Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
XXXXXXXX
xx dne 15. xxxxxxxx 2014
o xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x x xxxxxxxxx xxxxxxxxxxx podání x xxxxxxx kybernetické xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx bezpečnostní xxxx xxxxxxx podle §28 xxxx. 2 zákona x. 181/2014 Sb., x kybernetické bezpečnosti x o xxxxx xxxxxxxxxxxxx xxxxxx (xxxxx x xxxxxxxxxxxx xxxxxxxxxxx), (xxxx xxx "xxxxx") x xxxxxxxxx §6 xxxx. x) xx x), §8 odst. 4, §13 xxxx. 4 a §16 xxxx. 6 xxxxxx.
XXXX XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxxx vyhláškou xx xxxxxxx xxxxx x xxxxxxxxx xxxxxxxxxxxx dokumentace xxx informační xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxx systém kritické xxxxxxxxxx infrastruktury nebo xxxxxxxx xxxxxxxxxx xxxxxx, xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxx zavedení, xxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx a xxxxxx xxxxxxx kybernetického bezpečnostního xxxxxxxxx, xxxxxxxxxxx oznámení x xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx a vzor xxxxxxxx kontaktních údajů x xxxx xxxxx.
§2
Xxxxxxxx xxxxx
X této xxxxxxxx se rozumí
a) xxxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx systému xxxxxx orgánu a xxxxx uvedené x §3 písm. x) xx x) zákona xxxxxxxx na přístupu x xxxxxxx xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxx xxxxxx xxxxxxxx, xxxxxxxx, xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx x zlepšování xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx aktivum,
c) primárním xxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxxx xxxx poskytuje informační xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx informační xxxxxx,
x) podpůrným xxxxxxx xxxxxxxxx xxxxxxx, zaměstnanci x xxxxxxxxxx xxxxxxxxxx xx xx provozu, xxxxxxx, xxxxxx xxxx xxxxxxxxxxx informačního xxxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx informačního xxxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx vybavení xxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo významného xxxxxxxxxxxx xxxxxxx a xxxxxxx, ve xxxxxxx xxxx xxxx systémy xxxxxxxx,
x) xxxxxxx možnost, xx xxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxx proces, xxx xxxx xx určována xxxxxxxxxx xxxxx x xxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxx rizik xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx, xxxxx x xxxxxxxx xxxxxxxx xx zvládání xxxxx, xxxxxxx xxxxxxxxx x xxxxxx x xxxxxxxxx x xxxxxxxxxxx xxxxx,
x) hrozbou potencionální xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, jejímž xxxxxxxxx může xxx xxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxx xxxxx xxxxx xxxxxx xxxx bezpečnostního xxxxxxxx, xxxxx xxxx xxx xxxxxxxx xxxxxx nebo xxxx hrozbami,
k) xxxxxxxxxxx xxxxxxx riziko xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, jehož úroveň xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxxx rizik,
l) xxxxxxxxxxxx xxxxxxxxx xxxxxx zásad x xxxxxxxx, xxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxxx aktiv xxxxxxx x xxxxxx xxxxxxxx x §3 xxxx. x) až x) xxxxxx,
x) garantem xxxxxx xxxxxxx xxxxx pověřená xxxxxxx xxxx osobou xxxxxxxx v §3 xxxx. x) až x) xxxxxx x xxxxxxxxx xxxxxxx, použití x xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx anebo xxxxx xxxxxxx moci, xxxxx využívá xxxxxxxx xxxxxx,
x) xxxxxxxxxxxxxxx fyzická xxxxx xxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxx, xxxxxx, použití, xxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxx.
