Plné znění - 316/2014 Sb.

Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)

316/2014 Sb.

Vyhláška

ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ

Předmět úpravy §1

Vymezení pojmů §2

ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ

HLAVA I - ORGANIZAČNÍ OPATŘENÍ

Systém řízení bezpečnosti informací §3

Řízení rizik §4

Bezpečnostní politika §5

Organizační bezpečnost §6

Stanovení bezpečnostních požadavků pro dodavatele §7

Řízení aktiv §8

Bezpečnost lidských zdrojů §9

Řízení provozu a komunikací §10

Řízení přístupu a bezpečné chování uživatelů §11

Akvizice, vývoj a údržba §12

Zvládání kybernetických bezpečnostních událostí a incidentů §13

Řízení kontinuity činností §14

Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15

HLAVA II - TECHNICKÁ OPATŘENÍ

Fyzická bezpečnost §16

Nástroj pro ochranu integrity komunikačních sítí §17

Nástroj pro ověřování identity uživatelů §18

Nástroj pro řízení přístupových oprávnění §19

Nástroj pro ochranu před škodlivým kódem §20

Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních  systémů, jejich uživatelů a administrátorů §21

Nástroj pro detekci kybernetických bezpečnostních událostí §22

Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23

Aplikační bezpečnost §24

Kryptografické prostředky §25

Nástroj pro zajišťování úrovně dostupnosti §26

Bezpečnost průmyslových a řídicích systémů §27

HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE

Bezpečnostní dokumentace §28

Prokázání certifikace §29

ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT

Typy kybernetických bezpečnostních incidentů §30

Kategorie kybernetických bezpečnostních incidentů §31

Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32

ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE

Reaktivní opatření §33

Kontaktní údaje §34

ČÁST PÁTÁ - ÚČINNOST §35

Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv

Příloha č. 2 - Hodnocení rizik

Příloha č. 3 - Minimální požadavky na kryptografické algoritmy

Příloha č. 4 - Struktura bezpečnostní dokumentace

Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu

Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku

Příloha č. 7 - Formulář pro hlášení kontaktních údajů

INFORMACE

316

XXXXXXXX

xx xxx 15. xxxxxxxx 2014

o bezpečnostních xxxxxxxxxx, xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x x xxxxxxxxx xxxxxxxxxxx xxxxxx v xxxxxxx kybernetické xxxxxxxxxxx (xxxxxxxx o xxxxxxxxxxxx xxxxxxxxxxx)

Xxxxxxx xxxxxxxxxxxx úřad xxxxxxx xxxxx §28 xxxx. 2 xxxxxx x. 181/2014 Xx., x kybernetické xxxxxxxxxxx x x xxxxx xxxxxxxxxxxxx xxxxxx (xxxxx x xxxxxxxxxxxx xxxxxxxxxxx), (xxxx jen "xxxxx") x xxxxxxxxx §6 xxxx. x) xx x), §8 odst. 4, §13 odst. 4 x §16 xxxx. 6 zákona.

XXXX XXXXX

XXXXXX XXXXXXXXXX

§1

Xxxxxxx xxxxxx

Xxxxx xxxxxxxxx xx xxxxxxx xxxxx a xxxxxxxxx bezpečnostní xxxxxxxxxxx xxx xxxxxxxxxx systém xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxx systém kritické xxxxxxxxxx infrastruktury nebo xxxxxxxx xxxxxxxxxx xxxxxx, xxxxx bezpečnostních xxxxxxxx, xxxxxx xxxxxx xxxxxxxx, xxxx a xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx x xxxxxx xxxxxxx kybernetického bezpečnostního xxxxxxxxx, xxxxxxxxxxx oznámení x xxxxxxxxx reaktivního xxxxxxxx x xxxx xxxxxxxx x xxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxx formu.

§2

Xxxxxxxx pojmů

V xxxx xxxxxxxx xx rozumí

a) xxxxxxxx řízení xxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx xxxxxx xxxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxxxxxx xx xxxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx stanoví xxxxxx xxxxxxxx, zavádění, xxxxxx, xxxxxxxxxxxx, přezkoumání, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx,

x) aktivem xxxxxxxx aktivum a xxxxxxxx xxxxxxx,

x) xxxxxxxxx xxxxxxx informace nebo xxxxxx, kterou zpracovává xxxx xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx systém xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxx xxxxxxxxxx xxxxxx,

x) xxxxxxxxx aktivem xxxxxxxxx aktivum, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xx xx xxxxxxx, xxxxxxx, xxxxxx xxxx xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,

x) xxxxxxxxxx aktivem xxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x programové vybavení xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx systému a xxxxxxx, ve kterých xxxx xxxx xxxxxxx xxxxxxxx,

x) rizikem xxxxxxx, xx xxxxxx xxxxxx xxxxxxx zranitelnosti xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxx xxxxxx,

x) xxxxxxxxxx xxxxx proces, při xxxx xx určována xxxxxxxxxx rizik x xxxxxx xxxxxxxxxx xxxxxx,

x) xxxxxxx rizik xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx, xxxxx a xxxxxxxx xxxxxxxx xx zvládání xxxxx, xxxxxxx xxxxxxxxx x xxxxxx x xxxxxxxxx x xxxxxxxxxxx xxxxx,

x) xxxxxxx potencionální xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx nebo kybernetického xxxxxxxxxxxxxx xxxxxxxxx, jejímž xxxxxxxxx může xxx xxxxxxxxx xxxxxx,

x) zranitelností xxxxx xxxxx xxxxxx xxxx xxxxxxxxxxxxxx opatření, xxxxx xxxx xxx xxxxxxxx xxxxxx xxxx xxxx hrozbami,

k) přijatelným xxxxxxx xxxxxx xxxxxxxxx xx xxxxxxxxx bezpečnostních xxxxxxxx, jehož úroveň xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxxx rizik,

l) xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxx x pravidel, které xxxxxx xxxxxx zajištění xxxxxxx aktiv xxxxxxx x xxxxxx xxxxxxxx x §3 písm. x) xx e) xxxxxx,

x) xxxxxxxx xxxxxx xxxxxxx xxxxx xxxxxxxx xxxxxxx xxxx osobou xxxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxxxxxx xxxxxxx, xxxxxxx x xxxxxxxxxxx xxxxxx,

x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxx xxxxx xxxxxxx moci, xxxxx xxxxxxx primární xxxxxx,

x) administrátorem fyzická xxxxx xxxxxxxx garantem xxxxxx zajišťující xxxxxx, xxxxxx, použití, údržbu x xxxxxxxxxx xxxxxxxxxxx xxxxxx.

ČÁST XXXXX

XXXXXXXXXXXX XXXXXXXX

XXXXX X

XXXXXXXXXXX OPATŘENÍ

§3

Systém xxxxxx xxxxxxxxxxx xxxxxxxxx

(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx v xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx

x) xxxxxxx x xxxxxxx na xxxxxx x xxxxxxxxxxx bezpečnost xxxxxx x xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, ve kterém xxxx, xxxxxxx organizačních xxxxx x xxxxxxxxxxx xxxxx xx systém xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx,

x) xxxx rizika xxxxx §4 xxxx. 1,

x) xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx, xxxxx obsahuje xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx ve xxxxxx x xxxxxx bezpečnosti xxxxxxxxx x xx xxxxxxx xxxxxxxxxxxxxx potřeb x xxxxxxxx hodnocení xxxxx stanoví xxxxxxxxxxxx xxxxxxxx x dalších xxxxxxxxx xxxxx §5 x zavede příslušná xxxxxxxxxxxx xxxxxxxx,

x) xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx opatření,

e) xxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxx politiky xxxxx §5,

x) xxxxxxx xxxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx xxxxx §15, x xx xxxxxxx xxxxxx xxxxx,

x) zajistí xxxxxxxxxxx xxxxxxxxx systému xxxxxx bezpečnosti informací, xxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací včetně xxxxxx xxxxxxxxx xxxxx, xxxxxxxxx výsledků xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxx kybernetických bezpečnostních xxxxxxxxx na xxxxxx xxxxxx bezpečnosti informací, x to xxxxxxx xxxxxx ročně,

h) aktualizuje xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a příslušnou xxxxxxxxxxx na základě xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx x x souvislosti s xxxxxxxxxxx nebo xxxxxxxxxxx xxxxxxx x

x) xxxx xxxxxx x xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, zaznamenává xxxxxxxx xxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxx informací x xxxxxxx rizik.

(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) zákona x xxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx

x) xxxx rizika podle §4 xxxx. 2,

x) xxxxxxx x schválí xxxxxxxxxxxx politiku v xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x povinnosti xx vztahu x xxxxxx xxxxxxxxxxx informací x xx xxxxxxx xxxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x dalších oblastech xxxxx §5, x xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx a

c) xxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxxx xxxxx x xxxxx, bezpečnostní xxxxxxxx, xxxxx xxxxxxxx rizik x xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx, x xx nejméně jednou xx xxx xxxx xxxx v xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx.

§4

Xxxxxx xxxxx

(1) Xxxxx x osoba uvedená x §3 písm. x) a d) xxxxxx v xxxxx xxxxxx rizik

a) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x hodnocení xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx,

x) xxxxxxxxxxxx x hodnotí xxxxxxxxxx xxxxx, xxxxx xxxxx xx xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, podle §8 x xxxxxxx přílohy č. 1 x xxxx xxxxxxxx x výstupy xxxxxxxxx xx xxxxxx o xxxxxxxxx aktiv a xxxxx,

x) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxxxxx, xxxxxxx xxxxx xxxxxx xx xxxxxx, xxxxxxx xxxx xxxxxx xxxxxxxxx x rozsahu xxxxx přílohy č. 2 x xxxx xxxxxxxx, xxxx x xxxxxxx přijatelná xxxxxx x xxxxxxxx xxxxxx x xxxxxxxxx aktiv x xxxxx,

x) xxxxxxxx xx xxxxxxx bezpečnostních xxxxxx x xxxxxxxx xxxxxxxxx rizik prohlášení x xxxxxxxxxxxxxxxx, které xxxxxxxx přehled xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,

x) xxxxxxxx x xxxxxx xxxx zvládání xxxxx, který obsahuje xxxx a xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik, xxxxxxxx xxxxxxxx, technické, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxx xxxxxx zavedení x xxxxx xxxxx xxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx opatřeními x

x) zohlední xxx xxxxxxxxxx xxxxxxx reaktivní x xxxxxxxx xxxxxxxx xxxxxx Xxxxxxxx bezpečnostním xxxxxx (xxxx jen "Xxxx") x xxxxxxxxx xxxxx x x xxxxxxx, že hodnocení xxxxx aktualizované x xxxx xxxxxxxxxxxxx spojené x xxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx stanovená xxxxxxxx xxx přijatelnost rizik, xxxxxx xxxx zvládání xxxxx.

