxxx x xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx x xxxxxxxx xx xxxxxxxx.
x) Xxxxxxxx xxxxxxxx přístup.
e) Xxxxxxxx xxxxxxx xx xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx xx xxxxxx k xxxxxxxx zařízením.
(9) Xxxxxxxx xxxxxxxxxx a xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxxx na xxxxxxxxxx x xxxxxx.
x) Pravidla x postupy zálohování.
c) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxx.
x) Xxxxxxxx x postupy xxxxxxxxx xxxxxxxxxx a obnovy.
(10) Xxxxxxxx xxxxxxxxxx předávání x výměny xxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Způsoby xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(11) Xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx x postupy vyhledávání xxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxxx oprav xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx x xxxxxxx nasazení oprav xxxxxxxxxxxx xxxxxxxx.
(12) Xxxxxxxx xxxxxxxxxx používání mobilních xxxxxxxx*
[§5 odst. 1 xxxx. 1)]
x) Pravidla x xxxxxxx pro xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxxxxxx.
(13) Xxxxxxxx poskytování x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx a informací*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxxxxxxx programového xxxxxxxx x xxxx xxxxxxxx.
x) Xxxxxxxx a postupy xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
(14) Politika xxxxxxxxxxxx ukládání x xxxxxxxxx xxxxxxxxx*
[§5 xxxx. x xxxx. n)]
a) Xxxxxxxx a xxxxxxx xxxxxxxxx xxxxxxxxx a xxxxxxx.
x) Xxxxxxx archivovaných xxxxxxxxx x xxxxxxx.
x) Xxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx.
(15) Politika xxxxxxx xxxxxxxx xxxxx*
[§5 odst. x xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx osobních xxxxx.
x) Xxxxx xxxxxxxxx a xxxxxxxxxxx organizačních xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx x provedených xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
(16) Xxxxxxxx xxxxxxx xxxxxxxxxxx**
[§5 xxxx. x písm. p)]
a) Xxxxxxxx pro xxxxxxx xxxxxxx.
x) Pravidla xxx xxxxxxxx xxxxxx osob.
c) Xxxxxxxx xxx xxxxxxx xxxxxxxx.
x) Xxxxxxx narušení xxxxxxx xxxxxxxxxxx.
(17) Xxxxxxxx xxxxxxxxxxx komunikační sítě**
[§5 xxxx. 1 písm. x)]
x) Pravidla a xxxxxxx xxx zajištění xxxxxxxxxxx sítě.
b) Určení xxxx a xxxxxxxxxx xx bezpečný xxxxxx xxxx.
x) Pravidla a xxxxxxx xxx xxxxxx xxxxxxxx v xxxxx xxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxxxxxx xxxxxxxx x xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx xxxx a vyhodnocování xxxxxxxxxx xxxxxxx.
(18) Xxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx*
[§5 xxxx. x xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx x xxxxxxx xxx ochranu xxxxxxxxxx mezi xxxxxxx x xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx ochranu xxxxxxx x sdílených datových xxxxxxx.
x) Pravidla x xxxxxxx pro ochranu xxxxxxxxxx xxxxxx.
(19) Xxxxxxxx xxxxxxxx x používání xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx x postupy xxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx postupy xxx vyhodnocování x xxxxxxxxx na detekované xxxxxxxxxxxx bezpečnostní události.
c) Xxxxxxxx x xxxxxxx xxx optimalizaci xxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
(20) Xxxxxxxx využití x xxxxxx xxxxxxxx xxx xxxx a vyhodnocení xxxxxxxxxxxxxx bezpečnostních xxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx pro xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx pro xxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí.
(21) Xxxxxxxx xxxxxxxxxx používání kryptografické xxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxx x xxxxxxx na xxx a xxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx
1. xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx,
2. xxx xxxxxxx na mobilní xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxx xxx,
x) Xxxxxx xxxxxx klíčů.
II. Xxxxxxxxx xxxxx xxxxxxxxxxx
(1) Xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx**
[§28 xxxx. 1 xxxx. x)]
x) Xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx xxxx xxxxxxxx x osob, xxxxx xx xxxxxx kybernetické xxxxxxxxxxx xxxxxxxxxx.
x) Xxxxx x xxxxx, kde xxxx xxxxxxxxx xxxxxxxx xxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Zjištění x xxxxxx xxxxxxxxxxxx bezpečnosti.
g) Xxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
(2) Xxxxxx x xxxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx informací**
[§28 xxxx. 1 xxxx. x)]
x) Xxxxxxxxxxx opatření x xxxxxxxxxxx přezkoumání xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) Xxxxxxxxxxxx xxxx x xxxxxxxxx, xxxxx mohou xxx xxxx xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxx xxxxx x výkonnosti řízení xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x xxxxxxxx opatření,
2. xxxxxxxx monitorování x xxxxxx,
3. xxxxxxxx xxxxxx,
4. xxxxxxxx xxxx bezpečnosti,
d) Xxxxxxxx hodnocení xxxxx x xxxx plánu xxxxxxxx rizik.
e) Identifikace xxxxxxxx xxx xxxxxxxx xxxxxxxxxx.
x) Xxxxxxxxxx potřebných xxxxxxxxxx, xxxxxxxxx opatření x xxxx xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
(3) Xxxxxxxx pro identifikaci x xxxxxxxxx xxxxx x pro xxxxxxxxxxxx x xxxxxxxxx xxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 písm. b)]
a) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx aktiv
1. xxxxxx stupnice xxx xxxxxxxxx úrovní xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxx,
3. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.
x) Xxxxxx stupnice pro xxxxxxxxx xxxxx
1. určení xxxxxxxx xxx xxxxxxxxx xxxxxx dopadu,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx hrozby,
3. xxxxxx xxxxxxxx xxx hodnocení xxxxxx zranitelnosti,
4. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxx,
x) Metody x xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx rizik.