XXXX XXXXX
XXXXXXXXXXXX OPATŘENÍ
HLAVA X
XXXXXXXXXXX OPATŘENÍ
§3
Systém xxxxxx xxxxxxxxxxx informací
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx x xxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx
x) xxxxxxx x xxxxxxx na xxxxxx x xxxxxxxxxxx bezpečnost xxxxxx a xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, ve kterém xxxx, xxxxxxx organizačních xxxxx a xxxxxxxxxxx xxxxx xx xxxxxx xxxxxx xxxxxxxxxxx informací xxxx,
x) xxxx xxxxxx xxxxx §4 xxxx. 1,
x) xxxxxxx a xxxxxxx xxxxxxxxxxxx politiku x xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, práva x xxxxxxxxxx xx xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxx x xx xxxxxxx bezpečnostních xxxxxx x xxxxxxxx hodnocení xxxxx stanoví xxxxxxxxxxxx xxxxxxxx x dalších xxxxxxxxx xxxxx §5 x xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx vhodnost x xxxxxxxx bezpečnostní politiky xxxxx §5,
f) xxxxxxx xxxxxxxxx auditu kybernetické xxxxxxxxxxx podle §15, x xx nejméně xxxxxx ročně,
g) xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxx obsahuje xxxxxxxxx xxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx včetně xxxxxx hodnocení xxxxx, xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx na xxxxxx xxxxxx bezpečnosti xxxxxxxxx, x xx nejméně xxxxxx ročně,
h) xxxxxxxxxxx xxxxxx xxxxxx bezpečnosti xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx na základě xxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx vyhodnocení xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x x xxxxxxxxxxx x xxxxxxxxxxx xxxx plánovanými xxxxxxx x
x) xxxx xxxxxx x xxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxxxxxxxx činnosti xxxxxxx se systémem xxxxxx xxxxxxxxxxx informací x řízením xxxxx.
(2) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) xxxxxx x xxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx
x) xxxx xxxxxx podle §4 xxxx. 2,
x) xxxxxxx a schválí xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, xxxxx xxxxxxxx hlavní zásady, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx xx xxxxxx x xxxxxx bezpečnosti informací x xx základě xxxxxxxxxxxxxx xxxxxx a xxxxxxxx hodnocení xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx oblastech xxxxx §5, a xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx a
c) xxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxxx xxxxx x xxxxx, xxxxxxxxxxxx politiky, xxxxx zvládání xxxxx x plánu xxxxxxx xxxxxxxxxxxxxx povědomí, x xx xxxxxxx xxxxxx xx tři xxxx xxxx x souvislosti x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx.
§4
Řízení rizik
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx x xxxxx xxxxxx rizik
a) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x pro xxxxxxxxxxxx x xxxxxxxxx rizik xxxxxx xxxxxxxxx kritérií xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxx, xxxxx xxxxx xx xxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx, xxxxx §8 x xxxxxxx přílohy č. 1 x této xxxxxxxx x výstupy xxxxxxxxx xx xxxxxx o xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx xxxxxxxx xxxxxx a xxxxxxxxxxxxx, xxxxxxx možné xxxxxx xx xxxxxx, xxxxxxx xxxx rizika xxxxxxxxx x xxxxxxx podle přílohy č. 2 x této xxxxxxxx, xxxx x xxxxxxx přijatelná xxxxxx x xxxxxxxx zprávu x xxxxxxxxx xxxxx x rizik,
d) xxxxxxxx xx xxxxxxx bezpečnostních xxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxxxxxxx x xxxxxxxxxxxxxxxx, které xxxxxxxx xxxxxxx vybraných x zavedených xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx x xxxxxx plán xxxxxxxx xxxxx, který xxxxxxxx xxxx x přínosy xxxxxxxxxxxxxx opatření pro xxxxxxxx rizik, určení xxxxx xxxxxxxxxxx prosazování xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx rizik, potřebné xxxxxxxx, xxxxxxxxx, lidské x informační xxxxxx, xxxxxx xxxxxx xxxxxxxx x xxxxx xxxxx xxxx riziky x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x