(2) Orgán x xxxxx xxxxxxx v §3 xxxx. x) xxxxxx x xxxxx xxxxxx xxxxx

x) stanoví xxxxxxxx xxx identifikaci x xxxxxxxxx xxxxx x pro xxxxxxxxxxxx x hodnocení xxxxx xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx,

x) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx primárních xxxxx, xxxxx patří xx xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx, podle §8 xxxxxxxxx x xxxxxxx přílohy č. 1 k xxxx xxxxxxxx x xxxxxxx zapracuje xx xxxxxx o xxxxxxxxx xxxxx x rizik,

c) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx zohlední xxxxxx x xxxxxxxxxxxxx, xxxxxxx xxxxx xxxxxx xx xxxxxxxx aktiva, xxxxxxx xxxx xxxxxx minimálně x xxxxxxx xxxxx přílohy č. 2 x xxxx xxxxxxxx x xxxxxxxx xxxxxx x xxxxxxxxx xxxxx x rizik,

d) xxxxxxxx na xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx přehled xxxxxxxxx a zavedených xxxxxxxxxxxxxx xxxxxxxx,

x) xxxxxxxx x xxxxxx plán xxxxxxxx xxxxx, který xxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx zvládání xxxxx, xxxxxx xxxxx zajišťující xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, technické, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxxx jejich xxxxxxxx a xxxxx xxxxx xxxx xxxxxxxxxxxxxxxx xxxxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx a

f) xxxxxxxx bez xxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx opatření vydaná Xxxxxx x hodnocení xxxxx x v xxxxxxx, xx xxxxxxxxx xxxxx aktualizované x xxxx xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx, xxxxxx xxxx zvládání xxxxx.

(3) Řízení xxxxx xxxx být xxxxxxxxx x xxxxxx způsoby, xxx xxx je xxxxxxxxx x xxxxxxxxxx 1 x 2, xxxxx xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx e) zákona xxxxxxxxx, xx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx vyšší úroveň xxxxxx xxxxx.

(4) Xxxxx x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx xxx hodnocení xxxxx xxxxxxx xxxxxxx xxxx xxxxxx

x) xxxxxxxx xxxxxxxxxxxx politiky, xxxxxxxxx xxxxxxxxxxxxx činností, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,

x) xxxxxxxxx xxxx selhání xxxxxxxxxxx xxxxx programového xxxxxxxx,

x) xxxxxxxx xxxxxxxx xxxxxxx xxxxx,

x) užívání xxxxxxxxxxxx xxxxxxxx v xxxxxxx x licenčními xxxxxxxxxx,

x) xxxxxxxxxxxx útok x komunikační xxxx,

x) xxxxxxxx kód (například xxxx, xxxxxxx, trojské xxxx),

x) xxxxxxxxxx při xxxxxxxxxxx služeb xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,

x) xxxxxxxx xxxxxxx xxxxxxxxxxx,

x) xxxxxxxxx poskytování xxxxxx xxxxxxxxxxxxxx komunikací xxxx dodávek xxxxxxxxxx xxxxxxx,

x) zneužití nebo xxxxxxxxxxx xxxxxxxxxx údajů,

k) xxxxxx xxxxxxxx hrozby x

x) odcizení xxxx xxxxxxxxx xxxxxx.

(5) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxx xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx

x) xxxxxxxxxxxx xxxxxxx xxxxxxxx perimetru,

b) xxxxxxxxxxxx bezpečnostní povědomí xxxxxxxxx a administrátorů,

c) xxxxxxxxxxxx údržba xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,

x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxx oprávnění,

e) xxxxxxxxxxxx xxxxxxx xxx identifikování x odhalení negativních xxxxxxxxxxxxxx jevů, xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,

f) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx x xxxxxxxxxxx odhalit xxxxxx nevhodné nebo xxxxxxx xxxxxxx chování x

x) xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx pravidel, xxxxxxxx xxxx nejednoznačné xxxxxxxx xxxx x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx.

(6) Orgán x xxxxx uvedená x §3 xxxx. x) a d) xxxxxx xxx xxxxxxxxx xxxxx xxxx xxxxxxx xxxx xxxxxx

x) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx činností, zneužití xxxxxxxxx xx xxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,

x) xxxxxxxxx ze xxxxxx zaměstnanců,

c) zneužití xxxxxxxxx prostředků, xxxxxxx,

x) xxxxxxxxxx přerušení poskytování xxxxxx elektronických xxxxxxxxxx, xxxxxxx xxxxxxxxxx xxxxxxx xxxx jiných xxxxxxxxxx xxxxxx,

x) xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,

x) cílený kybernetický xxxx pomocí xxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxx x

x) xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx nosičů xxx.

(7) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx xxx hodnocení xxxxx xxxx zvažuje xxxx xxxxxxxxxxxxx

x) xxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx,

x) nevhodná xxxxxxxxxxxx xxxxxxxxxxxx,

x) nedostatečná míra xxxxxxxxx kontroly x

x) xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxxx.

§5

Xxxxxxxxxxxx politika

(1) Orgán x osoba xxxxxxx x §3 písm. x) x x) xxxxxx xxxxxxx bezpečnostní xxxxxxxx x xxxxxxxxx

x) xxxxxx xxxxxx bezpečnosti xxxxxxxxx,

x) organizační xxxxxxxxxx,

x) xxxxxx xxxxxx x xxxxxxxxxx,

x) xxxxxxxxxxx aktiv,

e) xxxxxxxxxx lidských xxxxxx,

x) xxxxxx provozu x xxxxxxxxxx,

x) xxxxxx přístupu,

h) xxxxxxxx xxxxxxx xxxxxxxxx,

x) xxxxxxxxxx x xxxxxx,

x) xxxxxxxx xxxxxxxxx x xxxxxx informací,

k) řízení xxxxxxxxxxx xxxxxxxxxxxxx,

x) bezpečné xxxxxxxxx xxxxxxxxx xxxxxxxx,

x) xxxxxxxxxxx x xxxxxxxx xxxxxxx programového xxxxxxxx x informací,

n) dlouhodobé xxxxxxxx a xxxxxxxxx xxxxxxxxx,

x) xxxxxxx osobních xxxxx,

x) xxxxxxx bezpečnost,

q) xxxxxxxxxx komunikační xxxx,

x) xxxxxxx xxxx škodlivým xxxxx,

x) xxxxxxxx x xxxxxxxxx nástroje xxx xxxxxxx kybernetických bezpečnostních xxxxxxxx,

x) xxxxxxx x xxxxxx nástroje xxx xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x

x) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.

(2) Xxxxx x xxxxx xxxxxxx v §3 písm. e) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx

x) xxxxxx řízení bezpečnosti xxxxxxxxx,

x) organizační xxxxxxxxxx,

x) xxxxxx xxxxxxxxxx,

x) xxxxxxxxxxx xxxxx,

x) xxxxxxxxxx lidských xxxxxx,

x) řízení xxxxxxx x xxxxxxxxxx,

x) xxxxxx xxxxxxxx,

x) bezpečné xxxxxxx xxxxxxxxx,

x) xxxxxxxxxx x xxxxxx,

x) xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx,

x) xxxxxxx osobních xxxxx,

x) xxxxxxxxx kryptografické xxxxxxx,

x) xxxxxxx xxxx xxxxxxxxx xxxxx x

x) xxxxxxxx x používání nástroje xxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.

(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx pravidelně xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx ji.

§6

Xxxxxxxxxxx bezpečnost

(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx zavede xxxxxxxxxx xxxxxx xxxxxxxxxxx informací, x rámci xxxxx xxxx výbor xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx role x xxxxxx práva x xxxxxxxxxx související x xxxxxxxxxxx systémem xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx systémem.

(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) zákona určí xxxxxxxxxxxx xxxx

x) xxxxxxx xxxxxxxxxxxx bezpečnosti,

b) architekt xxxxxxxxxxxx xxxxxxxxxxx,

x) auditor xxxxxxxxxxxx xxxxxxxxxxx a

d) xxxxxx xxxxxx xxxxx §2 xxxx. x).

(3) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xxxx xxxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxx 2.

(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx, odpovědná xx systém xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xx xxx xxxx xxxxxxx vyškolena a xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x řízením xxxxxxxxxxx xxxxxxxxx po xxxx nejméně xxx xxx.

(5) Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx xxxxxxxxxxx xxxxx a xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx je xxx xxxx xxxxxxx vyškolena x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx s xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xx dobu nejméně xxx xxx.

(6) Xxxxxxx xxxxxxxxxxxx bezpečnosti je xxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx, která xx pro xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx způsobilost xxxxx x xxxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx xx xxxx nejméně xxx xxx. Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xxxx nestranně x xxxxx jeho xxxx je oddělen xx xxxxxx xxxx xxxxxxxxx v odstavci 2 xxxx. a), x) xxxx d).

(7) Xxxxx pro xxxxxx xxxxxxxxxxxx bezpečnosti xx xxxxxxxxxxxx xxxxxxx tvořená xxxxxxx, které jsou xxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx se xxxxxxxx podílejí xx xxxxxx x koordinaci xxxxxxxx xxxxxxxxx s xxxxxxxxxxxxx bezpečností xxxxxx xxxxxxx.

(8) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxx xxxxxxx xxxx, xxxxx xxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxx s xxxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxx §9 odst. 1 xxxx. x).

§7

Xxxxxxxxx bezpečnostních požadavků xxx xxxxxxxxxx

(1) Orgán x osoba xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxxx xxxxxxxx xxx xxxxxxxxxx, xxxxx xxxxxxxxxx potřeby řízení xxxxxxxxxxx informací, x xxxxxxxx je x xxxxxxxxxx xxxx jiných xxxx, které xx xxxxxxxx na xxxxxxx, xxxxxxx xxxx zajištění xxxxxxxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx systému. Xxxxxx zapojení dodavatelů xx xxxxxxx, xxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému prokazatelně xxxxxxxxxxx orgán a xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx xxxxxxxx, xxxxx xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx informací.

(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx u xxxxxxxxxx xxxxxxxxx x xxxxxxxx 1 xxxx

x) xxxx xxxxxxxxx xxxxxxx provádí xxxxxxxxx xxxxx xxxxx přílohy č. 2 k této xxxxxxxx, která jsou xxxxxxx x xxxxxxxxxxx xxxxxxxxx,

x) uzavírá smlouvu x xxxxxx xxxxxx, xxxxx xxxxxxx xxxxxxx x xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx a xxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xx xxxxxxxx a xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, x

x) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxxxxx bezpečnostních xxxxxxxx u poskytovaných xxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxx xx xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxx.

