Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
XXXXXXXX
xx xxx 15. xxxxxxxx 2014
o xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx, xxxxxxxxxxx opatřeních x x stanovení xxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx bezpečnosti (xxxxxxxx o xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx xxxxxxxxxxxx úřad xxxxxxx xxxxx §28 xxxx. 2 xxxxxx x. 181/2014 Sb., x xxxxxxxxxxxx bezpečnosti x x xxxxx xxxxxxxxxxxxx xxxxxx (xxxxx x xxxxxxxxxxxx xxxxxxxxxxx), (xxxx xxx "zákon") x xxxxxxxxx §6 xxxx. x) xx x), §8 odst. 4, §13 odst. 4 a §16 xxxx. 6 zákona.
XXXX XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxxx xxxxxxxxx se xxxxxxx xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxx informační xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxx xxxxxx kritické xxxxxxxxxx infrastruktury xxxx xxxxxxxx informační xxxxxx, xxxxx bezpečnostních xxxxxxxx, xxxxxx jejich xxxxxxxx, xxxx x kategorie xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxxxxxxx a způsob xxxxxxx kybernetického bezpečnostního xxxxxxxxx, xxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx a xxxx xxxxxxxx x xxxx xxxxxxxx xxxxxxxxxxx xxxxx x jeho formu.
§2
Xxxxxxxx xxxxx
X xxxx xxxxxxxx xx xxxxxx
x) xxxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx systému xxxxxx xxxxxx x xxxxx uvedené x §3 xxxx. x) xx x) xxxxxx xxxxxxxx na xxxxxxxx x rizikům xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného informačního xxxxxxx, xxxxx xxxxxxx xxxxxx ustavení, xxxxxxxx, xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx a zlepšování xxxxxxxxxxx xxxxxxxxx,
x) aktivem xxxxxxxx aktivum x xxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxxx xxxx poskytuje xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxx x dodavatelé podílející xx xx xxxxxxx, xxxxxxx, xxxxxx xxxx xxxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx systému,
e) xxxxxxxxxx xxxxxxx technické xxxxxxxx, komunikační xxxxxxxxxx x xxxxxxxxxx vybavení xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx, ve kterých xxxx tyto systémy xxxxxxxx,
x) xxxxxxx možnost, xx určitá hrozba xxxxxxx zranitelnosti informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx x xxxxxxx xxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxx xxxxxx, xxx xxxx xx xxxxxxxx xxxxxxxxxx xxxxx a xxxxxx přijatelná úroveň,
h) xxxxxxx rizik činnost xxxxxxxxxx xxxxxxxxx xxxxx, xxxxx x zavedení xxxxxxxx ke xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx x xxxxxx x xxxxxxxxx x xxxxxxxxxxx xxxxx,
x) hrozbou potencionální xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxx může xxx xxxxxxxxx aktiva,
j) zranitelností xxxxx xxxxx xxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxx xxxxxxxx xxxxxx nebo xxxx hrozbami,
k) xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xx uplatnění xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) bezpečnostní xxxxxxxxx xxxxxx xxxxx x xxxxxxxx, xxxxx xxxxxx xxxxxx zajištění xxxxxxx xxxxx xxxxxxx x xxxxxx uvedenou x §3 xxxx. x) xx x) xxxxxx,
x) xxxxxxxx xxxxxx xxxxxxx osoba xxxxxxxx xxxxxxx xxxx osobou xxxxxxxx x §3 xxxx. x) až x) xxxxxx x xxxxxxxxx rozvoje, použití x bezpečnosti aktiva,
n) xxxxxxxxxx xxxxxxx nebo xxxxxxxxx osoba anebo xxxxx xxxxxxx xxxx, xxxxx využívá primární xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxx xxxxx xxxxxxxx garantem xxxxxx xxxxxxxxxxx xxxxxx, xxxxxx, xxxxxxx, xxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX OPATŘENÍ
§3
Systém xxxxxx xxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx x rámci xxxxxxx xxxxxx bezpečnosti xxxxxxxxx
x) stanoví x xxxxxxx xx xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, ve xxxxxx xxxx, xxxxxxx xxxxxxxxxxxxx xxxxx a xxxxxxxxxxx xxxxx se systém xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx,
x) řídí xxxxxx xxxxx §4 odst. 1,
x) xxxxxxx x xxxxxxx xxxxxxxxxxxx politiku x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx hlavní xxxxxx, xxxx, bezpečnostní xxxxxxx, xxxxx a xxxxxxxxxx xx xxxxxx x xxxxxx bezpečnosti xxxxxxxxx a xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx stanoví bezpečnostní xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §5 x xxxxxx xxxxxxxxx xxxxxxxxxxxx opatření,
d) monitoruje xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx §5,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx podle §15, x xx xxxxxxx xxxxxx xxxxx,
x) zajistí xxxxxxxxxxx účinnosti xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx obsahuje xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx hodnocení xxxxx, xxxxxxxxx xxxxxxxx provedených xxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxxxx kybernetických bezpečnostních xxxxxxxxx xx systém xxxxxx xxxxxxxxxxx xxxxxxxxx, x to xxxxxxx xxxxxx xxxxx,
x) aktualizuje xxxxxx řízení bezpečnosti xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xx základě xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx x x xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx a
i) xxxx xxxxxx x zdroje xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx činnosti xxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxx informací x xxxxxxx xxxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) zákona x xxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx
x) xxxx xxxxxx xxxxx §4 xxxx. 2,
x) xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx hlavní xxxxxx, xxxx, xxxxxxxxxxxx potřeby, xxxxx a xxxxxxxxxx xx xxxxxx x xxxxxx xxxxxxxxxxx informací x na xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx politiku x dalších xxxxxxxxx xxxxx §5, a xxxxxx příslušná xxxxxxxxxxxx xxxxxxxx a
c) provádí xxxxxxxxxxx xxxxxx x xxxxxxxxx aktiv a xxxxx, bezpečnostní xxxxxxxx, xxxxx zvládání rizik x plánu xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, a xx nejméně xxxxxx xx tři xxxx xxxx x souvislosti x prováděnými nebo xxxxxxxxxxx xxxxxxx.
§4
Xxxxxx xxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx v rámci xxxxxx xxxxx
x) stanoví xxxxxxxx pro identifikaci x hodnocení aktiv x pro xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxxx stanovení kritérií xxx xxxxxxxxxxxx rizik,
b) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx aktiv, která xxxxx xx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, podle §8 x xxxxxxx přílohy č. 1 x xxxx vyhlášce x výstupy xxxxxxxxx xx xxxxxx x xxxxxxxxx aktiv a xxxxx,
x) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxxxxx, xxxxxxx možné xxxxxx xx aktiva, xxxxxxx xxxx rizika minimálně x rozsahu xxxxx přílohy č. 2 x xxxx xxxxxxxx, určí x xxxxxxx xxxxxxxxxx rizika x xxxxxxxx xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) zpracuje xx základě xxxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx a xxxxxx xxxx xxxxxxxx xxxxx, který xxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx rizik, xxxxxx xxxxx xxxxxxxxxxx prosazování xxxxxxxxxxxxxx opatření pro xxxxxxxx rizik, xxxxxxxx xxxxxxxx, technické, lidské x xxxxxxxxxx zdroje, xxxxxx xxxxxx xxxxxxxx x popis vazeb xxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxx xxxxxx Národním xxxxxxxxxxxxx xxxxxx (xxxx xxx "Xxxx") v xxxxxxxxx xxxxx x x xxxxxxx, xx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx spojené x xxxxxxxxx reaktivního xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx, xxxxxx plán xxxxxxxx xxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. e) xxxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx identifikaci x hodnocení aktiv x pro identifikaci x xxxxxxxxx xxxxx xxxxxx stanovení xxxxxxxx xxx přijatelnost xxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxx, xxxxx xxxxx xx xxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx, xxxxx §8 xxxxxxxxx x xxxxxxx přílohy č. 1 x xxxx xxxxxxxx x xxxxxxx zapracuje xx xxxxxx x hodnocení xxxxx x xxxxx,
x) xxxxxxxxxxxx rizika, xxx xxxxxxx zohlední hrozby x xxxxxxxxxxxxx, posoudí xxxxx xxxxxx xx xxxxxxxx xxxxxx, hodnotí xxxx xxxxxx xxxxxxxxx x xxxxxxx xxxxx přílohy č. 2 x xxxx xxxxxxxx a zpracuje xxxxxx o xxxxxxxxx xxxxx x rizik,
d) xxxxxxxx xx základě xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxxxxxxx o xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx x zavedených xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx x xxxxxx plán xxxxxxxx rizik, který xxxxxxxx xxxx x xxxxxxx bezpečnostních opatření xxx xxxxxxxx xxxxx, xxxxxx xxxxx zajišťující xxxxxxxxxxx bezpečnostních opatření xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x xxxxxxxxxx xxxxxx, termíny jejich xxxxxxxx x popis xxxxx xxxx identifikovanými xxxxxx x příslušnými xxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxx xxxxxx Xxxxxx v xxxxxxxxx xxxxx x x xxxxxxx, že xxxxxxxxx xxxxx xxxxxxxxxxxxx o xxxx zranitelnosti xxxxxxx x xxxxxxxxx reaktivního xxxx xxxxxxxxxx opatření xxxxxxxx xxxxxxxxx kritéria xxx přijatelnost xxxxx, xxxxxx xxxx xxxxxxxx xxxxx.
(3) Xxxxxx rizik xxxx být xxxxxxxxx x xxxxxx způsoby, xxx jak xx xxxxxxxxx x xxxxxxxxxx 1 x 2, xxxxx xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxxxx úroveň xxxxxx xxxxx.
(4) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx xxx xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxx xxxxxx
x) porušení xxxxxxxxxxxx politiky, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, zneužití xxxxxxxxx ze xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxx x xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx xxxx x komunikační sítě,
f) xxxxxxxx xxx (například xxxx, xxxxxxx, xxxxxxx xxxx),
x) xxxxxxxxxx při xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) narušení fyzické xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxxxx elektronických komunikací xxxx xxxxxxx xxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxx působící xxxxxx x
x) xxxxxxxx nebo xxxxxxxxx xxxxxx.