x) zohlední bez xxxxxxxxxx odkladu xxxxxxxxx x xxxxxxxx xxxxxxxx xxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx (xxxx xxx "Xxxx") v xxxxxxxxx xxxxx x x xxxxxxx, xx hodnocení xxxxx aktualizované o xxxx xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx stanovená xxxxxxxx xxx přijatelnost xxxxx, xxxxxx plán xxxxxxxx xxxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) xxxxxx v xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxx aktiv x pro xxxxxxxxxxxx x hodnocení xxxxx xxxxxx stanovení kritérií xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx a xxxxxxx xxxxxxxxxx primárních xxxxx, xxxxx patří do xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, podle §8 minimálně v xxxxxxx přílohy č. 1 k xxxx xxxxxxxx a xxxxxxx zapracuje do xxxxxx x hodnocení xxxxx x rizik,
c) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx xxxxxxxx xxxxxx x zranitelnosti, posoudí xxxxx dopady xx xxxxxxxx aktiva, xxxxxxx xxxx xxxxxx xxxxxxxxx x xxxxxxx xxxxx přílohy č. 2 k této xxxxxxxx a xxxxxxxx xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxx xx základě xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx o aplikovatelnosti, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx x zavedených xxxxxxxxxxxxxx xxxxxxxx,
x) zpracuje x zavede plán xxxxxxxx xxxxx, xxxxx xxxxxxxx cíle a xxxxxxx bezpečnostních xxxxxxxx xxx zvládání rizik, xxxxxx osoby xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx rizik, xxxxxxxx finanční, xxxxxxxxx, xxxxxx a xxxxxxxxxx xxxxxx, xxxxxxx jejich xxxxxxxx a xxxxx xxxxx mezi xxxxxxxxxxxxxxxx xxxxxx x příslušnými xxxxxxxxxxxxxx xxxxxxxxxx a
f) xxxxxxxx bez xxxxxxxxxx xxxxxxx reaktivní a xxxxxxxx xxxxxxxx xxxxxx Xxxxxx v xxxxxxxxx xxxxx x x xxxxxxx, xx xxxxxxxxx xxxxx xxxxxxxxxxxxx o xxxx xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx reaktivního xxxx xxxxxxxxxx opatření xxxxxxxx stanovená xxxxxxxx xxx xxxxxxxxxxxx xxxxx, xxxxxx xxxx zvládání xxxxx.
(3) Řízení rizik xxxx xxx xxxxxxxxx x jinými xxxxxxx, xxx xxx xx xxxxxxxxx x odstavcích 1 x 2, xxxxx orgán x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxxxxxx, že používá xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxxxx xxxxxx xxxxxx xxxxx.
(4) Xxxxx x osoba uvedená x §3 písm. x) xx x) xxxxxx při xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxx xxxxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx anebo xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxxx xxxxxxx osoby,
d) xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx x licenčními xxxxxxxxxx,
x) kybernetický xxxx x komunikační xxxx,
x) xxxxxxxx xxx (xxxxxxxxx xxxx, spyware, xxxxxxx xxxx),
x) xxxxxxxxxx při xxxxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxxxx elektronických xxxxxxxxxx xxxx dodávek xxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxx údajů,
k) xxxxxx působící hrozby x
x) xxxxxxxx xxxx xxxxxxxxx xxxxxx.
(5) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxx hodnocení xxxxx xxxxxxx zejména xxxx xxxxxxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx vnějšího perimetru,
b) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxx informačního xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx nastavení xxxxxxxxxxxx oprávnění,
e) xxxxxxxxxxxx xxxxxxx xxx xxxxxxxxxxxxxx x xxxxxxxx negativních xxxxxxxxxxxxxx jevů, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxxxx bezpečnostních incidentů,
f) xxxxxxxxxxxx monitorování xxxxxxxx xxxxxxxxx x administrátorů x neschopnost xxxxxxx xxxxxx xxxxxxxx xxxx xxxxxxx způsoby xxxxxxx x
x) nedostatečné stanovení xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxx xxxx x xxxxxxxxxx xxxxxxxxx, administrátorů x xxxxxxxxxxxxxx rolí.
(6) Orgán x osoba uvedená x §3 písm. x) x d) xxxxxx xxx hodnocení xxxxx xxxx xxxxxxx xxxx xxxxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx,
x) xxxxxxxxx ze xxxxxx xxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,
x) xxxxxxxxxx xxxxxxxxx poskytování xxxxxx elektronických xxxxxxxxxx, xxxxxxx xxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx x potřebnou xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxx x
x) zneužití xxxxxxxxxxxxx xxxxxxxxxxx nosičů xxx.
(7) Xxxxx a xxxxx uvedená x §3 xxxx. x) x x) zákona xxx xxxxxxxxx rizik xxxx xxxxxxx xxxx xxxxxxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxxx kritické informační xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,
x) nedostatečná xxxx xxxxxxxxx kontroly x
x) xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx strany xxxxxxxxxxx.