§8

Xxxxxx aktiv

(1) Orgán x osoba xxxxxxx x §3 xxxx. x) xx e) xxxxxx v xxxxx xxxxxx aktiv

a) xxxxxxxxxxxx x xxxxxxx primární xxxxxx,

x) xxxx xxxxxxx xxxxx, kteří jsou xxxxxxxxx za primární xxxxxx, x

x) xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxx x hlediska důvěrnosti, xxxxxxxxx a xxxxxxxxxxx x zařadí xx xx xxxxxxxxxxxx xxxxxx xxxxxxxxx v xxxxxxx xxxxx přílohy č. 1 x xxxx xxxxxxxx.

(2) Při xxxxxxxxx xxxxxxxxxxx primárních xxxxx xx xxxxx xxxxxxxxx xxxxxxxx

x) xxxxxx x xxxxxxxxxx osobních xxxxx xxxx obchodního xxxxxxxxx,

x) xxxxxx dotčených xxxxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxx,

x) xxxxxx xxxxxxxx vnitřních xxxxxxxx x xxxxxxxxxxx xxxxxxxx,

x) xxxxxxxxx veřejných, xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxx,

x) xxxxx finanční xxxxxx,

x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx xxxxxx x xxxxx xxxxxxx v §3 písm. c) xx x) xxxxxx,

x) xxxxxx xxxxxxx s xxxxxxxxx důvěrnosti, xxxxxxxxx x xxxxxxxxxxx x

x) xxxxxx xx xxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx xxxxx pověsti.

(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x x) zákona xxxx

x) xxxxxxxxxxxx x xxxxxxx xxxxxxxx aktiva,

b) xxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xx xxxxxxxx xxxxxx, x

x) xxxx vazby mezi xxxxxxxxxx x podpůrnými xxxxxx x xxxxxxx xxxxxxxx závislostí mezi xxxxxxxxxx x podpůrnými xxxxxx.

(4) Xxxxx a xxxxx uvedená v §3 xxxx. x) xx x) xxxxxx xxxx

x) xxxxxxx xxxxxxxx xxxxxxx, xxxxx xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx xxx, xx

1. xxxx způsoby xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,

2. xxxxxxx xxxxxxxx pro xxxxxxxxxx a xxxxxxxx x xxxxxx xxxxx xxxxxx xxxxx, včetně xxxxxxxx pro xxxxxxxx xxxxxxxxxxxx sdílení x xxxxxxx xxxxxxxxx aktiv x

3. stanoví xxxxxxxxx xxxxxxx xxxxxxxxx aktiv,

b) xxxxxx pravidla xxxxxxx xxxxxxxxxxxx úrovni xxxxx x

x) určí xxxxxxx xxx xxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx dat x xxxxxxx na xxxxxx xxxxx.

§9

Xxxxxxxxxx lidských zdrojů

(1) Xxxxx x osoba xxxxxxx x §3 xxxx. c) až x) zákona x xxxxx xxxxxx bezpečnosti xxxxxxxx xxxxxx

x) stanoví xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxx, obsah x xxxxxx xxxxxxxxxx xxxxxxx x xxxx xxxxx xxxxxxxxxxx realizaci xxxxxxxxxxxx xxxxxxxx, které xxxx x xxxxx xxxxxxx,

x) x xxxxxxx s xxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx zajistí poučení xxxxxxxxx, administrátorů a xxxx zastávajících bezpečnostní xxxx o jejich xxxxxxxxxxxx a x xxxxxxxxxxxx politice xxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx,

x) zajistí xxxxxxxx xxxxxxxxxx bezpečnostní xxxxxxxx xx xxxxxx uživatelů, xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx role x

x) xxxxxxx xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx přístupových xxxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxx x uživateli, xxxxxxxxxxxxxx xxxx osobami xxxxxxxxxxxxx bezpečnostní xxxx.

(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxx x xxxxxxx podle xxxxxxxx 1 xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxx a xxxxxx xxxx, xxxxx školení xxxxxxxxxxx.

(3) Xxxxx a xxxxx uvedená v §3 xxxx. x) x x) zákona xxxx

x) stanoví xxxxxxxx xxx xxxxxx osob, xxxxx budou xxxxxxxx xxxxxxxxxxxx xxxx, xxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx,

x) xxxxxxx účinnost plánu xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxxxxx školení x xxxxxxx xxxxxxxx spojených x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,

x) xxxx xxxxxxxx x postupy pro xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x

x) zajistí změnu xxxxxxxxxxxx xxxxxxxxx při xxxxx xxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx nebo osob xxxxxxxxxxxxx xxxxxxxxxxxx role.

§10

Řízení xxxxxxx a xxxxxxxxxx

(1) Orgán a xxxxx xxxxxxx v §3 písm. c) xx x) xxxxxx x xxxxx xxxxxx xxxxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx x §21 xx 23 detekuje xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxxx vyhodnocuje xxxxxxx xxxxxxxxx x na xxxxxxxx xxxxxxxxxx reaguje x souladu s §13.

(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxx řízení xxxxxxx a xxxxxxxxxx xxxx xxxxxxxxx bezpečný xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xx tímto xxxxxx xxxxxxx provozní xxxxxxxx x xxxxxxx.

(3) Provozní xxxxxxxx x postupy xxxxxx x xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx obsahují

a) xxxxx x xxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, administrátorů a xxxxxxxxx,

x) xxxxxxx pro xxxxxxxx x ukončení xxxxx systému, pro xxxxxxx xxxx xxxxxxxx xxxxx xxxxxxx xx xxxxxxx a xxx xxxxxxxx xxxxxxxxx stavů xxxx xxxxxxxxxxx xxxx,

x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxx xxxxxxx xxxxxxxx k záznamům x xxxxxx xxxxxxxxxx,

x) xxxxxxx xx kontaktní xxxxx, které xxxx xxxxxx xxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxx technických xxxxxx,

x) postupy xxxxxx x xxxxxxxxxxx provozních xxxx x

x) xxxxxxx xxx xxxxxxxxx, xxxxxxxxx x xxxxxx kapacity xxxxxxxx a xxxxxxxxxxx xxxxxx.

(4) Xxxxxx provozu xxxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx x provádění pravidelného xxxxxxxxxx x prověřování xxxxxxxxxxxxx xxxxxxxxxxx xxxxx.

(5) Xxxxxx xxxxxxx orgánu x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxxxxxx v

a) xxxxxxxxx oddělení xxxxxxxxxx, xxxxxxxxxxx x produkčního xxxxxxxxx,

x) řešení xxxxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx xxx, xx xxxxx x xxxxx uvedená x §3 xxxx. x) a x) xxxxxx

1. xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx opatření xx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x na xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxx xxxxxxxxx účinky x xxx xxxxxxxxxx xxxxxxx je oznámí Xxxxx x

2. xxxxxxx xxxxxx xxxxxxxx provedení xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxx, x xxxx xxxxxx xxxx jeho xxxxxxxxx.

(6) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x d) xxxxxx x rámci řízení xxxxxxxxxx

x) xxxxxxxxx bezpečnost x integritu xxxxxxxxxxxxx xxxx x xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxxx §17,

x) xxxx xxxxxxxx x postupy xxx xxxxxxx xxxxxxxxx, které xxxx přenášeny xxxxxxxxxxxxx xxxxxx,

x) provádí xxxxxx x xxxxxxxxx xxxxxxxxx xx základě pravidel xxxxxxxxxxx právními xxxxxxxx xx xxxxxxxxxx zajištění xxxxxxxxxxx xxxxxxxxx a xxxx xxxxxxxx xxxxxxxxxxx x

x) x ohledem xx xxxxxxxxxxx xxxxx xxxxxxx výměnu x xxxxxxxxx xxxxxxxxx na xxxxxxx xxxxxxxxx xxxxx, xxxxxxx součástí xx xxxxxxxxxx x bezpečnosti xxxxxxxxx.

§11

Xxxxxx přístupu x xxxxxxxx xxxxxxx xxxxxxxxx

(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) až x) zákona na xxxxxxx provozních a xxxxxxxxxxxxxx potřeb xxxx xxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x přidělí xxxxxxx uživateli jednoznačný xxxxxxxxxxxxx.

(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxxxx xxxxxxxx, která xxxxxx x xxxxxxxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx pro xxxxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx §18 x 19, a xxxxx xxxxx xx zneužití xxxxxx xxxxx neoprávněnou xxxxxx.

(3) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x d) zákona xxxx v xxxxx xxxxxx xxxxxxxx

x) přidělí xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx,

x) xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxx,

x) xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx,

x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx nebo xxxxxx,

x) xxxxxxx nástroj xxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx §18 x nástroj xxx xxxxxx přístupových xxxxxxxxx xxxxx §19 a

f) xxxxxx bezpečnostní xxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxx x bezpečnostní xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxx orgán a xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxxxxxx.

§12

Xxxxxxxx, xxxxx a xxxxxx

(1) Orgán a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx bezpečnostní xxxxxxxxx xx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx spojené x xxxxxx xxxxxxxx, xxxxxxx x xxxxxxx x xxxxxx je do xxxxxxxx xxxxxxxx, vývoje x údržby xxxxxxx.

(2) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) a x) xxxxxx xxxx

x) xxxxxxxxxxxx, xxxxxxx a xxxx rizika xxxxxxxxxxx x akvizicí, xxxxxxx x údržbou xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx; xxx xxxxxxx xxxxxxxxx x řízení xxxxx xx metodiky xxxxx §4 odst. 1 xxxx. a) xxxxxxx obdobně,

b) xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxx x

x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx jejich xxxxxxxxx xx provozu.

§13

Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x incidentů

Orgán x xxxxx uvedená x §3 xxxx. x) až x) xxxxxx xxx xxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxx

x) xxxxxx nezbytná xxxxxxxx, xxxxx zajistí xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx xxxx x o xxxxxxxxxx xxxx xxxxxxx,

x) xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí xxxxxxxxxxxx technickými nástroji xxxxx §21 xx 23, provádí xxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx incidenty,

c) xxxxxxx xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxx xxx xxxxxxxxx x xxxxxxxx dopadu xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx, xxxxxxx hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle §32 a xxxxxxx xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,

x) xxxxxxxx a určí xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxx xxxxxxxx xxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx a xx xxxxxxx xxxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxx opatření x xxxxxxxx xxxxxxxxx xxxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx x

x) xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.