(5) Xxxxx x xxxxx uvedená x §3 xxxx. x) až e) xxxxxx xxx xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx
x) nedostatečná xxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
x) xxxxxxxxxxxx údržba informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx,
x) nevhodné xxxxxxxxx xxxxxxxxxxxx oprávnění,
e) nedostatečné xxxxxxx xxx xxxxxxxxxxxxxx x odhalení negativních xxxxxxxxxxxxxx jevů, kybernetických xxxxxxxxxxxxxx událostí a xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx,
x) xxxxxxxxxxxx monitorování xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxx xxxx xxxxxxx xxxxxxx chování x
x) xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxx xxxxxxxxxxxxx vymezení xxxx x povinností xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx.
(6) Xxxxx x xxxxx uvedená x §3 xxxx. x) a x) xxxxxx xxx xxxxxxxxx xxxxx xxxx xxxxxxx xxxx xxxxxx
x) porušení xxxxxxxxxxxx politiky, provedení xxxxxxxxxxxxx xxxxxxxx, zneužití xxxxxxxxx xx strany xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xx xxxxxx xxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxx, sabotáž,
d) xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxxxxxxxxx energie xxxx jiných důležitých xxxxxx,
x) xxxxxxxxxx zaměstnanců x potřebnou odbornou xxxxxx,
x) xxxxxx xxxxxxxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx, xxxxxxx špionážních xxxxxxx x
x) zneužití xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxx.
(7) Xxxxx x xxxxx uvedená x §3 písm. c) x x) zákona xxx xxxxxxxxx rizik xxxx zvažuje xxxx xxxxxxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx,
x) nevhodná bezpečnostní xxxxxxxxxxxx,
x) nedostatečná xxxx xxxxxxxxx kontroly x
x) xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx ze xxxxxx xxxxxxxxxxx.
§5
Xxxxxxxxxxxx politika
(1) Xxxxx x osoba uvedená x §3 písm. x) x x) xxxxxx stanoví xxxxxxxxxxxx xxxxxxxx v xxxxxxxxx
x) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx bezpečnost,
c) xxxxxx vztahů x xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx lidských xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxxx,
x) xxxxxx přístupu,
h) xxxxxxxx xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x xxxxxx,
x) xxxxxxxx předávání a xxxxxx informací,
k) xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx,
x) bezpečné xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx a xxxxxxxx xxxxxxx xxxxxxxxxxxx vybavení x informací,
n) dlouhodobé xxxxxxxx x xxxxxxxxx xxxxxxxxx,
x) xxxxxxx osobních xxxxx,
x) xxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxxx škodlivým xxxxx,
x) xxxxxxxx x xxxxxxxxx xxxxxxxx pro xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx,
x) využití a xxxxxx nástroje pro xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí x
x) xxxxxxxxx kryptografické xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx stanoví bezpečnostní xxxxxxxx x oblastech
a) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) organizační xxxxxxxxxx,
x) xxxxxx xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) bezpečnost xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxxx,
x) xxxxxx xxxxxxxx,
x) bezpečné xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx a xxxxxx,
x) xxxxxxxxxxx x xxxxxxxx licencí programového xxxxxxxx x xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxx xxxxxxxxx xxxxx x
x) nasazení x xxxxxxxxx nástroje xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxxxxx xxxxxxx xxxxxxxx bezpečnostní xxxxxxxx x aktualizuje xx.
§6
Xxxxxxxxxxx bezpečnost
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxxxx organizaci xxxxxx bezpečnosti informací, x xxxxx xxxxx xxxx výbor xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxx x jejich xxxxx x xxxxxxxxxx související x informačním systémem xxxxxxxx informační infrastruktury, xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxx xxxxxxxxxxx xxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) a x) zákona určí xxxxxxxxxxxx xxxx
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) architekt xxxxxxxxxxxx bezpečnosti,
c) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxx xxxxxx xxxxx §2 xxxx. x).
(3) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) xxxx xxxxxxxxxxxx xxxx xxxxxxxxx xxxxx odstavce 2.
(4) Xxxxxxx kybernetické xxxxxxxxxxx xx xxxxx, odpovědná xx systém xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xx xxx xxxx xxxxxxx vyškolena a xxxxxxx xxxxxxxx způsobilost xxxxx x xxxxxxx xxxxxxxxxxx informací xx xxxx nejméně tří xxx.
(5) Architekt kybernetické xxxxxxxxxxx je osoba xxxxxxxxxxx xxxxx a xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xx pro xxxx činnost xxxxxxxxx x xxxxxxx odbornou xxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xx dobu nejméně xxx xxx.
(6) Auditor xxxxxxxxxxxx xxxxxxxxxxx je xxxxx provádějící xxxxx xxxxxxxxxxxx bezpečnosti, která xx xxx xxxx xxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxx způsobilost xxxxx s xxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxx xxxxxxx xxx let. Auditor xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxxxxx x xxxxx xxxx xxxx xx oddělen xx xxxxxx xxxx xxxxxxxxx x xxxxxxxx 2 xxxx. x), x) xxxx x).
(7) Xxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx, které jsou xxxxxxxx xxxxxxxx řízením x xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx, anebo xx xxxxxxxx podílejí xx xxxxxx x xxxxxxxxxx xxxxxxxx spojených x xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx.
(8) Orgán x xxxxx uvedená x §3 písm. x) xx x) zákona xxxxxxx odborné xxxxxxx xxxx, xxxxx xxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxx x plánem xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 odst. 1 xxxx. b).
§7
Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx zavede xxxxxxxx xxx xxxxxxxxxx, která xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, x xxxxxxxx xx x xxxxxxxxxx xxxx jiných xxxx, které xx xxxxxxxx xx xxxxxxx, xxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx informačního xxxxxxx. Xxxxxx xxxxxxxx xxxxxxxxxx xx rozvoji, xxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx a xxxxx xxxxxxx x §3 písm. c) xx x) xxxxxx xxxxxxxx, jejíž součástí xx ustanovení o xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx x xxxxxxxxxx xxxxxxxxx x odstavci 1 xxxx
x) před xxxxxxxxx xxxxxxx provádí xxxxxxxxx xxxxx podle přílohy č. 2 x této xxxxxxxx, xxxxx xxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxx x xxxxxx xxxxxx, xxxxx xxxxxxx způsoby x úrovně realizace xxxxxxxxxxxxxx xxxxxxxx x xxxx xxxxx xxxxxxxx xxxxxxx odpovědnosti za xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, x
x) xxxxxxx pravidelné hodnocení xxxxx a xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx u xxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxx xx dohodě x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxx.
§8
Řízení xxxxx
(1) Orgán x osoba xxxxxxx x §3 písm. x) xx x) xxxxxx v xxxxx xxxxxx aktiv
a) xxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxx,
x) xxxx garanty xxxxx, xxxxx xxxx xxxxxxxxx za primární xxxxxx, x
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx aktiv x xxxxxxxx xxxxxxxxxx, xxxxxxxxx a dostupnosti x zařadí je xx xxxxxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxx xxxxx přílohy č. 1 k xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx xxxxxxxxxxx primárních xxxxx je xxxxx xxxxxxxxx xxxxxxxx
x) xxxxxx x xxxxxxxxxx osobních xxxxx xxxx obchodního xxxxxxxxx,
x) xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx nebo xxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxxx řídících x xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, obchodních xxxx ekonomických zájmů,
e) xxxxx finanční xxxxxx,
x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx orgánu a xxxxx xxxxxxx v §3 xxxx. c) xx x) xxxxxx,
x) xxxxxx xxxxxxx s xxxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx a
h) xxxxxx xx xxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx dobré pověsti.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) zákona xxxx
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxx,
x) určí xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xx xxxxxxxx aktiva, x
x) xxxx vazby mezi xxxxxxxxxx a podpůrnými xxxxxx x hodnotí xxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxx a xxxxxxxxxx xxxxxx.
(4) Orgán a xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxx
x) xxxxxxx pravidla xxxxxxx, xxxxx xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx tím, xx
1. xxxx způsoby xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxx xxxxxxxx xxx xxxxxxxxxx a xxxxxxxx x xxxxxx xxxxx xxxxxx xxxxx, včetně xxxxxxxx xxx bezpečné xxxxxxxxxxxx sdílení x xxxxxxx přenášení xxxxx x
3. xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx aktiv,
b) xxxxxx pravidla xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx x
x) xxxx xxxxxxx xxx xxxxxxxxxx smazání xxxx ničení xxxxxxxxxxx xxxxxx xxx x xxxxxxx na xxxxxx xxxxx.
§9
Xxxxxxxxxx xxxxxxxx xxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) zákona x xxxxx řízení xxxxxxxxxxx xxxxxxxx xxxxxx
x) xxxxxxx xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxx, xxxxx x xxxxxx xxxxxxxxxx školení x xxxx xxxxx xxxxxxxxxxx realizaci jednotlivých xxxxxxxx, xxxxx xxxx x plánu xxxxxxx,
x) x souladu x xxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x jejich xxxxxxxxxxxx x x xxxxxxxxxxxx politice formou xxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) xxxxxxx kontrolu xxxxxxxxxx bezpečnostní xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx role x
x) xxxxxxx xxxxxxx xxxxxxxxx xxxxx a xxxxxxxx přístupových xxxxxxxxx xxx ukončení smluvního xxxxxx s xxxxxxxxx, xxxxxxxxxxxxxx nebo xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxx x xxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxx, které xxxxxxx xxxxxxxxxxx.
(3) Orgán x xxxxx uvedená v §3 xxxx. c) x x) zákona xxxx
x) stanoví pravidla xxx xxxxxx xxxx, xxxxx xxxxx zastávat xxxxxxxxxxxx xxxx, role xxxxxxxxxxxxxx xxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx plánu xxxxxxx xxxxxxxxxxxxxx povědomí, xxxxxxxxxxx xxxxxxx x xxxxxxx činností spojených x prohlubováním bezpečnostního xxxxxxxx,
x) xxxx pravidla x xxxxxxx pro xxxxxx případů porušení xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx strany xxxxxxxxx, xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx bezpečnostní xxxx x
x) xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx postavení xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
§10
Řízení xxxxxxx x xxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx x xxxxx řízení xxxxxxx x xxxxxxxxxx xxxxxx technických xxxxxxxx xxxxxxxxx x §21 xx 23 detekuje xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxxx xxxxxxxxxxx získané xxxxxxxxx x xx xxxxxxxx xxxxxxxxxx reaguje x souladu s §13.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) zákona x xxxxx xxxxxx xxxxxxx a xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx systému. Xx tímto xxxxxx xxxxxxx xxxxxxxx xxxxxxxx x postupy.