(4) Xxxxxx x hodnocení xxxxx a xxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxxxxxx aktiv
1. xxxxxxxxxxxx x popis xxxxxxxxxx aktiv,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxxxxx xxxxxxxxxx aktiv x xxxxxxxx xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxx (xxxxxxx xxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx)
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx xxxxx,
2. určení xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxx xxxxx xxxx primárními x xxxxxxxxxx xxxxxx,
x) Xxxxxxxxxxxxxx x xxxxxxxxx xxxxx
1. posouzení xxxxxxx xxxxxx xx xxxxxx,
2. xxxxxxxxx existujících xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx zranitelností, xxxxxxxxx xxxxxxxxxxxx opatření,
4. xxxxxxxxx úrovně rizika, xxxxxxxxx této xxxxxx x kritérii xxx xxxxxxxxxxxx xxxxx,
5. určení x schválení xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxx
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. návrh xxxxxxxx x xxxxxx xxxxxxxxx.
(5) Xxxxxxxxxx o aplikovatelnosti*
[§28 xxxx. 1 písm. x), §28 odst. 2 xxxx. x)]
x) Xxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx xxxxxx xxxxxxxxxx xxxxxx xxxxxx a xxxxxx xxxxx xx xxxxxxxxxxxxxx xxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx opatření.
(6) Xxxx zvládání xxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx x cíle xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
b) Xxxxxxxx xxxxxx xxx xxxxxxxxxx bezpečnostní opatření xxx xxxxxxxx rizik.
c) Xxxxx xxxxxxxxxxx jednotlivá xxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Způsoby xxxxxxxxx xxxxxxxxxx zavedení jednotlivých xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx.
(7) Plán xxxxxxx xxxxxxxxxxxxxx xxxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. x)]
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxxxx.
x) Xxxxx x termíny xxxxxxx xxxxxxx xxxxx (xxxxxxx xxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. e) xxxxxx).
x) Xxxxx a xxxxxxx xxxxxxx xxxxxxxxxxxxxx (xxxxxxx xxx orgány x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx).
x) Xxxxx x termíny poučení xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Obsah x xxxxxxx xxxxxxx xxxxxx zaměstnanců.
f) Formy x způsoby hodnocení xxxxx.
(8) Zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 xxxx. i), §28 odst. 2 xxxx. g)]
a) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx kybernetických bezpečnostních xxxxxxxxx.
x) Pravidla a xxxxxxx xxxxxxxxx systému xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx vyhodnocení xxxxxxxxxxxxxx bezpečnostních incidentů x xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(9) Xxxxxxxxx xxxxxx kontinuity xxxxxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Cíle xxxxxx kontinuity činností
1. xxxxxxxxx xxxxxx poskytovaných xxxxxx,
2. doba xxxxxxxx xxxxx,
3. bod xxxxxxxx xxxxx.
x) Xxxxxxxxx xxxxxx xxxxxxxxxx činností xxx xxxxxxxx xxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxx xxxxx.
x) Xxxxxx a xxxxx xxxxxxxxxx plánů xxxxxxxxxx.
x) Xxxxxxx pro xxxxxxxxx xxxxxxxx vydaných Národním xxxxxxxxxxxxx xxxxxx.
(10) Přehled xxxxxx xxxxxxxxx právních xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx předpisů x xxxxxx xxxxxxxx.
x) Přehled xxxxxxxxx xxxxxxx.
Xxxxxxxx:
* Očekávaná xxxxxxxxx xxxxxxxxx xx xx xxxxxx xxxxxxx xxxxx stupnice xxxxxxx x příloze č. 1: Xxxxxxxxx x xxxxxx aktiv.
** Xxxxxxxxx xxxxxxxxx xxxxxxxxx xx xx xxxxxx xxxxxx podle xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.
Xxxxxxx x. 5 x vyhlášce x. 316/2014 Xx.
Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx
Vyplnitelný formulář ve formátu PDF
Příloha x. 6 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx x jeho xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx č. 7 x xxxxxxxx x. 316/2014 Sb.
Formulář xxx xxxxxxx xxxxxxxxxxx xxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxxxx
Xxxxxx xxxxxxx č. 316/2014 Sb. xxxxx xxxxxxxxx xxxx 1.1.2015.
Ke xxx uzávěrky právní xxxxxxx nebyl xxxxx xx xxxxxxxxx.
Xxxxxx předpis x. 316/2014 Sb. xxx xxxxxx xxxxxxx xxxxxxxxx č. 82/2018 Sb. x xxxxxxxxx xx 28.5.2018.
Xxxxx xxxxxxxxxxxx právních xxxxx xxxxxx xxxxxxxx předpisů x xxxxxxxx není xxxxxxxxxxxxx, xxxxx se xxxx netýká derogační xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
1) XXX/XXX 27001:2013, xxxxxxxx XXX XXX/XXX 27001:2014