§14

Řízení kontinuity xxxxxxxx

(1) Xxxxx a osoba xxxxxxx v §3 xxxx. x) xx x) zákona x xxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxxx

x) xxxxx x xxxxxxxxxx xxxxxxx xxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,

x) cíle řízení xxxxxxxxxx xxxxxxxx formou xxxxxx

1. minimální xxxxxx xxxxxxxxxxxxx xxxxxx, která xx xxxxxxxxxx pro xxxxxxx, provoz x xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,

2. xxxx obnovení xxxxx, xxxxx které xxxx xx kybernetickém bezpečnostním xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx kritické informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, a

3. xxxx xxxxxxxx xxx xxxx termínu, xx xxxxxxx xxxxx xxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu, a

c) xxxxxxxxx řízení xxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx cílů xxxxx xxxxxxx x).

(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a d) xxxxxx dále

a) xxxxxxxxx x xxxxxxxxxxx možné xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx a posoudí xxxxx xxxxxx související x ohrožením kontinuity xxxxxxxx,

x) xxxxxxx, xxxxxxxxxxx x pravidelně testuje xxxxx kontinuity činností xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,

x) xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx pro zajišťování xxxxxx xxxxxxxxxxx xxxxx §26 x

x) xxxxxxx x aktualizuje xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Úřadem xxxxx §13 x 14 xxxxxx, ve xxxxxxx xxxxxxxx

1. xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxx xxxxxxxx,

2. xxxx xxxxxxxxx bezpečnostních xxxxxxxx x

3. xxxxxxxxxxx xxxxxxxxxx negativních xxxxxx xx provoz x xxxxxxxxxx informačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.

§15

Kontrola x xxxxx xxxxxxxx informační xxxxxxxxxxxxxx x významných informačních xxxxxxx

(1) Orgán x xxxxx uvedená x §3 xxxx. x) xx e) zákona x xxxxx xxxxxxxx x auditu kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx (xxxx xxx "xxxxx xxxxxxxxxxxx xxxxxxxxxxx")

x) xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx, jinými xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxxx xx x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxx xxxxxxxx xxx xxxx prosazování x

x) xxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx bezpečnostní politiky x xxxxxxxx xxxxxx xxxxxxx xxxxxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx xxxxx.

(2) Orgán x osoba xxxxxxx x §3 písm. x) a d) xxxxxx xxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx x odbornou xxxxxxxxxxx podle §6 xxxx. 6, xxxxx xxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx pro informační xxxxxx kritické informační xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxxxxx kontrolu xxxxxxxxxxxxx technických prostředků xxxxxx xxxxxxxxxxxxxxxx xxxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxx x reaguje xx zjištěné xxxxxxxxxxxxx.

XXXXX II

TECHNICKÁ XXXXXXXX

§16

Xxxxxxx xxxxxxxxxx

(1) Xxxxx x xxxxx uvedená x §3 xxxx. c) xx e) zákona x xxxxx fyzické xxxxxxxxxxx

x) přijme xxxxxxxx xxxxxxxx x zamezení xxxxxxxxxxxxx vstupu do xxxxxxxxxx prostor, xxx xxxx xxxxxxxxxxxx xxxxxxxxx x umístěna technická xxxxxx informačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,

x) xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx x xxxxxxx xx xxxxxxxxxx xxxxxxx, kde xxxx xxxxxxxx informace x xxxxxxxx xxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x

x) xxxxxxxxx xxxxxxxxx, xxxxxxx nebo xxxxxxxx xxxxx nebo xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.

(2) Orgán x xxxxx xxxxxxx v §3 xxxx. c) x d) xxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxx bezpečnosti

a) pro xxxxxxxxx xxxxxxx xx xxxxxx objektů a

b) xxx xxxxxxxxx xxxxxxx x rámci xxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxx, ve xxxxxxx xxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx xxxx komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.

(3) Prostředky xxxxxxx xxxxxxxxxxx jsou xxxxxxx

x) xxxxxxxxxx xxxxxxxx xxxxxxxxxx,

x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx,

x) xxxxxxxxxx omezující xxxxxxxx xxxxxx,

x) xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx,

x) systémy xxx xxxxxxxx xxxxxx,

x) xxxxxxxx systémy,

g) xxxxxxxx xxx xxxxxxxxx xxxxxxx xxxx selháním dodávky xxxxxxxxxxxx xxxxxxxx x

x) xxxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxx.

§17

Xxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxx

(1) Xxxxx x osoba xxxxxxx v §3 xxxx. x) xx x) xxxxxx pro xxxxxxx xxxxxxxxx rozhraní xxxxxx xxxxxxxxxxx xxxx, xxxxx xxxx pod xxxxxxx orgánu xxxx xxxxx, x xxxxxxx xxxxxxxxxxx xxxx, xxxxx xx xxx xxxxxxx xxxxxx xxxx xxxxx, xxxxxx

x) xxxxxx xxxxxxxxxx xxxxxxxx mezi vnější x vnitřní xxxx,

x) xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxxxxxx xxx jako xxxxxxxxxxx xxxx sítě xxxxxxxxxxx xx zvýšení xxxxxxxxxxx xxxxxxxx dostupných x vnější sítě x x xxxxxxxx xxxxx xxxxxxxxxx xxxxxxx xxxx x xxxxxx xxxx,

x) xxxxxxxxxxxxxx xxxxxxxxxx (§25) xxx xxxxxxxx xxxxxxx, xxxxxxxxx správu xxxx pro přístup xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x

x) opatření xxx xxxxxxxxxx xxxx blokování xxxxxxxxxxx dat, xxxxx xxxxxxxxxxxx xxxxxxxxxx na xxxxxxx integrity xxxxxxxxxxx xxxx.

(2) Xxxxx a xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxx xxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxx komunikační sítě, xxxxx xxxxxxx xxxx xxxxxxxxxx.

§18

Nástroj xxx xxxxxxxxx xxxxxxxx xxxxxxxxx

(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx xxxxxxx xxxxxxxx xxx xxxxxxx identity xxxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.

(2) Xxxxxxx xxx xxxxxxxxx identity xxxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxx xxxxxxx identity xxxxxxxxx x xxxxxxxxxxxxxx xxxx zahájením xxxxxx xxxxxxx v xxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury x xxxxxxxxx xxxxxxxxxxx xxxxxxx.

(3) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxx používá xxxxxxxxxxx xxxxx xxxxxx, xxxxxxxxx

x) xxxxxxxxx xxxxx xxxxx xxx znaků,

b) xxxxxxxxx xxxxxxxxx xxxxx xxx, xx heslo xxxx xxxxxxxxx xxxxxxx 3 x xxxxxxxxxxxxx xxxx xxxxxxxxx

1. xxxxxxx xxxxx xxxxx písmeno,

2. nejméně xxxxx malé písmeno,

3. xxxxxxx xxxxx xxxxxxx, xxxx

4. nejméně jeden xxxxxxxxx xxxx xxxxxxx xx xxxxxxxxx uvedených x bodech 1 xx 3,

c) xxxxxxxxx xxxx pro xxxxxxxx xxxxxx xxxxx nepřesahující xxx xxx; xxxxx xxxxxxxxx není xxxxxxxxx xxx samostatné identifikátory xxxxxxxx.

(4) Xxxxx x xxxxx uvedená v §3 xxxx. c) x d) zákona xxxx

x) xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxx, xxxxx

1. zamezí xxxxxxxxxx xxxxxxxxx xxxxx používaných xxxxx x xxxxxxxx xxxx xxxx xxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxx, xxxxx xxxx být nejméně 24 hodin, a

2. xxxxxxx xxxxxxxx xxxxxxx xxxxxxxx xx xxxxxx xxxx xxxxxxxxxx x

x) xxxxxxx nástroj xxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx. X případě, xx xxxxx xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxxxx minimální xxxxx xxxxx xxxxxxx znaků xxx dodržení xxxxxxxxx xxxxx xxxxxxxx 3 xxxx. x) a x).

(5) Xxxxxxx pro xxxxxxxxx xxxxxxxx xxxxxxxxx xxxx být xxxxxxxx x xxxxxx xxxxxxx, xxx jaké jsou xxxxxxxxx x xxxxxxxxxx 3 až 5, xxxxx xxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) zákona xxxxxxxxx, xx xxxxxxx xxxxxxxx zajišťující stejnou xxxx vyšší xxxxxx xxxxxxxxx xxxxx.

§19

Xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx

(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxx xxx řízení přístupových xxxxxxxxx, kterým xxxxxxx xxxxxx oprávnění

a) xxx xxxxxxx x xxxxxxxxxxx xxxxxxxxx x datům x

x) xxx čtení xxx, pro xxxxx xxx a xxx xxxxx xxxxxxxxx.

(2) Orgán x xxxxx uvedená x §3 písm. x) x d) xxxxxx dále xxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, který xxxxxxxxxxx xxxxxxx přístupových xxxxxxxxx x souladu x bezpečnostními potřebami x xxxxxxxx hodnocení xxxxx.

§20

Xxxxxxx pro xxxxxxx xxxx xxxxxxxxx xxxxx

Xxxxx x xxxxx uvedená x §3 xxxx. x) až e) xxxxxx pro xxxxxx xxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxx kódem, xxxxx xxxxxxx ověření x stálou xxxxxxxx

x) xxxxxxxxxx xxxx vnitřní xxxx x xxxxxx xxxx,

x) serverů a xxxxxxxxx xxxxxxxx úložišť x

x) xxxxxxxxxx xxxxxx,

xxxxxxx xxxxxxx xxxxxxxxxxx a xxxxxxx aktualizaci xxxxxxxx xxx ochranu xxxx xxxxxxxxx xxxxx, jeho xxxxxxx a signatur.

§21

Nástroj xxx xxxxxxxxxxxxx xxxxxxxx kritické informační xxxxxxxxxxxxxx x významných xxxxxxxxxxxx systémů, jejich xxxxxxxxx x xxxxxxxxxxxxxx

(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx používá xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxx

x) sběr xxxxxxxxx o provozních x bezpečnostních činnostech, xxxxxxx xxx xxxxxxxx, xxxxx a xxx, xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, xxxxx xxxxxxx xxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx x xxxxx činnosti x xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx a

b) xxxxxxx xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxx čtením xxxx xxxxxx.

(2) Orgán x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxx pomocí xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému zaznamenává

a) xxxxxxxxxx x xxxxxxxxx xxxxxxxxx a administrátorů,

b) xxxxxxxx provedené xxxxxxxxxxxxxx,

x) xxxxxxxx vedoucí xx xxxxx přístupových xxxxxxxxx,

x) xxxxxxxxxxx činností x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx uživatelů,

e) xxxxxxxx x xxxxxxxx xxxxxxxx technických xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,

x) xxxxxxxxxxx xxxxxxx nebo chybová xxxxxxx technických xxxxx,

x) xxxxxxxx x xxxxxxxx x xxxxxxxxxx, xxxxxx x manipulaci se xxxxxxx x xxxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx xxx zaznamenávání xxxxxxxx a

h) použití xxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxx xxxxxx xxxxx xxxxx, xxxxx xxxxxx x xxxxxxxxxx.