(3) Xxxxxxxx xxxxxxxx a postupy xxxxxx x xxxxx xxxxxxx v §3 xxxx. x) a x) xxxxxx xxxxxxxx
x) xxxxx a xxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx a xxxxxxxxx,
x) xxxxxxx xxx xxxxxxxx x xxxxxxxx xxxxx systému, xxx xxxxxxx xxxx obnovení xxxxx systému xx xxxxxxx x xxx xxxxxxxx xxxxxxxxx stavů xxxx xxxxxxxxxxx jevů,
c) xxxxxxx xxx sledování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxx ochranu xxxxxxxx x xxxxxxxx x xxxxxx xxxxxxxxxx,
x) xxxxxxx na kontaktní xxxxx, xxxxx xxxx xxxxxx jako podpora xxx xxxxxx xxxxxxxxxxxxx xxxxxxxxxxx nebo technických xxxxxx,
x) postupy xxxxxx x schvalování provozních xxxx x
x) postupy xxx sledování, xxxxxxxxx x řízení xxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxx.
(4) Xxxxxx xxxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) zákona spočívá x xxxxxxxxx pravidelného xxxxxxxxxx a prověřování xxxxxxxxxxxxx xxxxxxxxxxx xxxxx.
(5) Xxxxxx xxxxxxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) a x) xxxxxx xxxxxxx v
a) xxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx a produkčního xxxxxxxxx,
x) řešení xxxxxxxxxxx xxxxxxxx xxxxxxxx Úřadem xxx, že xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx
1. xxxxxxx xxxxxxxxx xxxxxx reaktivního xxxxxxxx xx xxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxx systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x na zavedená xxxxxxxxxxxx xxxxxxxx, vyhodnotí xxxxx xxxxxxxxx účinky x bez zbytečného xxxxxxx je xxxxxx Xxxxx x
2. xxxxxxx xxxxxx rychlého xxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxx, a xxxx xxxxxx xxxx xxxx xxxxxxxxx.
(6) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx x xxxxx řízení xxxxxxxxxx
x) zajišťuje xxxxxxxxxx x integritu komunikačních xxxx a xxxxxxxxxx xxxxxxxxxxxxx služeb xxxxx §17,
x) xxxx xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx,
x) xxxxxxx výměnu x xxxxxxxxx xxxxxxxxx xx xxxxxxx pravidel xxxxxxxxxxx právními xxxxxxxx xx současného xxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxx xxxxxxxx dokumentuje x
x) s ohledem xx klasifikaci xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxx smluv, xxxxxxx xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx.
§11
Xxxxxx xxxxxxxx a xxxxxxxx xxxxxxx uživatelů
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx na xxxxxxx provozních x xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx.
(2) Orgán x xxxxx uvedená x §3 xxxx. c) xx e) zákona xxxxxx opatření, xxxxx xxxxxx k xxxxxxxxx xxxxxxx údajů, které xxxx xxxxxxxxx xxx xxxxxxxxxx uživatelů a xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému kritické xxxxxxxxxx infrastruktury x xxxxxxxxxx informačního systému xxxxx §18 a 19, x která xxxxx xx xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(3) Orgán a xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxx x xxxxx xxxxxx přístupu
a) přidělí xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxx přidělování xxxxxxxxxxxxxxxxxx xxxxxxxxx,
x) přiděluje x xxxxxxx xxxxxxxxxx xxxxxxxxx v xxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx,
x) provádí pravidelné xxxxxxxxxxx xxxxxxxxx přístupových xxxxxxxxx včetně xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx skupinách xxxx xxxxxx,
x) xxxxxxx xxxxxxx xxx ověřování identity xxxxxxxxx xxxxx §18 x xxxxxxx xxx xxxxxx přístupových xxxxxxxxx xxxxx §19 x
x) xxxxxx xxxxxxxxxxxx opatření xxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxx orgán x xxxxx uvedená v §3 xxxx. x) x d) zákona xxxxxxxxxxx.
§12
Xxxxxxxx, vývoj a xxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona xxxxxxx bezpečnostní požadavky xx změny xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx xxxxxxx s xxxxxx xxxxxxxx, xxxxxxx x xxxxxxx x xxxxxx xx do xxxxxxxx xxxxxxxx, vývoje x údržby systému.
(2) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) a x) xxxxxx dále
a) xxxxxxxxxxxx, hodnotí x xxxx xxxxxx xxxxxxxxxxx x xxxxxxxx, xxxxxxx x údržbou xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx; xxx postupy xxxxxxxxx a xxxxxx xxxxx xx xxxxxxxx xxxxx §4 xxxx. 1 písm. x) xxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx xxxxxxxxxxx testovacích xxx x
x) provádí xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx před xxxxxx xxxxxxxxx xx provozu.
§13
Xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx a xxxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až e) xxxxxx xxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx nezbytná xxxxxxxx, xxxxx zajistí xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx u xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx ze strany xxxxxxxxx, xxxxxxxxxxxxxx x xxxx zastávajících bezpečnostní xxxx a o xxxxxxxxxx xxxx xxxxxxx,
x) xxxxxxxx xxxxxxxxx pro xxxxxxxxxxx oznámených xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí a xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx §21 xx 23, xxxxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxx xxx odvrácení x xxxxxxxx dopadu xxxxxxxxxxxxxx bezpečnostního incidentu, xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §32 x xxxxxxx xxxx věrohodných xxxxxxxx xxxxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx,
x) xxxxxxxx x xxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx, xxxxxxxxx účinnost xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx x xx xxxxxxx xxxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxx opatření x xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a
e) xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
§14
Řízení xxxxxxxxxx xxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) až x) xxxxxx v xxxxx xxxxxx kontinuity xxxxxxxx stanoví
a) xxxxx x xxxxxxxxxx garantů xxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) xxxx xxxxxx xxxxxxxxxx xxxxxxxx formou xxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx služeb, xxxxx xx přijatelná xxx xxxxxxx, xxxxxx a xxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
2. xxxx obnovení xxxxx, xxxxx xxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx obnovena xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému, x
3. xxxx xxxxxxxx xxx xxxx termínu, xx xxxxxxx xxxxx xxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx, a
c) xxxxxxxxx řízení kontinuity xxxxxxxx, která xxxxxxxx xxxxxxxx cílů xxxxx xxxxxxx x).
(2) Orgán x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx xxxx
x) xxxxxxxxx x dokumentuje možné xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxxx,
x) stanoví, xxxxxxxxxxx x pravidelně testuje xxxxx kontinuity činností xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury,
c) xxxxxxxxx xxxxxxxx pro zvýšení xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxxxxxx bezpečnostnímu xxxxxxxxx x xxxxxxx xxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx §26 x
x) xxxxxxx x xxxxxxxxxxx postupy xxx provedení xxxxxxxx xxxxxxxx Úřadem podle §13 x 14 xxxxxx, ve xxxxxxx xxxxxxxx
1. xxxxxxxx hodnocení xxxxx provedení xxxxxxxx,
2. xxxx xxxxxxxxx bezpečnostních xxxxxxxx x
3. vyhodnocení xxxxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační infrastruktury xxxx komunikačního xxxxxxx xxxxxxxx informační infrastruktury.
§15
Kontrola x xxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx x rámci kontroly x xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systémů (xxxx jen "audit xxxxxxxxxxxx xxxxxxxxxxx")
x) xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx x právními xxxxxxxx, xxxxxxxxx předpisy, xxxxxx xxxxxxxx a xxxxxxxxx xxxxxxx vztahujícími xx x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxx opatření xxx xxxx prosazování x
x) xxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx politiky x výsledky xxxxxx xxxxxxx zohlední v xxxxx xxxxxxx bezpečnostního xxxxxxxx a plánu xxxxxxxx rizik.
(2) Orgán x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxxx xxxxx §6 xxxx. 6, xxxxx xxxxxxx správnost x xxxxxxxx xxxxxxxxxx bezpečnostních xxxxxxxx.
(3) Xxxxx a xxxxx uvedená x §3 xxxx. x) x d) xxxxxx xxxx pro informační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x komunikační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxx technických prostředků xxxxxx xxxxxxxxxxxxxxxx xxxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxx x xxxxxxx xx zjištěné xxxxxxxxxxxxx.
XXXXX XX
XXXXXXXXX OPATŘENÍ
§16
Fyzická xxxxxxxxxx
(1) Xxxxx x xxxxx uvedená v §3 xxxx. x) xx e) xxxxxx x xxxxx xxxxxxx xxxxxxxxxxx
x) přijme nezbytná xxxxxxxx x zamezení xxxxxxxxxxxxx xxxxxx xx xxxxxxxxxx xxxxxxx, kde xxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxx x zamezení poškození x zásahům do xxxxxxxxxx xxxxxxx, xxx xxxx xxxxxxxx informace x xxxxxxxx technická xxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému kritické xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x
x) xxxxxxxxx xxxxxxxxx, xxxxxxx xxxx xxxxxxxx xxxxx xxxx přerušení xxxxxxxxxxx služeb xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. c) x x) zákona xxxx xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxx xxxxxxxxx ochrany xx xxxxxx objektů a
b) xxx xxxxxxxxx xxxxxxx x xxxxx xxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxx prostor, xx xxxxxxx jsou umístěna xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo komunikačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx.
(3) Xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxx xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxx událostí,
e) xxxxxxx xxx xxxxxxxx xxxxxx,
x) xxxxxxxx xxxxxxx,
x) xxxxxxxx xxx xxxxxxxxx xxxxxxx xxxx xxxxxxxx dodávky xxxxxxxxxxxx xxxxxxxx a
h) xxxxxxxx pro xxxxxxxxx xxxxxxxxxxx provozních podmínek.
§17
Nástroj xxx ochranu xxxxxxxxx xxxxxxxxxxxxx xxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx pro xxxxxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx sítě, xxxxx xxxx pod xxxxxxx xxxxxx xxxx xxxxx, x vnitřní xxxxxxxxxxx xxxx, xxxxx xx xxx xxxxxxx xxxxxx xxxx osoby, xxxxxx
x) řízení xxxxxxxxxx xxxxxxxx xxxx vnější x xxxxxxx xxxx,
x) xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxxxxxx xxx xxxx xxxxxxxxxxx xxxx xxxx xxxxxxxxxxx xx xxxxxxx xxxxxxxxxxx aplikací xxxxxxxxxx x xxxxxx xxxx x x zamezení xxxxx komunikace xxxxxxx xxxx x vnější xxxx,
x) xxxxxxxxxxxxxx xxxxxxxxxx (§25) pro xxxxxxxx xxxxxxx, xxxxxxxxx xxxxxx xxxx xxx xxxxxxx xxxxxx bezdrátových technologií x
x) xxxxxxxx pro xxxxxxxxxx nebo blokování xxxxxxxxxxx dat, xxxxx xxxxxxxxxxxx požadavkům xx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx.
(2) Orgán x xxxxx uvedená x §3 xxxx. c) x x) xxxxxx xxxx xxxxxxx xxxxxxxx xxx ochranu xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxx, xxxxx xxxxxxx xxxx xxxxxxxxxx.
§18
Xxxxxxx xxx ověřování xxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) až x) xxxxxx xxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému.
(2) Xxxxxxx xxx ověřování xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx a administrátorů xxxx zahájením xxxxxx xxxxxxx x informačním xxxxxxx kritické informační xxxxxxxxxxxxxx, komunikačním systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxx.
(3) Nástroj xxx xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxx xxxxxxx xxxxxxxxxxx xxxxx xxxxxx, xxxxxxxxx
x) xxxxxxxxx xxxxx xxxxx xxx znaků,
b) xxxxxxxxx xxxxxxxxx xxxxx xxx, xx xxxxx xxxx xxxxxxxxx xxxxxxx 3 x xxxxxxxxxxxxx čtyř xxxxxxxxx
1. xxxxxxx jedno xxxxx písmeno,
2. xxxxxxx xxxxx xxxx písmeno,
3. xxxxxxx xxxxx číslici, xxxx
4. xxxxxxx jeden xxxxxxxxx znak odlišný xx požadavků xxxxxxxxx x xxxxxx 1 xx 3,
x) maximální xxxx pro xxxxxxxx xxxxxx xxxxx nepřesahující xxx dnů; xxxxx xxxxxxxxx xxxx vyžadován xxx xxxxxxxxxx identifikátory xxxxxxxx.
(4) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) x x) zákona xxxx
x) xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxx, xxxxx
1. xxxxxx opětovnému xxxxxxxxx dříve xxxxxxxxxxx xxxxx x xxxxxxxx xxxx xxxx hesla xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxx, které xxxx být nejméně 24 xxxxx, x
2. xxxxxxx opětovné xxxxxxx xxxxxxxx xx určené xxxx nečinnosti x
x) xxxxxxx nástroj xxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx. X xxxxxxx, že xxxxx nástroj využívá xxxxxxxxxxx heslem, xxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxx xxxxx xxx xxxxxxxx xxxxxxxxx xxxxx odstavce 3 xxxx. x) x x).
(5) Xxxxxxx xxx xxxxxxxxx xxxxxxxx uživatelů xxxx xxx xxxxxxxx x xxxxxx způsoby, xxx jaké jsou xxxxxxxxx v xxxxxxxxxx 3 xx 5, xxxxx orgán a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx xxxxxxxxxxx stejnou xxxx vyšší xxxxxx xxxxxxxxx xxxxx.
§19
Xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxxxx nástroj xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, kterým xxxxxxx xxxxxx oprávnění
a) xxx xxxxxxx x xxxxxxxxxxx xxxxxxxxx a datům x
x) xxx xxxxx xxx, xxx xxxxx xxx a pro xxxxx xxxxxxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx dále používá xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, který xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxx x bezpečnostními potřebami x xxxxxxxx xxxxxxxxx xxxxx.
§20
Nástroj xxx ochranu xxxx škodlivým xxxxx
Xxxxx x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx xxx xxxxxx xxxxx xxxxxxxxx x xxxxxxxxx škodlivého xxxx xxxxxxx xxxxxxx xxx xxxxxxx informačního xxxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačního systému xxxx škodlivým kódem, xxxxx xxxxxxx ověření x xxxxxx xxxxxxxx
x) xxxxxxxxxx mezi xxxxxxx xxxx x xxxxxx xxxx,
x) xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxx x
x) pracovních stanic,
přičemž xxxxxxx pravidelnou x xxxxxxx aktualizaci nástroje xxx ochranu před xxxxxxxxx kódem, jeho xxxxxxx x xxxxxxxx.
§21
Xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systémů, jejich xxxxxxxxx x xxxxxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxxxxx xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému kritické xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx systému, xxxxx xxxxxxx
x) xxxx xxxxxxxxx x xxxxxxxxxx x bezpečnostních činnostech, xxxxxxx xxx xxxxxxxx, xxxxx x xxx, xxxxxxxxxxxx technického aktiva, xxxxx xxxxxxx xxxxxxxxxxx, xxxxxxxxxxxx původce a xxxxx činnosti a xxxxxxxxx xxxx neúspěšnost xxxxxxxx x
x) ochranu xxxxxxxxx informací před xxxxxxxxxxxx čtením nebo xxxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxx pomocí nástroje xxx zaznamenávání xxxxxxxx xxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx a významného xxxxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxxxxxx x xxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxx provedené administrátory,
c) xxxxxxxx vedoucí xx xxxxx přístupových xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxx xxxxxxxxx činnosti xxxxxxxxx,
x) xxxxxxxx a ukončení xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxx xxxx xxxxxxx xxxxxxx xxxxxxxxxxx aktiv,
g) xxxxxxxx x xxxxxxxx x xxxxxxxxxx, xxxxxx x xxxxxxxxxx xx xxxxxxx x činnostech x změny xxxxxxxxx xxxxxxxx xxx zaznamenávání xxxxxxxx x
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxx xxxxxx změny xxxxx, xxxxx xxxxxx x xxxxxxxxxx.
(3) Orgán x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx xxxxxxx činností xxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxxx xxxxxxx xx xxxx 3 xxxxxx.
(4) Xxxxx x xxxxx xxxxxxx x §3 písm. c) xx e) zákona xxxxxxxxx xxxxxxx xxxxxx xx 24 hodin xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační infrastruktury xxxx významného xxxxxxxxxxxx xxxxxxx.
§22
Xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx xx xxxxxxxxxxx bezpečnostních xxxxxx x xxxxxxxx xxxxxxxxx xxxxx x xxxxx xxxxxxx ověření, xxxxxxxx x případně xxxxxxxxxxx xxxxxxxxxx mezi xxxxxxx xxxxxxxxxxx xxxx a xxxxxx xxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxxx xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxxxx xxxxxxx ověření, xxxxxxxx x xxxxxxxx xxxxxxxxxxx komunikace
a) x xxxxx xxxxxxx xxxxxxxxxxx xxxx a
b) serverů xxxxxxxxx do xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.
§23
Xxxxxxx pro xxxx x vyhodnocení kybernetických xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxxxxxx nástroj xxx sběr x xxxxxxxx vyhodnocení kybernetických xxxxxxxxxxxxxx událostí, xxxxx x xxxxxxx x xxxxxxxxxxxxxx potřebami x xxxxxxxx hodnocení xxxxx xxxxxxx
x) xxxxxxxxxxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí z xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxx určené xxxxxxxxxxxx xxxx o xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxx x informačním xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxx xxxx é xxxxxxxxxx xxxxxxxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxx varování určených xxxxxxxxxxxxxx xxxx.
(2) Orgán x osoba uvedená x §3 písm. x) x x) xxxxxx xxxx zajistí
a) xxxxxxxxxxx xxxxxxxxxxx nastavení xxxxxxxx pro xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxx varování, xxx byly xxxxxxxxx xxxxxxx nesprávného xxxxxxxxxxx xxxxxxxx nebo xxxxxxx xxxxxxxxx xxxxxxxx, a
b) xxxxxxxxx informací, xxxxx xxxx xxxxxxxxxx nástrojem xxx sběr x xxxxxxxxxxx kybernetických bezpečnostních xxxxxxxx, xxx xxxxxxxxx xxxxxxxxx bezpečnostních opatření xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§24
Xxxxxxxxx bezpečnost
(1) Xxxxx x xxxxx uvedená x §3 písm. x) xx e) xxxxxx provádí xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx přístupné x vnější sítě, x xx xxxx xxxxxx xxxxxxxx xx xxxxxxx x po xxxxx xxxxxxx xxxxx xxxxxxxxxxxxxx xxxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxx x xxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx
x) xxxxxxxx x informací xxxxxxxxxx x xxxxxx xxxx před xxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxxxxxxx nebo xxxxxxxxxxxxxxx xxxxxx x
x) xxxxxxxxx před xxxxxx xxxxxxxxxxxx, nesprávným směrováním, xxxxxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx, kompromitací, xxxxxxxxxxxxxxx duplikováním xxxx xxxxxxxxxx.
§25
Kryptografické prostředky
(1) Orgán x osoba uvedená x §3 xxxx. x) xx x) xxxxxx
x) pro používání xxxxxxxxxxxxxx xxxxxxx stanoví
1. xxxxxx xxxxxxx s xxxxxxx na xxx x sílu xxxxxxxxxxxxxxxx xxxxxxxxx a
2. pravidla xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx xxx xxxxxxx xx xxxxxxxxxxxxx sítích xxxx xxx xxxxxxx na xxxxxxx zařízení nebo xxxxxxxxxxx xxxxxxxxx xxxxxx xxx x
x) x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, které xxxxxxx ochranu důvěrnosti x xxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxx xxx x xxxxxxxxx identifikaci xxxxx xx xxxxxxxxx xxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) zákona xxxx
x) xxxxxxx xxx xxxxxxxxx kryptografických xxxxxxxxxx xxxxxx xxxxxx xxxxx, xxxxx xxxxxxx generování, xxxxxxxxxx, xxxxxxxx, xxxxxxxxx, xxxxx, xxxxxx, xxxxxxxx x audit xxxxx, x
x) používá xxxxxx xxxxxxxxxxxxxx algoritmy x xxxxxxxxxxxxxx xxxxx; v xxxxxxx nesouladu x xxxxxxxxxxx požadavky na xxxxxxxxxxxxxx algoritmy xxxxxxxxx x příloze č. 3 x xxxx xxxxxxxx xxxx xxxxxx xxxxxxx x xxxxx xxxxxxxxxx.