(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx záznamy xxxxxxxx xxxxxxxxxxx xxxxx odstavce 2 xxxxxxxx nejméně xx xxxx 3 xxxxxx.

(4) Orgán x xxxxx xxxxxxx x §3 písm. c) xx x) zákona xxxxxxxxx xxxxxxx xxxxxx xx 24 xxxxx xxxxxxxxxxxxx jednotného xxxxxxxxxxx xxxx technických aktiv xxxxxxxxx xx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.

§22

Nástroj pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí

(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx ze xxxxxxxxxxx bezpečnostních xxxxxx x xxxxxxxx hodnocení xxxxx a který xxxxxxx ověření, xxxxxxxx x xxxxxxxx zablokování xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxx a xxxxxx xxxx.

(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx používá xxxxxxx xxx detekci xxxxxxxxxxxxxx bezpečnostních událostí, xxxxx xxxxxxx ověření, xxxxxxxx x případně xxxxxxxxxxx komunikace

a) x xxxxx xxxxxxx komunikační xxxx x

x) xxxxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.

§23

Xxxxxxx pro xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí

(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a d) xxxxxx používá nástroj xxx sběr x xxxxxxxx xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx, který x xxxxxxx s xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx hodnocení rizik xxxxxxx

x) xxxxxxxxxxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,

x) xxxxxxxxxxx xxxxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx xxxx x xxxxxxxxxx xxxxxxxxxxxxxx x

x) xxxxxxxxxxx vyhodnocování kybernetických xxxxxxxxxxxxxx xxxxxxxx s xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů, xxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx rolí.

(2) Xxxxx x xxxxx uvedená x §3 písm. x) x x) xxxxxx xxxx zajistí

a) xxxxxxxxxxx aktualizaci xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x včasné xxxxxxxx, xxx xxxx xxxxxxxxx xxxxxxx nesprávného vyhodnocení xxxxxxxx xxxx xxxxxxx xxxxxxxxx xxxxxxxx, x

x) xxxxxxxxx xxxxxxxxx, které xxxx xxxxxxxxxx nástrojem xxx xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, pro optimální xxxxxxxxx bezpečnostních xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx.

§24

Xxxxxxxxx xxxxxxxxxx

(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx provádí xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx aplikací, xxxxx xxxx přístupné x vnější xxxx, x xx xxxx xxxxxx xxxxxxxx xx xxxxxxx x xx xxxxx zásadní xxxxx xxxxxxxxxxxxxx xxxxxxxxxx.

(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxxx x xxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx

x) xxxxxxxx x xxxxxxxxx xxxxxxxxxx x xxxxxx xxxx před xxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxx, kompromitací nebo xxxxxxxxxxxxxxx xxxxxx x

x) xxxxxxxxx xxxx xxxxxx xxxxxxxxxxxx, nesprávným xxxxxxxxxx, xxxxxxxxxxxxxxx změnou xxxxxxxxxxx xxxxxxxx obsahu, xxxxxxxxxxxx, xxxxxxxxxxxxxxx duplikováním nebo xxxxxxxxxx.

§25

Xxxxxxxxxxxxxx xxxxxxxxxx

(1) Orgán x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx

x) pro používání xxxxxxxxxxxxxx xxxxxxx xxxxxxx

1. xxxxxx xxxxxxx s xxxxxxx na typ x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx x

2. xxxxxxxx xxxxxxxxxxxxxx xxxxxxx informací xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx xxxx xxx uložení xx xxxxxxx zařízení xxxx xxxxxxxxxxx xxxxxxxxx nosiče xxx a

b) v xxxxxxx s bezpečnostními xxxxxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, které xxxxxxx xxxxxxx xxxxxxxxxx x integrity předávaných xxxx ukládaných xxx x xxxxxxxxx xxxxxxxxxxxx xxxxx xx xxxxxxxxx xxxxxxxx.

(2) Orgán x xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx xxxx

x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx správy xxxxx, xxxxx xxxxxxx xxxxxxxxxx, xxxxxxxxxx, xxxxxxxx, xxxxxxxxx, xxxxx, ničení, kontrolu x audit klíčů, x

x) používá xxxxxx xxxxxxxxxxxxxx algoritmy x xxxxxxxxxxxxxx klíče; x xxxxxxx xxxxxxxxx s xxxxxxxxxxx požadavky xx xxxxxxxxxxxxxx algoritmy xxxxxxxxx x příloze č. 3 x xxxx xxxxxxxx řídí xxxxxx spojená x xxxxx nesouladem.

§26

Xxxxxxx pro xxxxxxxxxxx xxxxxx dostupnosti

(1) Xxxxx x xxxxx uvedená x §3 písm. x) až x) xxxxxx x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x výsledky xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxx xxxxxxxxxxx úrovně xxxxxxxxxxx xxxxxxxxx.

(2) Xxxxx x osoba xxxxxxx x §3 písm. x) a d) xxxxxx xxxxxxx xxxxxxx xxx xxxxxxxxxxx úrovně xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxx

x) xxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxx splnění xxxx xxxxxx kontinuity xxxxxxxx,

x) xxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx vůči xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, které xx mohly xxxxxx xxxxxxxxxx, x

x) xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx

1. využitím xxxxxxxxxx x návrhu xxxxxx x

2. zajištěním xxxxxxxxxx xxxxxxxxxxx aktiv x xxxxxxx xxxx.

§27

Xxxxxxxxxx xxxxxxxxxxxx a xxxxxxxx systémů

Orgán x xxxxx xxxxxxx x §3 xxxx. c) x d) xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx x řídicích xxxxxxx, xxxxx xxxx informačním xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxx xxxxxx součástí, xxxxxxx xxxxxxxx, xxxxx xxxxxxx

x) xxxxxxx fyzického přístupu x síti x xxxxxxxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxx,

x) xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxx x xxxx xxxxxxxxxxxx x řídicích xxxxxxx,

x) ochranu jednotlivých xxxxxxxxxxx xxxxx xxxxxxxxxxxx x řídicích xxxxxxx xxxx využitím známých xxxxxxxxxxxxx x

x) xxxxxxxx xxxxx průmyslových x xxxxxxxx systémů xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.

XXXXX XXX

XXXXXXXXXXXX DOKUMENTACE

§28

Bezpečnostní xxxxxxxxxxx

(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx xxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx

x) bezpečnostní politiku xxxxx §5 odst. 1,

x) zprávy x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §3 odst. 1 písm. x),

x) xxxxxx z xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx §3 xxxx. 1 xxxx. x),

x) metodiku xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx,

x) xxxxxx x xxxxxxxxx xxxxx a xxxxx,

x) xxxxxxxxxx x xxxxxxxxxxxxxxxx,

x) xxxx zvládání xxxxx,

x) xxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 odst. 1 xxxx. x),

x) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. x),

x) strategii řízení xxxxxxxxxx xxxxxxxx xxxxx §14 xxxx. 1 xxxx. x) a

k) xxxxxxx právních xxxxxxxx, xxxxxxxxx předpisů x xxxxxx předpisů x xxxxxxxxx xxxxxxx xxxxx §15 odst. 1 xxxx. x).

(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx

x) xxxxxxxxxxxx xxxxxxxx podle §5 xxxx. 2,

b) xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx identifikaci x xxxxxxxxx xxxxx xxxxx §4 xxxx. 2 xxxx. x),

x) xxxxxx x xxxxxxxxx xxxxx x xxxxx xxxxx §4 xxxx. 2 xxxx. b) x c),

d) xxxxxxxxxx x xxxxxxxxxxxxxxxx xxxxx §4 xxxx. 2 xxxx. x),

x) xxxx xxxxxxxx xxxxx xxxxx §4 xxxx. 2 xxxx. x),

x) xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 xxxx. a),

g) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. e),

h) xxxxxxxxx xxxxxx kontinuity činností xxxxx §14 xxxx. 1 písm. x) x

x) xxxxxxx xxxxxxxx xxxxxxxx, vnitřních xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxx §15 odst. 1 xxxx. a).

(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) až x) zákona vede xxxxxxxxxxxx dokumentaci tak, xxx záznamy x xxxxxxxxxxx xxxxxxxxxx xxxx xxxxx, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx a xxx xx daly snadno xxxxxxxx. Xxxxxxxx potřebná x xxxxxxxxxxxx, xxxxxxx, xxxxxxx, xxxxxxxxx, xxxx xxxxxxxxx a xxxxxxxxxx xxxxxxx o xxxxxxxxxxx xxxxxxxxxx dokumentuje.

(4) Xxxxxxxxxx xxxxxxxxx bezpečnostní xxxxxxxxxxx xx xxxxxxxxx x příloze č. 4 k xxxx xxxxxxxx.

§29

Xxxxxxxxx certifikace

Orgán x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx, xxxxx xxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx xx xxxxx zahrnut xx rozsahu systému xxxxxx bezpečnosti xxxxxxxxx, xxxxx byl certifikován xxxxx xxxxxxxxx xxxxxxxxx xxxxx¹⁾ xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx, x xxxxx xxxx dokumenty xxxxxxxxxx

x) xxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,

x) xxxxxxxxxx xxxxxxxx x xxxx systému řízení xxxxxxxxxxx xxxxxxxxx,

x) popis xxxxxxx metody xxxxxxxxx xxxxx x zprávu x xxxxxxxxx xxxxx,

x) xxxxxxxxxx x xxxxxxxxxxxxxxxx,

x) xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx příslušné technické xxxxx zabývající xx xxxxxxxxxxx informací¹⁾,

f) xxxxxx x přezkoumání systému xxxxxx bezpečnosti xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxx x

x) zprávu x xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx včetně xxxxxxxxxxx xxxxxxx o nápravě xxxxxxxxxx xxxxxx s xxxxxxxxxx xxxxxx,

xxxxxxx požadavky xx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx podle xxxxxx x xxxx xxxxxxxx.

XXXX XXXXX

XXXXXXXXXXXX BEZPEČNOSTNÍ XXXXXXXX

§30

Xxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx

(1) Podle xxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx rozděleny xx xxxxxxxxxxxxx typů

a) kybernetický xxxxxxxxxxxx xxxxxxxx způsobený xxxxxxxxxxxxx xxxxxx xxxx xxxxx událostí xxxxxxx x xxxxxxx xx xxxxxxx xxxx x xxxxxxx xxxxxxxxxxx xxxxxx,

x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxx škodlivým xxxxx,

x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx překonáním xxxxxxxxxxx xxxxxxxx,

x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx,

x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxx xxxxxx x

x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx kybernetickým xxxxxx.

(2) Podle xxxxxx xxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx xxxx

x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobující xxxxxxxx důvěrnosti xxxxx,

x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx narušení integrity xxxxx,

x) kybernetický xxxxxxxxxxxx xxxxxxxx způsobující narušení xxxxxxxxxxx xxxxx, nebo

d) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx dopadů xxxxxxxxx v xxxxxxxxx x) až x).

§31

Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx

(1) Xxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx dělí do xxxxxxxxxxxxx xxxxxxxxx

x) Xxxxxxxxx XXX - xxxxx xxxxxxx kybernetický bezpečnostní xxxxxxxx, při kterém xx xxxxx a xxxxxxxx xxxxxxxx bezpečnost xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx řešení xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x xxx, xx xxxx být xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace vzniklých x xxxxxxxxxxxxx xxxx.

x) Xxxxxxxxx XX - xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx kterém xx xxxxxxxx bezpečnost xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx neprodlené xxxxxx xxxxxxx x xxx, xx xxxx být xxxxxxxx xxxxxxxxxx zabráněno xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace xxxxxxxxx škod.

c) Kategorie X - xxxx xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, při kterém xxxxxxx k méně xxxxxxxxxx xxxxxxxx bezpečnosti xxxxxxxxxxxxx služeb xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxx xxxxxxx x tím, že xxxx být xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx xxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace xxxxxxxxx xxxx.

(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx při kategorizaci xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx

x) důležitost xxxxxxxxx xxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,

x) dopady xx xxxxxxxxxxx služby informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,

x) xxxxxx xx xxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxx významnými xxxxxxxxxxxx xxxxxxx x

x) xxxxxxxxxxxxx xxxxx x xxxxx xxxxxx.

§32

Xxxxx a xxxxxxxxxxx xxxxxxx kybernetických bezpečnostních xxxxxxxxx

(1) Xxxxx a xxxxx uvedená x §3 písm. c) xx x) zákona xxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx

x) x elektronické xxxxxx xxxxxxxxxxxxxxx

1. xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,

2. xxxxxx xx adresu xxxxxxxxxxxx pošty Xxxxx xxxxxx pro xxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,

3. xxxxxx xxxxxx xx xxxxxx schránky Xxxxx, xxxx

4. xxxxxxxxxxxxxxx určeného xxxxxxxx xxxxxxxx, xxxxx xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx, xxxxx

x) x xxxxxxxx xxxxxx xx xxxxxx Xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.

(2) Xxxxxxx v xxxxxxxx xxxxxx xx xxxxxx xxxxx x xxxxxxxxx, xxx nelze xxxxxx xxxxx ze xxxxxxx uvedených x xxxxxxxx 1 xxxx. x).

(3) Xxxxxxxxxxx hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx x příloze č. 5 x této xxxxxxxx.

XXXX XXXXXX

XXXXXXXXX OPATŘENÍ X XXXXXXXXX XXXXX

§33

Xxxxxxxxx xxxxxxxx

Xxxxx x osoba xxxxxxx x §3 xxxx. x) až x) zákona xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx xx formuláři, xxxxx xxxx xx uveden x příloze č. 6 x xxxx xxxxxxxx.

§34

Kontaktní xxxxx

Xxxxx x xxxxx xxxxxxx x §3 zákona xxxxxxxx xxxxxxxxx údaje xx xxxxxxxxx, xxxxx vzor xx xxxxxx x příloze č. 7 x xxxx xxxxxxxx. Orgán x xxxxx uvedená v §3 xxxx. c) xx e) xxxxxx xxxxxxxx kontaktní xxxxx xxxxxx xxxxxxxx x §32 xxxx. 1 xxxx. a).

XXXX XXXX

XXXXXXXX

§35

Xxxx xxxxxxxx xxxxxx xxxxxxxxx dnem 1. xxxxx 2015.

Xxxxxxx:

Xxx. Xxxxxxxx v. x.

Příloha x. 1 x xxxxxxxx č. 316/2014 Xx.

Xxxxxxxxx a xxxxxx xxxxxxxxxxx xxxxx

Xxx xxxxxxxxx důležitosti aktiv xxxx použity xxxxxxxx x xxxxxxx úrovních. Xxxxx nebo osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx může xxxxxxxx xxxxxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxxxxxxx aktiv, xxx xxxx xx uveden x xxxx příloze, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx jí xxxxxxxxxx xxxxxxxx hodnocení xxxxxxxxxxx xxxxx x xxxxxxxxxx x xxxxxxxx xxx xxxxxxxxx důležitosti xxxxx, xxxxx jsou xxxxxxx x této xxxxxxx.

X xxxxxxx xxxxxxx tří xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx je přípustné xxxxxxx xxx úrovně xxxxx a xxxxxxx, xxxx xxxxxx vysoká x xxxxxxxx.

Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx

Xxxxxxxx xxx xxxxxxxxx xxxxxxxxx

Stupnice xxx xxxxxxxxx xxxxxxxxxxx

Xxxxxxx x. 2 x vyhlášce x. 316/2014 Xx.

Xxxxxxxxx xxxxx

Xxxxxxxxx xxxxx xx vyjádřeno xxxx xxxxxx, xxxxxx xxxxxxxxx xxxxx, xxxxxx x zranitelnost.

Pro hodnocení xxxxx xxx xxxxxx xxxxxxx xxxx funkci

riziko = xxxxx x xxxxxx x xxxxxxxxxxxx.

Xxxxxxxxxxx xxxxxx funkce xxx xxxxxx xxxxxx xx xxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx a xxxxxxxxx xxxxxx

X xxxxxxx, xx xxxxx xxxx xxxxx xxxxxxx x §3 xxxx. x) xx e) zákona xxxxxxx xxxxxx xxx xxxxxxxxxxxx a hodnocení xxxxx, xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx, je xxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx x zranitelností xxxxxxx. Sloučení xxxxxxx xx xxxxxx xxxx xx xxxxxx xxxxxxxxxx xxxxxxxxx xxxx hrozby x zranitelnosti. Xx xxxxx xxxxxx lze xxxxxx xxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxx úroveň xxxxxx, xxx x xxxxxx xxxxxxxxxxxxx. Obdobně xxxxxxxxx x xxxxx nebo xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx, xxxxx používá jiný xxxxx úrovní xxx xxxxxxxxx xxxxxx, hrozeb, xxxxxxxxxxxxx x xxxxx.

Příloha x. 3 x xxxxxxxx č. 316/2014 Xx.

Xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxxx

(1) Xxxxxxxxxx algoritmy

a) Xxxxxxx x xxxxxxxx xxxxx xxx ochranu xxxxxxxxxx x xxxxxxxxx

1. Xxxxxxxx Xxxxxxxxxx Standard (XXX) x xxxxxxxx xxxxx xxxxx 128, 192 x 256 xxxx Xxxxxx Xxxx Xxxxxxxxxx Xxxxxxxx (3XXX) x xxxxxxxx délky xxxxx 168 bitů, xxxxxxx xxxxxxx xxx xx xxxxxxxxx klíče menším xxx 10 XX, xxxxxxxx přecházet na XXX.

2. Xxxxxx Data Xxxxxxxxxx Standard (3XXX) x xxxxxxxx délky xxxxx 112 bitů, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx než 10 XX, xxxxxxxx přecházet xx XXX. Doporučeno xxxxxxx xxxxxxxxxxx xxxxx xxx xxxxxx xxxxxx.

3. Xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxx 128 bitů, xxxxxxx xxxxxxx jen xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX.

4. Xxxxxx x využitím xxxxx xxxxx 128 xxxx, omezené použití xxx xx zatížením xxxxx xxxxxx xxx 10 GB.

5. Xxxxxxx x xxxxxxxx xxxxx xxxxx 128 xx 256 xxxx.

6. Xxxxxxx x xxxxxxxx délky xxxxx 128, 192, 256 xxxx.

7. Xxxxxxxx x využitím xxxxx xxxxx 128, 192 x 256 xxxx.

8. XXXX 2.0, SNOW 3X s využitím xxxxx klíčů 128, 256 bitů.

b) Xxxx xxxxxxxxx s xxxxxxxx xxxxxxxxx

1. CCM,

2. XXX,

3. XXX,

4. Xxxxxxx schémata xxxx "Xxxxxxx-xxxx-XXX".

Xxxxxxxx:

Xxxxxxxx xxxx "Xxxxxxx-xxxx-XXX",xxxx používat x xxxxxxxxx pouze xxxxxxx xxxxxxxxx xxxx x x výpočtu XXX xxxxx uvedené xxxx xxx xxxxxxx integrity.

c) Xxxx šifrování

1. XXX,

2. XXX,

3. XXX,

4. XXX,

Xxxxxxxx:

Xxxx XXX a CFB xxxx být xxxxxxx x xxxxxxxx, xxx xxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxxx xxxx OFB xx xxx xxxx xxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxxx xxxxxxx, při xxxxxxx módu XXX xx pro xxxx xxxx xxxxx xxxxxxxx xxxxxxx čítače, x xxxxxxx xxxxxxx XXX xxxx k šifrování xxx xxxxxxx xxxxxxxxx xx xxxxx xxxxxx xxxxxxxx proti xxxxx xx xxxxxxx XXX xxxx.

x) Xxxx xxx xxxxxxx integrity

1. HMAC,

2. XXX-XXX-X9.19, omezené xxxxxxx xxx xx xxxxxxxxx xxxxxx xxx 109 XXX,

3. XXX-XXX-XXXX,

4. CMAC.

(2) Xxxxxxxxxxx xxxxxxxxx

x) Pro xxxxxxxxxxx digitálního xxxxxxx

1. Xxxxxxx Xxxxxxxxx Xxxxxxxxx (XXX) s xxxxxxxx xxxxx xxxxx 2048 xxxx x xxxx, xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx 224 bitů x xxxx.