§26
Xxxxxxx xxx zajišťování xxxxxx xxxxxxxxxxx
(1) Orgán x osoba xxxxxxx x §3 písm. x) až x) xxxxxx v xxxxxxx x xxxxxxxxxxxxxx potřebami x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxx zajišťování xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a d) xxxxxx xxxxxxx nástroj xxx xxxxxxxxxxx úrovně xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxx xxxxxxx xxxx řízení xxxxxxxxxx xxxxxxxx,
x) odolnost informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, které xx mohly xxxxxx xxxxxxxxxx, a
c) zálohování xxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx
1. xxxxxxxx xxxxxxxxxx x návrhu xxxxxx x
2. xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxx xxxx.
§27
Xxxxxxxxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x x) zákona xxx xxxxxxxxxx xxxxxxxxxxxx x řídicích systémů, xxxxx xxxx xxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikačním xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxx xxxxxx xxxxxxxx, xxxxxxx xxxxxxxx, které xxxxxxx
x) xxxxxxx xxxxxxxxx xxxxxxxx x xxxx x xxxxxxxxx xxxxxxxxxxxx a xxxxxxxx systémů,
b) xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxx x xxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxx,
x) xxxxxxx jednotlivých xxxxxxxxxxx xxxxx xxxxxxxxxxxx x řídicích xxxxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx xx xxxxxxxxxxxxx bezpečnostním incidentu.
XXXXX XXX
XXXXXXXXXXXX DOKUMENTACE
§28
Bezpečnostní xxxxxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) x d) zákona xxxx x aktualizuje xxxxxxxxxxxx xxxxxxxxxxx, která xxxxxxxx
x) bezpečnostní xxxxxxxx xxxxx §5 odst. 1,
x) xxxxxx z xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §3 xxxx. 1 xxxx. x),
x) xxxxxx z xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx §3 xxxx. 1 xxxx. x),
x) metodiku xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx a pro xxxxxxxxxxxx x hodnocení xxxxx,
x) xxxxxx o xxxxxxxxx aktiv x xxxxx,
x) xxxxxxxxxx x xxxxxxxxxxxxxxxx,
x) xxxx xxxxxxxx xxxxx,
x) plán xxxxxxx xxxxxxxxxxxxxx xxxxxxxx podle §9 xxxx. 1 xxxx. a),
i) zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. x),
x) xxxxxxxxx xxxxxx xxxxxxxxxx činností xxxxx §14 odst. 1 xxxx. x) x
x) xxxxxxx xxxxxxxx předpisů, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxx §15 odst. 1 xxxx. x).
(2) Orgán x osoba xxxxxxx x §3 xxxx. x) xxxxxx vede x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, která obsahuje
a) xxxxxxxxxxxx xxxxxxxx xxxxx §5 xxxx. 2,
b) xxxxxxxx xxx xxxxxxxxxxxx x hodnocení xxxxx x xxx xxxxxxxxxxxx x hodnocení xxxxx xxxxx §4 xxxx. 2 xxxx. x),
x) xxxxxx x xxxxxxxxx xxxxx x rizik xxxxx §4 xxxx. 2 xxxx. x) x x),
x) prohlášení x xxxxxxxxxxxxxxxx podle §4 xxxx. 2 xxxx. x),
x) plán xxxxxxxx xxxxx xxxxx §4 xxxx. 2 xxxx. x),
x) xxxx xxxxxxx xxxxxxxxxxxxxx povědomí xxxxx §9 xxxx. 1 xxxx. x),
x) xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. x),
x) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxx §14 xxxx. 1 písm. x) x
x) xxxxxxx právních xxxxxxxx, vnitřních xxxxxxxx x xxxxxx xxxxxxxx x smluvních xxxxxxx xxxxx §15 xxxx. 1 písm. a).
(3) Xxxxx a osoba xxxxxxx x §3 xxxx. x) až x) xxxxxx vede xxxxxxxxxxxx xxxxxxxxxxx tak, xxx záznamy x xxxxxxxxxxx xxxxxxxxxx byly xxxxx, čitelné, xxxxxx xxxxxxxxxxxxxxxxx a xxx xx daly xxxxxx xxxxxxxx. Opatření potřebná x identifikaci, xxxxxxx, xxxxxxx, xxxxxxxxx, době xxxxxxxxx a xxxxxxxxxx xxxxxxx x provedených xxxxxxxxxx xxxxxxxxxxx.
(4) Doporučená xxxxxxxxx bezpečnostní dokumentace xx xxxxxxxxx v příloze č. 4 k xxxx xxxxxxxx.
§29
Xxxxxxxxx xxxxxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 písm. c) xx x) xxxxxx, xxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx systém xx xxxxx xxxxxxx xx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx xxxxx1) xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx, x xxxxx xxxx xxxxxxxxx obsahující
a) xxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx x xxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxx x xxxxxx x hodnocení xxxxx,
x) xxxxxxxxxx o aplikovatelnosti,
e) xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx xx xxxxxxxxxxx informací1),
f) xxxxxx x xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx vstupů x xxxxxxx xxxxxxxxxxx x
x) zprávu x xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx včetně xxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxxxx xxxxxx,
xxxxxxx xxxxxxxxx xx xxxxxxxx bezpečnostních xxxxxxxx xxxxx xxxxxx x xxxx xxxxxxxx.
ČÁST XXXXX
XXXXXXXXXXXX BEZPEČNOSTNÍ XXXXXXXX
§30
Xxxx kybernetických bezpečnostních xxxxxxxxx
(1) Podle xxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx xxxx
x) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxx útokem xxxx xxxxx xxxxxxxx xxxxxxx x xxxxxxx do xxxxxxx xxxx x xxxxxxx dostupnosti xxxxxx,
x) xxxxxxxxxxxx bezpečnostní incident xxxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxx technických xxxxxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx způsobený porušením xxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxx hrozeb x
x) xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx.
(2) Xxxxx dopadu xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx rozděleny xx xxxxxxxxxxxxx typů
a) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx důvěrnosti xxxxx,
x) xxxxxxxxxxxx bezpečnostní incident xxxxxxxxxxx narušení integrity xxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx narušení xxxxxxxxxxx aktiv, xxxx
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx kombinaci xxxxxx xxxxxxxxx x xxxxxxxxx x) xx c).
§31
Xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Xxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx podle xxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx dělí do xxxxxxxxxxxxx kategorií
a) Xxxxxxxxx XXX - xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, při kterém xx přímo x xxxxxxxx xxxxxxxx bezpečnost xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x xxx, xx xxxx xxx xxxxx dostupnými xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace xxxxxxxxx x potenciálních škod.
b) Xxxxxxxxx XX - xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx kterém xx narušena xxxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx. Jeho řešení xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx s tím, xx musí xxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
x) Xxxxxxxxx X - méně xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, při kterém xxxxxxx x xxxx xxxxxxxxxx narušení bezpečnosti xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx řešení xxxxxxxx zásahy xxxxxxx x xxx, xx xxxx být xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx xxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx škod.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx při xxxxxxxxxxxx xxxxxxxxxxxx kybernetických bezpečnostních xxxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx
x) důležitost xxxxxxxxx xxxxx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxx na xxxxxx poskytované xxxxxx xxxxxxxxxxxx systémy xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x
x) xxxxxxxxxxxxx xxxxx x xxxxx xxxxxx.
§32
Forma x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Orgán a xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxx kybernetický xxxxxxxxxxxx xxxxxxxx
x) x elektronické xxxxxx prostřednictvím
1. xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Úřadu,
2. xxxxxx xx xxxxxx xxxxxxxxxxxx xxxxx Xxxxx xxxxxx pro xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx,
3. xxxxxx xxxxxx xx xxxxxx xxxxxxxx Xxxxx, xxxx
4. prostřednictvím určeného xxxxxxxx rozhraní, jehož xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx, xxxxx
x) x xxxxxxxx xxxxxx na xxxxxx Xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxx xx internetových xxxxxxxxx Xxxxx.
(2) Hlášení x xxxxxxxx xxxxxx xx xxxxxx xxxxx x xxxxxxxxx, kdy nelze xxxxxx žádný ze xxxxxxx xxxxxxxxx x xxxxxxxx 1 xxxx. x).
(3) Xxxxxxxxxxx hlášení xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxx uvedeny v příloze č. 5 x této xxxxxxxx.
XXXX ČTVRTÁ
REAKTIVNÍ XXXXXXXX X KONTAKTNÍ XXXXX
§33
Xxxxxxxxx xxxxxxxx
Xxxxx a xxxxx xxxxxxx v §3 xxxx. c) xx x) xxxxxx oznámí xxxxxxxxx xxxxxxxxxxx opatření x xxxx xxxxxxxx xx xxxxxxxxx, jehož xxxx xx uveden x příloze č. 6 x xxxx xxxxxxxx.
§34
Xxxxxxxxx xxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxxxx xxxxxxxx xxxxxxxxx údaje na xxxxxxxxx, jehož vzor xx uveden v příloze č. 7 k xxxx xxxxxxxx. Orgán x xxxxx xxxxxxx x §3 písm. c) xx x) xxxxxx xxxxxxxx kontaktní údaje xxxxxx xxxxxxxx x §32 xxxx. 1 xxxx. a).
XXXX PÁTÁ
ÚČINNOST
§35
Tato vyhláška xxxxxx účinnosti xxxx 1. xxxxx 2015.
Xxxxxxx:
Xxx. Xxxxxxxx v. r.
Příloha č. 1 x vyhlášce č. 316/2014 Xx.
Xxxxxxxxx a xxxxxx důležitosti aktiv
Pro xxxxxxxxx xxxxxxxxxxx aktiv xxxx xxxxxxx stupnice x čtyřech úrovních. Xxxxx xxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxx xxxxxxxx odlišný xxxxx xxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxx, xxx xxxx xx xxxxxx x xxxx příloze, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx x stupnicemi x xxxxxxxx xxx xxxxxxxxx důležitosti aktiv, xxxxx jsou uvedeny x xxxx xxxxxxx.
X xxxxxxx použití xxx xxxxxx xxxxxxxxx důležitosti xxxxx xx xxxxxxxxx xxxxxxx xxx xxxxxx xxxxx a xxxxxxx, xxxx xxxxxx vysoká x xxxxxxxx.
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxx xxxx xxxxxxx xxxxxxxxx xxxx xxxx xxxxxx xx xxxxxxxxxx (xxxx. xx xxxxxxx xxxxxx č. 106/1999 Sb., x svobodném přístupu x xxxxxxxxxx, xx xxxxx xxxxxxxxxx xxxxxxxx). Xxxxxxxx důvěrnosti xxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx a osoby xxxxxxx x §3 xxxx. x) xx x) zákona. |
Není xxxxxxxxxx xxxxx ochrana. |
|
Střední |
Aktiva nejsou xxxxxxx xxxxxxxxx x xxxxx xxxx-xxx orgánu x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx, ochrana xxxxx xxxx vyžadována xxxxxx xxxxxxx xxxxxxxxx nebo xxxxxxxx ujednáním. |
Pro ochranu xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxx řízení xxxxxxxx. |
|
Xxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx a jejich xxxxxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx nebo xxxxxxxxx xxxxxxxxxx (např. xxxxxxxx xxxxxxxxx xxxxx xxxxxx č. 89/2012 Sb., xxxxxxxx zákoník, xxxxxx xxxxx xxxxx xxxxxx č. 101/2000 Sb., x xxxxxxx osobních xxxxx, xx xxxxx pozdějších xxxxxxxx). |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx prostředky, xxxxx xxxxxxx xxxxxx x zaznamenávání xxxxxxxx. Xxxxxxx informací xxxxxx xxxxxxxxxxx xxxx jsou xxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxxxxxxx xxxx ochrany xxx xxxxx xxxxxxxxx xxxxxxxxx (xxxx. xxxxxxxxxxx xxxxxxxx tajemství, citlivé xxxxxx xxxxx). |
Xxx ochranu xxxxxxxxxx xx požadována xxxxxxxx xxxx, xxxxx x aktivům xxxxxxxxxxx, x xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xx xxxxxx xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx jsou xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxxxxxxx pro xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx nevyžaduje ochranu x xxxxxxxx integrity. Xxxxxxxx integrity xxxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx v §3 xxxx. x) až x) xxxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx může xxxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx xxxx x xxxxxxxxx xxxxxxxxxxx zájmů xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) zákona x xxxx se xxxxxxxx xxxx xxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx integrity xxxx xxxxxxxxx standardní xxxxxxxx (xxxx. xxxxxxx xxxxxxxxxxxx práv pro xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxxxx xxxx x poškození xxxxxxxxxxx xxxxx orgánu x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx x xxxxxxxxxxx xxxxxx xx primární xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx, které dovolují xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx x xxxxxxxxxx xxxxxxxx osoby xxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx informací xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx sítěmi xx xxxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx z xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxx x velmi xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx x přímými a xxxxx vážnými dopady na xxxxxxxx xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx využívány xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx osoby xxxxxxxxxxx xxxxx (xxxx. pomocí xxxxxxxxxxx xxxxxxxxxxx xxxxxxx). |
Xxxxxxxx xxx hodnocení xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx není xxxxxxxx a x xxxxxxx výpadku xx xxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx pro xxxxxxx (xxx xx 1 týdne). |
Pro ochranu xxxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx zálohování. |
|
Střední |
Narušení xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx xxxx xxxxxxxxxx xxx, xxxxxxxxxxxxx xxxxxxx xxxx k xxxxxxx xxxxxxxx zájmů xxxxxx x xxxxx uvedené x §3 xxxx. x) xx e) xxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx překročit xxxx xxxxxxxx xxxxx. Jakýkoli xxxxxxx xx nutné xxxxx neprodleně, xxxxxxx xxxx x přímému xxxxxxxx xxxxx orgánu x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx. Xxxxxx jsou xxxxxxxxxx xxxx velmi xxxxxxxx. |
Xxx xxxxxxx dostupnosti jsou xxxxxxxxx xxxxxxx xxxxxxx x obnova poskytování xxxxxx xxxx xxx xxxxxxxxx xxxxxx xxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xxxx přípustné x x krátkodobá xxxxxxxxxxxx (x řádu xxxxxxxx xxxxx) xxxx x xxxxxxx xxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx. Aktiva jsou xxxxxxxxxx xxxx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx systémy x xxxxxx poskytování xxxxxx xx xxxxxxxxxx x xxxxxxxxxxxxxx. |
Xxxxxxx x. 2 x xxxxxxxx x. 316/2014 Sb.
Hodnocení xxxxx
Xxxxxxxxx xxxxx xx xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxx xxxxx, hrozba x zranitelnost.
Pro hodnocení xxxxx lze xxxxxx xxxxxxx xxxx funkci
riziko = dopad x xxxxxx x xxxxxxxxxxxx.
Xxxxxxxxxxx xxxxxx xxxxxx pro xxxxxx xxxxxx je xxxxxxxxx součástí xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx rizika
|
Stupnice pro xxxxxxxxx dopadů |
|
|
Úroveň |
Popis |
|
Nízký |
Dopad je x omezeném xxxxxxx xxxxxx x malého xxxxxxx a nesmí xxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx nepřesahuje a) 10 xxxxxxxxx xxxx s xxxxxxxxx hospitalizací po xxxx delší xxx 24 hodin xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xx 5 000 000 Xx xxxxx x) xxxxxxxxxxx xxxxx na veřejnost x rozsáhlým xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx závažného xxxxxx xx každodenního xxxxxx xxxxxxxxxxxxx xxxxxxx 250 xxxx. |
|
Xxxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx x v xxxxxxxx xxxxxxx xxxxxx. Xxxxxx xxxxxxxxxx škod se xxxxxxxx x xxxxxxx x) xx 10 xxxxxxx xxxx od 11 xx 100 xxxx x xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 hodin xxxx x) finanční xxxx xxxxxxxxxx xxxxxx xx 5&xxxx;000&xxxx;000 Kč xx 50&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx dopad na xxxxxxxxx x xxxxxxxxx xxxxxxxx nezbytných xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx do xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xx 251 xx 2 500 xxxx. |
|
Xxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx, ale xxxxxx xxxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xx xxxxxxxx x xxxxxxx x) od 11 do 100 xxxxxxx xxxx xx 101 xx 1 000 xxxx s xxxxxxxxx hospitalizací xx xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx nebo xxxxxxxxxx xxxxxx xx 50 000 000 Xx xx 500&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx na xxxxxxxxx x xxxxxxxxx omezením xxxxxxxxxx xxxxxx xxxx xxxxxx závažného xxxxxx xx každodenního života xxxxxxxxxxxxx xx 2&xxxx;501 xx 25&xxxx;000 osob. |
|
Kritický |
Dopad xx xxxxxx xxxxxxxx, xxxxxx a katastrofický. Rozsah xxxxxxxxxx škod xx xxxxxxxx v xxxxxxx x) 10 a více xxxxxxx x 1 001 x xxxx xxxx x následnou xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx ztráty xxxxxxxxxxx 500&xxxx;000&xxxx;000 Kč xxxxx x) představuje xxxxx xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx nebo xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx života postihujícího xxxx xxx 25&xxxx;000 xxxx. |
|
Xxxxxxxx pro xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx xxxx xx xxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxx častější než xxxxxx xx 5 xxx. |
|
Xxxxxxx |
Xxxxxx je xxxx xxxxxxxxxxxxx až xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx x xxxxxxx xx 1 xxxx xx 5 xxx. |
|
Xxxxxx |
Xxxxxx xx pravděpodobná až xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx x xxxxxxx xx 1 xxxxxx xx 1 xxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx jistá. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx xxxxxxxx než xxxxxx xx xxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx zranitelností |
|
|
Úroveň |
Popis |
|
Nízká |
Zranitelnost xxxxxxxxxx xxxx xx xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxxx. Xxxxxxxx kvalitní xxxxxxxxxxxx xxxxxxxx, xxxxx jsou xxxxxxx xxxx xxxxxxxxx xxxxx slabiny xxxx xxxxxxxx pokusy o xxxxxxxxx opatření. |
|
Střední |
Zranitelnost xx xxxx xxxxxxxxxxxxx až xxxxxxxxxxxxx. Xxxxxxxx kvalitní xxxxxxxxxxxx opatření, jejichž xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx. Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxx slabiny xxxx xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx je xxxxxxx. Xxxxxx známé xxxxx úspěšné xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx xx xxxxxxxxxxxxx xx velmi pravděpodobná. Xxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxx xxxxxx účinnost xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx a není xxxxxxxxxx xxxxxxxxxxxx. Xxxx xxxxx xxxxx xxxxxxx xxxxxx o xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx xx xx xxxxxxxx jisté xxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx anebo xx xxxxxx xxxxxxxx xxxxxx xxxxxxx. Xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Xxxx xxxxx xxxxxxx xxxxxx překonání xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx za xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx být xxxxxxx xxxx xxxxxxxxx opatřeními xxxx x xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xx riziko přijatelné. |
|
Vysoké |
Riziko xx xxxxxxxxxx xxxxxxxxxxx x musí xxx xxxxxxxx xxxxxxxxxxxx xxxxx x jeho odstranění. |
|
Kritické |
Riziko xx xxxxxxxxxxx x xxxx xxx xxxxxxxxxx xxxxxxxx xxxxx k xxxx xxxxxxxxxx. |
X xxxxxxx, xx xxxxx nebo xxxxx uvedená v §3 xxxx. c) xx x) zákona xxxxxxx metodu pro xxxxxxxxxxxx x hodnocení xxxxx, xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx a xxxxxxxxxxxxx, xx xxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx x zranitelností xxxxxxx. Sloučení stupnic xx xxxxxx xxxx xx xxxxxx xxxxxxxxxx xxxxxxxxx xxxx hrozby x xxxxxxxxxxxxx. Xx xxxxx xxxxxx xxx xxxxxx xxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx vyjádří xxx xxxxxx xxxxxx, xxx i úroveň xxxxxxxxxxxxx. Xxxxxxx postupuje x xxxxx nebo xxxxx xxxxxxx x §3 xxxx. c) xx e) xxxxxx, xxxxx xxxxxxx xxxx xxxxx xxxxxx pro xxxxxxxxx dopadů, xxxxxx, xxxxxxxxxxxxx x xxxxx.
Xxxxxxx x. 3 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx požadavky xx kryptografické xxxxxxxxx
(1) Xxxxxxxxxx algoritmy
a) Xxxxxxx x xxxxxxxx xxxxx xxx xxxxxxx xxxxxxxxxx x xxxxxxxxx
1. Advanced Xxxxxxxxxx Xxxxxxxx (XXX) x xxxxxxxx xxxxx xxxxx 128, 192 x 256 xxxx Xxxxxx Xxxx Encryption Xxxxxxxx (3DES) s xxxxxxxx xxxxx xxxxx 168 xxxx, xxxxxxx xxxxxxx xxx se xxxxxxxxx xxxxx xxxxxx xxx 10 XX, xxxxxxxx xxxxxxxxx xx XXX.