2. Xxxxxxxx Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxxxxx (XX-XXX) s xxxxxxxx xxxxx klíčů 224 xxxx a xxxx.

3. Xxxxxx-Xxxxxx-Xxxxxxx Xxxxxxxxxxxx Xxxxxxxxx Xxxxxx (XXX-XXX) x xxxxxxxx xxxxx xxxxx 2048 xxxx x xxxx.

x) Pro xxxxxxx xxxxx xx xxxxx a šifrování xxxxx

1. Xxxxxx-Xxxxxxx (XX) x využitím xxxxx xxxxx 2048 xxxx x více, xxxxx xxxxxxxxx cylické podgrupy 224 xxxx x xxxx.

2. Xxxxxxxx Curve Xxxxxx-Xxxxxxx (XXXX) x xxxxxxxx xxxxx xxxxx 224 bitů x xxxx.

3. Elliptic Curve Xxxxxxxxxx Xxxxxxxxxx Xxxxxx - Key Encapculation Xxxxxxxxx (XXXXX-XXX) s xxxxxxxx délky klíčů 256 bitů x xxxx.

4. Provably Secure Xxxxxxxx Xxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXXX-XXX) x využitím xxxxx xxxxx 256 xxxx xxxx.

5. Asymetrie Xxxxxxx xxx Key Xxxxxxxxxxxxx Mechanism (XXX-XXX) x xxxxxxxx xxxxx xxxxx 256 bitů x více.

6. Rivest Xxxxxx Xxxxxxx - Xxxxxxx Asymetrie Xxxxxxxxxx Xxxxxxx (XXX-XXXX) s xxxxxxxx xxxxx xxxxx 2048 x více.

7. Xxxxxx Shamir Xxxxxxx - Key Encapculation Xxxxxxxxx (RSA-KEM) x xxxxxxxx xxxxx xxxxx 2048 a xxxx.

(3) Xxxxxxxxx xxxx funkcí

a) XXX-2

1. XXX-224,

2. XXX-256,

3. XXX-384,

4. XXX-512,

5. XXX-512/224,

6. XXX-512/256.

x) XXX-3

1. SHA3-224,

2. XXX3-256,

3. SHA3-384,

4. XXX3-512,

5. XXXXX-128,

6. XXXXX-256.

x) Ostatní xxxxxxxx funkce

1. Whirpool,

2. XXXXXX-160,

3. XXX 1 x xxxxxxxx xxxxxxxx.

Xxxxxxxx x. 1:

SHA-1 se xxxxx používat xxx xxxxxxxxxx xxxxxx digitálních xxxxxxx, časových xxxxxxx, xxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx XXX-1.

Xxxxxxxx x. 2:

XXX-1 xxx xxxxxxxx pouze pro xxxxxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx x xxxxxxxx razítek, generování x xxxxxxxxx HMAC-SHA1, xxxxxx xxx xxxxxxxxxx xxxxx x pseudonáhodné xxxxxxxxxx.

Xxxxxxx x. 4 x vyhlášce x. 316/2014 Sb.

Struktura xxxxxxxxxxxx xxxxxxxxxxx

Xxxx xxxxxxx xxxxxxxx xxxxxxxxxx obsah bezpečnostní xxxxxxxxxxx. Xxxxxxxxxx struktury xxxxxxxxxxxx xxxxxxxxx zahrnují xxxxxx, která jednotlivé xxxxxxxxx podle xxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx x xx na orgánu xxxx xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx, xxxx přístup x xxxxxx bezpečnostní xxxxxxxxxxx xxxxxxx. Xxxxxxxxx xx x změna xxxxx xxxxxxxxxxxx xxxxxxxxx xxxx integrování více xxxxx xx jednoho xxxxxxxxx.

X. Xxxxxxxxx bezpečnostní xxxxxxxx

(1) Xxxxxxxx systému xxxxxx xxxxxxxxxxx informací*

[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. x)]

x) Xxxx, xxxxxxxx x xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.

x) Rozsah x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.

x) Xxxxxxxx x xxxxxxx pro xxxxxx xxxxxxxxxxx.

x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxx a xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.

x) Pravidla x xxxxxxx xxx xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx.

x) Xxxxxxxx x xxxxxxx pro xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.

x) Xxxxxxxx x xxxxxxx xxx nápravná xxxxxxxx x xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.

(2) Xxxxxxxx organizační xxxxxxxxxxx**

[§5 xxxx. 1 xxxx. b), §5 xxxx. 2 xxxx. x)]

x) Xxxxxx xxxxxxxxxxxxxx xxxx x xxxxxx xxxx a povinností,

1. xxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,

2. xxxxx x povinnosti xxxxxxxxxx xxxxxxxxxxxx bezpečnosti,

3. xxxxx a xxxxxxxxxx xxxxxxxx kybernetické bezpečnosti,

4. xxxxx x xxxxxxxxxx xxxxxxx xxxxx,

5. xxxxx x xxxxxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.

x) Požadavky xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx bezpečnostních rolí.

(3) Xxxxxxxx řízení xxxxxxxxxx**

[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. x)]

x) Xxxxxxxx x principy xxx xxxxx dodavatelů.

b) Xxxxxxxx xxx xxxxxxxxx xxxxx dodavatelů.

c) Náležitosti xxxxxxx x xxxxxx xxxxxx x způsobů x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x x určení vzájemné xxxxxxx xxxxxxxxxxxx.

x) Xxxxxxxx xxx xxxxxxxxx kontroly xxxxxxxx bezpečnostních xxxxxxxx.

x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx.

(4) Xxxxxxxx xxxxxxxxxxx xxxxx**

[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]

x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx

1. určení x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,

2. xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx aktiv x xxxxxxxx důvěrnosti, xxxxxxxxx x xxxxxxxxxxx.

x) Xxxxxxxxxxxx, xxxxxxxxx a xxxxxxxx xxxxxxxxxx xxxxx

1. xxxxxx a xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,

2. xxxxxx vazeb xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.

x) Pravidla xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx

1. xxxxxxx rozlišování xxxxxxxxxxxx xxxxxx xxxxx,

2. xxxxxxxx pro xxxxxxxxxx x evidenci xxxxx xxxxx úrovní xxxxx,

3. xxxxxxxxx xxxxxxx používání xxxxx.

x) Xxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx dat.

(5) Xxxxxxxx bezpečnosti lidských xxxxxx**

[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]

x) Xxxxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx a xxxxxxx xxxx xxxxxxxxx

1. xxxxxxx x xxxxx xxxxxxx xxxxxxxxx,

2. xxxxxxx x xxxxx poučení xxxxxxx xxxxx,

3. xxxxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx,

4. xxxxxxx x xxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx bezpečnostní xxxx.

x) Xxxxxxxxxxxx xxxxxxx xxxxxx zaměstnanců.

c) Xxxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx politiky xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.

x) Pravidla xxx xxxxxxxx xxxxxxxxxx vztahu xxxx xxxxx xxxxxxxx xxxxxx.

1. vrácení svěřených xxxxx x xxxxxxxx xxxx xxx ukončení xxxxxxxxxx xxxxxx,

2. xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxx pozice.

(6) Xxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxx**

[§5 xxxx. 1 xxxx. f), §5 xxxx. 2 xxxx. x)]

x) Xxxxxxxxx x xxxxxxxxxxxx spojené x xxxxxxxxx provozem.

b) Xxxxxxx bezpečného xxxxxxx.

x) Xxxxxxxxx a xxxxxxxxx xxxxxxxxxx xxxxxxx.

x) Řízení xxxxxxxxxxx zranitelností.

e) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx auditů kybernetické xxxxxxxxxxx a xxxxxxxxxxxxxx xxxxx.

(7) Politika xxxxxx xxxxxxxx**

[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]

x) Princip xxxxxxxxxxx xxxxxxxxx/xxxxxxx znát (need xx know).

b) Xxxxxxxxx xx xxxxxx xxxxxxxx.

x) Xxxxxxx xxxxxx xxxxxx xxxxxxxx.

x) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.

x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.

x) Xxxxxxxxxx přezkoumání přístupových xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx uživatelů v xxxxxxxxxxxx skupinách.

(8) Xxxxxxxx xxxxxxxxxx chování xxxxxxxxx*

[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. h)]

a) Xxxxxxxx xxx xxxxxxxx xxxxxxxxx s aktivy.

b) Xxxxxxxx xxxxxxx přístupového xxxxx.

x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx pošty x xxxxxxxx xx internet.

d) Xxxxxxxx vzdálený přístup.

e) Xxxxxxxx chování xx xxxxxxxxxx xxxxxx.

x) Bezpečnost xx vztahu x xxxxxxxx xxxxxxxxx.

(9) Xxxxxxxx xxxxxxxxxx x xxxxxx**

[§5 xxxx. 1 písm. x), §5 odst. 2 xxxx. i)]

a) Xxxxxxxxx xx xxxxxxxxxx x xxxxxx.

x) Pravidla x xxxxxxx zálohování.

c) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx.

x) Xxxxxxxx a xxxxxxx obnovy.

e) Xxxxxxxx x postupy xxxxxxxxx xxxxxxxxxx a xxxxxx.

(10) Xxxxxxxx bezpečného předávání x výměny informací**

[§5 xxxx. 1 xxxx. x)]

x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxx.

x) Xxxxxxx xxxxxxx elektronické xxxxxx xxxxxxxxx.

x) Xxxxxxxx xxx xxxxxxxxx kryptografické xxxxxxx.

(11) Xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx**

[§5 odst. 1 xxxx. x)]

x) Xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,

x) Pravidla x xxxxxxx vyhledávání xxxxxxxxx xxxxxxxxxxxx balíčků,

c) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,

x) Xxxxxxxx a xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx vybavení.

(12) Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx*

[§5 odst. 1 xxxx. 1)]

a) Xxxxxxxx x xxxxxxx xxx xxxxxxxx používání xxxxxxxxx xxxxxxxx.

x) Xxxxxxxx a xxxxxxx xxx zajištění xxxxxxxxxxx zařízení, xxxxxxx xxxxx a xxxxx xxxxxxx x §3 xxxx. c) x x) zákona xxxxxxxxxxx.

(13) Xxxxxxxx xxxxxxxxxxx x xxxxxxxx licencí xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx*

[§5 xxxx. 1 písm. x), §5 xxxx. 2 písm. x)]

x) Xxxxxxxx x postupy xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx.

x) Xxxxxxxx a xxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx.

(14) Xxxxxxxx xxxxxxxxxxxx ukládání a xxxxxxxxx informací*

[§5 xxxx. x xxxx. n)]

a) Xxxxxxxx a xxxxxxx xxxxxxxxx xxxxxxxxx a xxxxxxx.

x) Xxxxxxx xxxxxxxxxxxxx xxxxxxxxx x xxxxxxx.

x) Xxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx.

(15) Xxxxxxxx ochrany xxxxxxxx xxxxx*

[§5 xxxx. x xxxx. x), §5 odst. 2 xxxx. k)]

a) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx.

x) Xxxxx xxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.

x) Xxxxx xxxxxxxxx x provedených xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx údajů.