2. Triple Xxxx Xxxxxxxxxx Xxxxxxxx (3DES) x využitím délky xxxxx 112 bitů, xxxxxxx xxxxxxx jen xx zatížením klíče xxxxxx xxx 10 XX, postupně xxxxxxxxx xx AES. Xxxxxxxxxx xxxxxxx xxxxxxxxxxx klíče xxx každou zprávu.
3. Xxxxxxxx s xxxxxxxx xxxxxxxxx xxxxx xxxxx 128 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX.
4. Xxxxxx x využitím xxxxx xxxxx 128 xxxx, xxxxxxx použití xxx se xxxxxxxxx xxxxx xxxxxx xxx 10 GB.
5. Xxxxxxx x využitím délky xxxxx 128 xx 256 xxxx.
6. Serpent x využitím xxxxx xxxxx 128, 192, 256 xxxx.
7. Camellia x xxxxxxxx xxxxx xxxxx 128, 192 x 256 xxxx.
8. XXXX 2.0, XXXX 3X s využitím xxxxx klíčů 128, 256 xxxx.
x) Xxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx
1. XXX,
2. XXX,
3. XXX,
4. Xxxxxxx schémata xxxx "Xxxxxxx-xxxx-XXX".
Xxxxxxxx:
Xxxxxxxx typu "Xxxxxxx-xxxx-XXX",xxxx xxxxxxxx x xxxxxxxxx xxxxx xxxxxxx xxxxxxxxx módy x x výpočtu MAC xxxxx uvedené xxxx xxx xxxxxxx integrity.
c) Xxxx xxxxxxxxx
1. XXX,
2. XXX,
3. XXX,
4. XXX,
Xxxxxxxx:
Xxxx XXX x CFB xxxx být xxxxxxx x xxxxxxxx, pro xxxxxxxx xxxxxxxxxxxxxxxxxx inicializačním xxxxxxxx, xxx použití xxxx OFB se xxx xxxx xxxx xxxxx opakovat xxxxxxx xxxxxxxxxxxxxxx xxxxxxx, xxx xxxxxxx xxxx CTR xx pro xxxx xxxx xxxxx opakovat xxxxxxx xxxxxx, x xxxxxxx použití XXX xxxx x xxxxxxxxx xxx ochrany xxxxxxxxx xx třeba ověřit xxxxxxxx proti útoku xx xxxxxxx CBC xxxx.
x) Xxxx xxx xxxxxxx xxxxxxxxx
1. XXXX,
2. XXX-XXX-X9.19, xxxxxxx xxxxxxx xxx se xxxxxxxxx xxxxxx xxx 109 XXX,
3. XXX-XXX-XXXX,
4. CMAC.
(2) Xxxxxxxxxxx algoritmy
a) Pro xxxxxxxxxxx xxxxxxxxxxx xxxxxxx
1. Xxxxxxx Signature Xxxxxxxxx (XXX) x xxxxxxxx xxxxx klíčů 2048 xxxx a xxxx, xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx 224 xxxx x více.
2. Elliptic Xxxxx Digital Xxxxxxxxx Xxxxxxxxx (EC-DSA) x xxxxxxxx délky xxxxx 224 bitů x xxxx.
3. Xxxxxx-Xxxxxx-Xxxxxxx Probablistic Xxxxxxxxx Xxxxxx (XXX-XXX) x xxxxxxxx xxxxx xxxxx 2048 xxxx x xxxx.
x) Pro xxxxxxx xxxxx na xxxxx x šifrování xxxxx
1. Xxxxxx-Xxxxxxx (XX) x xxxxxxxx xxxxx xxxxx 2048 xxxx x xxxx, xxxxx xxxxxxxxx xxxxxxx xxxxxxxx 224 xxxx a xxxx.
2. Xxxxxxxx Curve Xxxxxx-Xxxxxxx (ECDH) s xxxxxxxx délky xxxxx 224 bitů a xxxx.
3. Xxxxxxxx Xxxxx Xxxxxxxxxx Encryption Xxxxxx - Key Xxxxxxxxxxxxx Xxxxxxxxx (XXXXX-XXX) x xxxxxxxx xxxxx klíčů 256 xxxx x xxxx.
4. Xxxxxxxx Xxxxxx Xxxxxxxx Curve - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXXX-XXX) x xxxxxxxx xxxxx xxxxx 256 xxxx více.
5. Xxxxxxxxx Xxxxxxx xxx Key Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) x xxxxxxxx xxxxx xxxxx 256 bitů x xxxx.
6. Xxxxxx Xxxxxx Xxxxxxx - Xxxxxxx Xxxxxxxxx Xxxxxxxxxx Xxxxxxx (RSA-OAEP) s xxxxxxxx délky xxxxx 2048 x xxxx.
7. Xxxxxx Shamir Adleman - Xxx Encapculation Xxxxxxxxx (XXX-XXX) x xxxxxxxx délky xxxxx 2048 a xxxx.
(3) Xxxxxxxxx hash funkcí
a) XXX-2
1. SHA-224,
2. XXX-256,
3. XXX-384,
4. SHA-512,
5. SHA-512/224,
6. XXX-512/256.
x) XXX-3
1. SHA3-224,
2. XXX3-256,
3. XXX3-384,
4. XXX3-512,
5. XXXXX-128,
6. XXXXX-256.
x) Xxxxxxx xxxxxxxx xxxxxx
1. Whirpool,
2. XXXXXX-160,
3. SHA 1 x xxxxxxxx xxxxxxxx.
Xxxxxxxx x. 1:
XXX-1 se xxxxx používat pro xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx, xxxxxxxx xxxxxxx, xxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx SHA-1.
Poznámka x. 2:
SHA-1 xxx xxxxxxxx pouze pro xxxxxxxxx již xxxxxxxxxxxx xxxxxxxxxxx podpisů a xxxxxxxx xxxxxxx, xxxxxxxxxx x xxxxxxxxx XXXX-XXX1, xxxxxx pro xxxxxxxxxx xxxxx x xxxxxxxxxxxxx xxxxxxxxxx.
Příloha x. 4 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
Xxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx zahrnují xxxxxx, která jednotlivé xxxxxxxxx podle xxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxx dokumentů xxxxxx xxxxxxx x xx xx xxxxxx xxxx osobě uvedené x §3 písm. x) až e) xxxxxx, xxxx xxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx použije. Přípustná xx x xxxxx xxxxx jednotlivých xxxxxxxxx xxxx xxxxxxxxxxx xxxx xxxxx xx xxxxxxx xxxxxxxxx.
X. Struktura xxxxxxxxxxxx xxxxxxxx
(1) Xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. x)]
x) Xxxx, xxxxxxxx x xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx a xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x postupy pro xxxxxx zdrojů x xxxxxxx systému xxxxxx xxxxxxxxxxx informací.
e) Pravidla x postupy xxx xxxxxxxxx auditů kybernetické xxxxxxxxxxx.
x) Pravidla a xxxxxxx xxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx nápravná xxxxxxxx a xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxx bezpečnostních xxxx x xxxxxx xxxx x povinností,
1. xxxxx x povinnosti xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
2. xxxxx a povinnosti xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
3. xxxxx a xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx bezpečnosti,
4. xxxxx a xxxxxxxxxx xxxxxxx xxxxx,
5. xxxxx x xxxxxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Požadavky xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx bezpečnostních xxxx.
(3) Xxxxxxxx řízení dodavatelů**
[§5 xxxx. 1 písm. x), §5 odst. 2 písm. c)]
a) Xxxxxxxx a xxxxxxxx xxx výběr xxxxxxxxxx.
x) Xxxxxxxx pro hodnocení xxxxx xxxxxxxxxx.
x) Náležitosti xxxxxxx o úrovni xxxxxx a způsobů x úrovní realizace xxxxxxxxxxxxxx opatření a x xxxxxx xxxxxxxx xxxxxxx odpovědnosti.
d) Xxxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxx hodnocení xxxxxxxxxx.
(4) Politika xxxxxxxxxxx xxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx primárních xxxxx
1. xxxxxx x xxxxxxxx jednotlivých xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. hodnocení xxxxxxxxxxx primárních xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx.
x) Xxxxxxxxxxxx, hodnocení a xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxx vazeb xxxx primárními x xxxxxxxxxx aktivy.
c) Xxxxxxxx xxxxxxx jednotlivých xxxxxx xxxxx
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx úrovní aktiv,
2. xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx xxxxx xxxxx xxxxxx xxxxx,
3. xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx.
x) Způsoby spolehlivého xxxxxxx xxxx xxxxxx xxxxxxxxxxx nosičů xxx.
(5) Xxxxxxxx xxxxxxxxxxx lidských xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Pravidla rozvoje xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx jeho xxxxxxxxx
1. xxxxxxx a xxxxx xxxxxxx uživatelů,
2. způsoby x xxxxx poučení xxxxxxx xxxxx,
3. xxxxxxx x xxxxx poučení xxxxxxxxxxxxxx,
4. způsoby x xxxxx xxxxxxx dalších xxxx zastávajících bezpečnostní xxxx.
x) Xxxxxxxxxxxx školení xxxxxx zaměstnanců.
c) Xxxxxxxx xxx řešení xxxxxxx xxxxxxxx bezpečnostní xxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx pro xxxxxxxx xxxxxxxxxx vztahu xxxx změnu pracovní xxxxxx.
1. xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx xxxx při xxxxxxxx xxxxxxxxxx xxxxxx,
2. xxxxx xxxxxxxxxxxx oprávnění xxx xxxxx xxxxxxxx xxxxxx.
(6) Xxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxx**
[§5 xxxx. 1 písm. f), §5 xxxx. 2 xxxx. f)]
a) Pravomoci x xxxxxxxxxxxx spojené x xxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx a xxxxxxxxx xxxxxxxxxx provozu.
d) Xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx.
(7) Xxxxxxxx xxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. g), §5 xxxx. 2 písm. x)]
x) Xxxxxxx minimálních xxxxxxxxx/xxxxxxx xxxx (xxxx xx xxxx).
x) Xxxxxxxxx xx xxxxxx xxxxxxxx.
x) Xxxxxxx cyklus xxxxxx xxxxxxxx.
x) Řízení xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx přezkoumání přístupových xxxxxxxxx včetně rozdělení xxxxxxxxxxxx xxxxxxxxx v xxxxxxxxxxxx xxxxxxxxx.
(8) Xxxxxxxx xxxxxxxxxx chování xxxxxxxxx*
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx xxx bezpečné xxxxxxxxx x xxxxxx.
x) Xxxxxxxx použití přístupového xxxxx.
x) Xxxxxxxx použití xxxxxxxxxxxx xxxxx x xxxxxxxx xx internet.
d) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx chování na xxxxxxxxxx sítích.
f) Xxxxxxxxxx xx vztahu x xxxxxxxx xxxxxxxxx.
(9) Xxxxxxxx xxxxxxxxxx x obnovy**
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. i)]
a) Xxxxxxxxx xx zálohování x xxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx.
x) Pravidla x xxxxxxx xxxxxx.
x) Xxxxxxxx x postupy xxxxxxxxx xxxxxxxxxx x obnovy.
(10) Xxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxx ochranu xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx xxxxxxx xxxxxxxxxxxx výměny xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx kryptografické ochrany.
(11) Xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx**
[§5 odst. 1 xxxx. x)]
x) Xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) Pravidla x xxxxxxx xxxxxxxxxxx xxxxxxxxx programových balíčků,
c) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
x) Pravidla x xxxxxxx nasazení xxxxx xxxxxxxxxxxx xxxxxxxx.
(12) Xxxxxxxx xxxxxxxxxx používání mobilních xxxxxxxx*
[§5 xxxx. 1 xxxx. 1)]
a) Xxxxxxxx x postupy xxx xxxxxxxx používání mobilních xxxxxxxx.
x) Pravidla a xxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx xxxxxxxxxxx.
(13) Xxxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x informací*
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxxxx vybavení x xxxx evidence.
b) Xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
(14) Xxxxxxxx xxxxxxxxxxxx ukládání a xxxxxxxxx xxxxxxxxx*
[§5 odst. x xxxx. n)]
a) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxx.
x) Xxxxxxx archivovaných xxxxxxxxx a xxxxxxx.
x) Xxxxxxxx přístupu x xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx.
(15) Xxxxxxxx xxxxxxx xxxxxxxx xxxxx*
[§5 odst. x xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx a xxxxxxxxxxx organizačních xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
(16) Politika xxxxxxx xxxxxxxxxxx**
[§5 xxxx. x písm. x)]
x) Xxxxxxxx pro ochranu xxxxxxx.
x) Pravidla xxx xxxxxxxx vstupu xxxx.
x) Xxxxxxxx pro ochranu xxxxxxxx.
x) Xxxxxxx narušení xxxxxxx xxxxxxxxxxx.
(17) Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxx.
x) Xxxxxx xxxx a xxxxxxxxxx xx xxxxxxxx provoz xxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxx xxxxxxxx x xxxxx xxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxxxxx přístupu k xxxx.
x) Xxxxxxxx a xxxxxxx pro xxxxxxxxxxxx xxxx x xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.
(18) Xxxxxxxx xxxxxxx xxxx škodlivým xxxxx*
[§5 xxxx. x xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxx vnitřní x xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx ochranu xxxxxxx x xxxxxxxxx datových xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxx.
(19) Xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx pro detekci xxxxxxxxxxxxxx bezpečnostních událostí**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx a postupy xxxxxxxx nástroje xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx postupy xxx vyhodnocování x xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx optimalizaci xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(20) Xxxxxxxx využití x xxxxxx nástroje xxx xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxx evidenci x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Pravidla x postupy xxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx pro xxxx x vyhodnocení kybernetických xxxxxxxxxxxxxx událostí.
(21) Politika xxxxxxxxxx xxxxxxxxx kryptografické xxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxx x xxxxxxx xx xxx a sílu xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx ochrany xxxxxxxxx
1. xxx xxxxxxx xx xxxxxxxxxxxxx sítích,
2. xxx xxxxxxx xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxx dat,
c) Xxxxxx xxxxxx klíčů.
II. Xxxxxxxxx xxxxx xxxxxxxxxxx
(1) Xxxxxx x xxxxxx xxxxxxxxxxxx bezpečnosti**
[§28 xxxx. 1 xxxx. x)]
x) Xxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Předmět xxxxxx xxxxxxxxxxxx bezpečnosti.
c) Xxxxxxxx xxxxxx kybernetické bezpečnosti.
d) Xxxxxxxxxxxxxx týmu auditorů x osob, xxxxx xx xxxxxx kybernetické xxxxxxxxxxx xxxxxxxxxx.
x) Xxxxx x xxxxx, xxx xxxx prováděny činnosti xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(2) Xxxxxx z xxxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 písm. x)]
x) Xxxxxxxxxxx xxxxxxxx z xxxxxxxxxxx přezkoumání systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) Xxxxxxxxxxxx xxxx x xxxxxxxxx, xxxxx mohou xxx xxxx xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx vazba x výkonnosti xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x xxxxxxxx xxxxxxxx,
2. xxxxxxxx xxxxxxxxxxxx a xxxxxx,
3. xxxxxxxx xxxxxx,
4. xxxxxxxx cílů xxxxxxxxxxx,
x) Xxxxxxxx xxxxxxxxx xxxxx x xxxx xxxxx xxxxxxxx rizik.
e) Identifikace xxxxxxxx pro neustálé xxxxxxxxxx.
x) Xxxxxxxxxx potřebných xxxxxxxxxx, xxxxxxxxx xxxxxxxx x xxxx xxxxxxxxxxxxx xxxxx jednotlivých činností.
(3) Xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxx xxxxx x pro identifikaci x xxxxxxxxx xxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxxx pro xxxxxxxxx primárních xxxxx
1. xxxxxx stupnice xxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxxxxxx xxxxx,
3. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.
x) Xxxxxx stupnice xxx xxxxxxxxx xxxxx
1. určení xxxxxxxx xxx hodnocení xxxxxx xxxxxx,
2. xxxxxx xxxxxxxx pro hodnocení xxxxxx xxxxxx,
3. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxxxxx,
4. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxx,
x) Metody x přístupy pro xxxxxxxx rizik.
b) Způsoby xxxxxxxxxxx xxxxxxxxxxxx xxxxx.
(4) Xxxxxx o xxxxxxxxx xxxxx x xxxxx**
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx primárních aktiv
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx xxxxx,
2. určení xxxxxxx xxxxxxxxxx aktiv,
3. xxxxxxxxx primárních xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxx (xxxxxxx xxx orgány x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx)
1. identifikace x popis xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxx xxxxx mezi primárními x podpůrnými aktivy,
c) Xxxxxxxxxxxxxx a xxxxxxxxx xxxxx
1. posouzení xxxxxxx xxxxxx xx aktiva,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx této xxxxxx x xxxxxxxx xxx xxxxxxxxxxxx rizik,
5. určení x xxxxxxxxx přijatelných xxxxx.
x) Xxxxxxxx xxxxx
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. xxxxx opatření x xxxxxx xxxxxxxxx.
(5) Xxxxxxxxxx o aplikovatelnosti*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. d)]
a) Xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx včetně xxxxxxxxxx xxxxxx xxxxxx x xxxxxx vazby xx xxxxxxxxxxxxxx rizika.
b) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(6) Xxxx xxxxxxxx xxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx x xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxxx xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx pro xxxxxxxx xxxxx.
x) Způsoby xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
(7) Xxxx xxxxxxx bezpečnostního xxxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 odst. 2 písm. f)]
a) Xxxxx x xxxxxxx xxxxxxx xxxxxxxxx.
x) Xxxxx x termíny xxxxxxx xxxxxxx xxxxx (neplatí xxx orgány a xxxxx xxxxxxx v §3 xxxx. x) xxxxxx).
x) Xxxxx a xxxxxxx xxxxxxx administrátorů (xxxxxxx pro orgány x osoby uvedené x §3 xxxx. x) xxxxxx).
x) Xxxxx x xxxxxxx poučení xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxx x xxxxxxx xxxxxxxxx xxxxx.
(8) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxx xxxxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla a xxxxxxx xxx xxxxxxxx x xxxxxxxx jednotlivých xxxxxxxxx kybernetických bezpečnostních xxxxxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx x xxx xxxxxxxxxx xxxxxxxxxxxx bezpečnosti.
(9) Xxxxxxxxx xxxxxx kontinuity činností**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. h)]
a) Xxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxx xxxxxx xxxxxxxxxx činností
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx,
2. xxxx obnovení xxxxx,
3. xxx obnovení xxxxx.
x) Xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxx kontinuity.
d) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxx xxxxx.
x) Xxxxxx x xxxxx xxxxxxxxxx xxxxx xxxxxxxxxx.
x) Xxxxxxx pro realizaci xxxxxxxx xxxxxxxx Národním xxxxxxxxxxxxx xxxxxx.
(10) Přehled xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x jiných xxxxxxxx x xxxxxxxxx závazků*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx obecně xxxxxxxxx xxxxxxxx xxxxxxxx.
x) Přehled xxxxxxxxx předpisů x xxxxxx xxxxxxxx.
x) Přehled xxxxxxxxx závazků.
Poznámka:
* Xxxxxxxxx xxxxxxxxx dokumentu je xx xxxxxx xxxxxxx xxxxx stupnice xxxxxxx x příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.
** Xxxxxxxxx xxxxxxxxx xxxxxxxxx xx xx xxxxxx xxxxxx podle xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx x úroveň xxxxx.
Xxxxxxx x. 5 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
Vyplnitelný formulář ve formátu PDF
Příloha č. 6 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx oznámení x xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx č. 7 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx xxx xxxxxxx kontaktních xxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxxxx
Xxxxxx xxxxxxx č. 316/2014 Sb. nabyl xxxxxxxxx dnem 1.1.2015.
Xx xxx xxxxxxxx xxxxxx xxxxxxx xxxxx xxxxx xx doplňován.
Právní předpis x. 316/2014 Sb. xxx xxxxxx xxxxxxx xxxxxxxxx č. 82/2018 Sb. s xxxxxxxxx od 28.5.2018.
Xxxxx xxxxxxxxxxxx právních xxxxx xxxxxx právních xxxxxxxx x odkazech xxxx xxxxxxxxxxxxx, xxxxx se xxxx netýká xxxxxxxxx xxxxx xxxxx xxxxxxxxx xxxxxxxx předpisu.
1) XXX/XXX 27001:2013, xxxxxxxx XXX ISO/IEC 27001:2014