(16) Politika xxxxxxx xxxxxxxxxxx**

[§5 odst. x písm. x)]

x) Xxxxxxxx xxx xxxxxxx xxxxxxx.

x) Pravidla xxx xxxxxxxx xxxxxx xxxx.

x) Xxxxxxxx xxx xxxxxxx xxxxxxxx.

x) Detekce narušení xxxxxxx xxxxxxxxxxx.

(17) Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx sítě**

[§5 xxxx. 1 xxxx. x)]

x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx sítě.

b) Xxxxxx xxxx a xxxxxxxxxx xx bezpečný xxxxxx xxxx.

x) Pravidla x xxxxxxx xxx xxxxxx xxxxxxxx v rámci xxxx.

x) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxxxx x xxxx.

x) Pravidla x xxxxxxx xxx monitorování xxxx x xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.

(18) Xxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx*

[§5 odst. l xxxx. x), §5 xxxx. 2 xxxx. x)]

x) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxxxxx mezi vnitřní x xxxxxx xxxx.

x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxx.

x) Pravidla a xxxxxxx pro xxxxxxx xxxxxxxxxx xxxxxx.

(19) Xxxxxxxx xxxxxxxx a xxxxxxxxx xxxxxxxx xxx detekci xxxxxxxxxxxxxx bezpečnostních událostí**

[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. n)]

a) Xxxxxxxx x postupy xxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

x) Xxxxxxxx postupy xxx xxxxxxxxxxxxx a xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx.

x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxxxxx nastavení xxxxxxxx pro detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.

(20) Xxxxxxxx xxxxxxx x xxxxxx xxxxxxxx pro xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí**

[§5 xxxx. 1 xxxx. x)]

x) Pravidla x xxxxxxx xxx evidenci x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

x) Xxxxxxxx x xxxxxxx pravidelné xxxxxxxxxxx xxxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

x) Xxxxxxxx x xxxxxxx xxx optimální xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

(21) Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx**

[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]

x) Úroveň ochrany x xxxxxxx xx xxx x xxxx xxxxxxxxxxxxxxxx algoritmu.

b) Xxxxxxxx xxxxxxxxxxxxxx ochrany informací

1. xxx přenosu po xxxxxxxxxxxxx xxxxxx,

2. xxx xxxxxxx na xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx nosič dat,

c) Xxxxxx xxxxxx klíčů.

II. Xxxxxxxxx xxxxx xxxxxxxxxxx

(1) Xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx**

[§28 xxxx. 1 xxxx. x)]

x) Xxxx xxxxxx kybernetické xxxxxxxxxxx.

x) Xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.

x) Xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.

x) Xxxxxxxxxxxxxx týmu xxxxxxxx x xxxx, xxxxx xx auditu xxxxxxxxxxxx xxxxxxxxxxx zúčastnily.

e) Datum x místo, kde xxxx xxxxxxxxx xxxxxxxx xxx xxxxxx kybernetické xxxxxxxxxxx.

x) Xxxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.

x) Xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.

(2) Zpráva x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx**

[§28 xxxx. 1 xxxx. x)]

x) Xxxxxxxxxxx xxxxxxxx z xxxxxxxxxxx xxxxxxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx,

x) Xxxxxxxxxxxx xxxx x xxxxxxxxx, xxxxx xxxxx xxx vliv na xxxxxx xxxxxx bezpečnosti xxxxxxxxx.

x) Xxxxxx xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx

1. neshody x xxxxxxxx opatření,

2. xxxxxxxx xxxxxxxxxxxx x xxxxxx,

3. xxxxxxxx auditu,

4. xxxxxxxx xxxx xxxxxxxxxxx,

x) Xxxxxxxx xxxxxxxxx xxxxx x stav xxxxx xxxxxxxx xxxxx.

x) Xxxxxxxxxxxx xxxxxxxx xxx neustálé xxxxxxxxxx.

x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx xxxxxxxx x xxxx xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.

(3) Xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx aktiv x xxx identifikaci x hodnocení rizik*

[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]

x) Xxxxxx stupnice xxx xxxxxxxxx xxxxxxxxxx aktiv

1. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní důvěrnosti xxxxx,

2. xxxxxx xxxxxxxx xxx hodnocení úrovní xxxxxxxxx xxxxx,

3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx dostupnosti aktiv.

b) Xxxxxx stupnice pro xxxxxxxxx xxxxx

1. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxxx,

2. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx hrozby,

3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx zranitelnosti,

4. určení xxxxxxxx pro xxxxxxxxx xxxxxx rizik,

a) Xxxxxx x xxxxxxxx xxx xxxxxxxx xxxxx.

x) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx.

(4) Xxxxxx x hodnocení xxxxx x rizik**

[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. c)]

a) Xxxxxxx xxxxxxxxxx xxxxx

1. xxxxxxxxxxxx a xxxxx xxxxxxxxxx aktiv,

2. určení xxxxxxx primárních xxxxx,

3. xxxxxxxxx xxxxxxxxxx aktiv x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.

x) Xxxxxxx xxxxxxxxxx xxxxx (xxxxxxx xxx orgány x xxxxx xxxxxxx x §3 xxxx. x) zákona)

1. xxxxxxxxxxxx x popis xxxxxxxxxx xxxxx,

2. xxxxxx xxxxxxx xxxxxxxxxx aktiv,

3. xxxxxx xxxxx mezi primárními x podpůrnými xxxxxx,

x) Xxxxxxxxxxxxxx x xxxxxxxxx xxxxx

1. posouzení xxxxxxx xxxxxx xx xxxxxx,

2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,

3. xxxxxxxxx existujících xxxxxxxxxxxxx, xxxxxxxxx existujících xxxxxxxx,

4. xxxxxxxxx úrovně rizika, xxxxxxxxx xxxx úrovně x kritérii pro xxxxxxxxxxxx xxxxx,

5. xxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxx.

x) Xxxxxxxx xxxxx

1. xxxxx xxxxxxx xxxxxxxx xxxxx,

2. návrh xxxxxxxx x jejich xxxxxxxxx.

(5) Xxxxxxxxxx x xxxxxxxxxxxxxxxx*

[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]

x) Xxxxxxx vybraných bezpečnostních xxxxxxxx xxxxxx zdůvodnění xxxxxx xxxxxx x xxxxxx xxxxx na xxxxxxxxxxxxxx xxxxxx.

x) Xxxxxxx xxxxxxxxxx bezpečnostních xxxxxxxx.

(6) Xxxx xxxxxxxx xxxxx**

[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. e)]

a) Xxxxx a xxxx xxxxxxxxx bezpečnostních opatření xxx xxxxxxxx rizik.

b) Xxxxxxxx xxxxxx pro xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx zvládání xxxxx.

x) Xxxxx zajišťující xxxxxxxxxx xxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx.

x) Xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.

x) Způsoby xxxxxxxxx xxxxxxxxxx xxxxxxxx jednotlivých xxxxxxxxxxxxxx opatření xxx xxxxxxxx rizik.

(7) Plán xxxxxxx xxxxxxxxxxxxxx povědomí*

[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. f)]

a) Xxxxx a xxxxxxx xxxxxxx xxxxxxxxx.

x) Obsah x xxxxxxx xxxxxxx xxxxxxx aktiv (xxxxxxx xxx xxxxxx x xxxxx uvedené v §3 xxxx. x) xxxxxx).

x) Xxxxx x xxxxxxx xxxxxxx xxxxxxxxxxxxxx (xxxxxxx xxx orgány x xxxxx xxxxxxx x §3 písm. x) zákona).

d) Xxxxx x xxxxxxx xxxxxxx xxxxxxx osob xxxxxxxxxxxxx xxxxxxxxxxxx role.

e) Xxxxx x xxxxxxx poučení xxxxxx xxxxxxxxxxx.

x) Xxxxx x xxxxxxx hodnocení xxxxx.

(8) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů**

[§28 xxxx. 1 písm. i), §28 odst. 2 xxxx. x)]

x) Definování xxxxxxxxx kybernetického bezpečnostního xxxxxxxxx.

x) Xxxxxxxx x xxxxxxx xxx evidenci x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.

x) Xxxxxxxx x xxxxxxx testování xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.

x) Pravidla a xxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních incidentů x pro xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.

(9) Strategie xxxxxx xxxxxxxxxx xxxxxxxx**

[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. x)]

x) Xxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxx.

x) Xxxx xxxxxx xxxxxxxxxx činností

1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx,

2. doba xxxxxxxx xxxxx,

3. bod xxxxxxxx xxxxx.

x) Xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxx kontinuity.

d) Xxxxxxx hodnocení dopadů xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxx xxxxx.

x) Xxxxxx a xxxxx xxxxxxxxxx xxxxx xxxxxxxxxx.

x) Xxxxxxx xxx realizaci xxxxxxxx vydaných Xxxxxxxx xxxxxxxxxxxxx xxxxxx.

(10) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx, vnitřních xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx závazků*

[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. i)]

a) Xxxxxxx obecně xxxxxxxxx xxxxxxxx předpisů.

b) Xxxxxxx xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx.

x) Xxxxxxx xxxxxxxxx závazků.

Poznámka:

* Xxxxxxxxx xxxxxxxxx xxxxxxxxx xx xx xxxxxx xxxxxxx xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Hodnocení x úroveň xxxxx.

** Xxxxxxxxx xxxxxxxxx dokumentu xx xx úrovni xxxxxx xxxxx xxxxxxxx xxxxxxx v příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.

Xxxxxxx x. 5 x xxxxxxxx x. 316/2014 Xx.

Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx

Vyplnitelný formulář ve formátu PDF

Xxxxxxx x. 6 x xxxxxxxx x. 316/2014 Sb.

Formulář oznámení x xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx

Vyplnitelný formulář ve formátu PDF

Xxxxxxx x. 7 x xxxxxxxx x. 316/2014 Sb.

Formulář xxx xxxxxxx xxxxxxxxxxx údajů

Vyplnitelný formulář ve formátu PDF

Informace

Právní předpis x. 316/2014 Xx. xxxxx xxxxxxxxx dnem 1.1.2015.

Ke xxx uzávěrky právní xxxxxxx nebyl měněn xx xxxxxxxxx.

Xxxxxx xxxxxxx x. 316/2014 Xx. xxx zrušen xxxxxxx xxxxxxxxx č. 82/2018 Sb. s xxxxxxxxx od 28.5.2018.

Znění xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx právních předpisů x xxxxxxxx není xxxxxxxxxxxxx, xxxxx se xxxx xxxxxx derogační xxxxx xxxxx uvedeného xxxxxxxx xxxxxxxx.

1) XXX/XXX 27001:2013, xxxxxxxx XXX ISO/IEC 27001:2014