§5
Xxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) a x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx v oblastech
a) xxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) organizační xxxxxxxxxx,
x) xxxxxx xxxxxx x xxxxxxxxxx,
x) xxxxxxxxxxx aktiv,
e) xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxxx,
x) xxxxxx xxxxxxxx,
x) xxxxxxxx chování xxxxxxxxx,
x) xxxxxxxxxx a obnova,
j) xxxxxxxx xxxxxxxxx a xxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx x archivace xxxxxxxxx,
x) xxxxxxx osobních xxxxx,
x) xxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx komunikační xxxx,
x) xxxxxxx xxxx škodlivým xxxxx,
x) xxxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx x xxxxxx nástroje pro xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
x) používání kryptografické xxxxxxx.
(2) Xxxxx a xxxxx uvedená x §3 xxxx. x) xxxxxx stanoví xxxxxxxxxxxx xxxxxxxx x oblastech
a) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxx,
x) xxxxxx xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxx,
x) řízení provozu x xxxxxxxxxx,
x) xxxxxx xxxxxxxx,
x) bezpečné chování xxxxxxxxx,
x) xxxxxxxxxx x xxxxxx,
x) poskytování x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxx škodlivým xxxxx a
n) nasazení x xxxxxxxxx nástroje xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
(3) Orgán x osoba uvedená x §3 písm. x) xx x) xxxxxx xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx politiky x xxxxxxxxxxx xx.
§6
Xxxxxxxxxxx xxxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxx informací, x xxxxx xxxxx xxxx výbor xxx xxxxxx xxxxxxxxxxxx bezpečnosti x bezpečnostní role x xxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx systémem xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxx xxxxxxxxxxx xxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx xxxx xxxxxxxxxxxx xxxx
x) manažer xxxxxxxxxxxx bezpečnosti,
b) architekt xxxxxxxxxxxx bezpečnosti,
c) xxxxxxx xxxxxxxxxxxx bezpečnosti x
x) xxxxxx xxxxxx podle §2 xxxx. x).
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxx xxxxxxxxxxxx xxxx přiměřeně xxxxx xxxxxxxx 2.
(4) Xxxxxxx xxxxxxxxxxxx bezpečnosti xx xxxxx, odpovědná xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, která xx xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x řízením xxxxxxxxxxx xxxxxxxxx po xxxx xxxxxxx xxx xxx.
(5) Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx je osoba xxxxxxxxxxx xxxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xx xxx xxxx xxxxxxx vyškolena x prokáže xxxxxxxx xxxxxxxxxxx praxí s xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xx xxxx xxxxxxx xxx let.
(6) Auditor xxxxxxxxxxxx xxxxxxxxxxx je xxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xx pro xxxx xxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxx způsobilost xxxxx x xxxxxxxxxx xxxxxx kybernetické bezpečnosti xx dobu xxxxxxx xxx let. Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx roli nestranně x xxxxx xxxx xxxx xx oddělen xx výkonu xxxx xxxxxxxxx x xxxxxxxx 2 xxxx. a), x) xxxx x).
(7) Xxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxx xxxxxxx tvořená xxxxxxx, xxxxx xxxx xxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xx xxxxxxxx xxxxxxxx xx xxxxxx x koordinaci xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx.
(8) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx odborné školení xxxx, xxxxx zastávají xxxxxxxxxxxx xxxx v xxxxxxx x plánem xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 písm. x).
§7
Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxx dodavatele
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxx xxxxxxxx xxx dodavatele, která xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, x xxxxxxxx je u xxxxxxxxxx xxxx xxxxxx xxxx, xxxxx xx xxxxxxxx xx xxxxxxx, xxxxxxx nebo xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního systému. Xxxxxx zapojení dodavatelů xx rozvoji, xxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona xxxxxxxx, xxxxx xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x d) xxxxxx x xxxxxxxxxx xxxxxxxxx x xxxxxxxx 1 xxxx
x) xxxx xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxx podle přílohy č. 2 x xxxx xxxxxxxx, která xxxx xxxxxxx s xxxxxxxxxxx xxxxxxxxx,
x) uzavírá xxxxxxx x xxxxxx xxxxxx, xxxxx stanoví xxxxxxx x xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx x xxxx xxxxx xxxxxxxx xxxxxxx odpovědnosti za xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, x
x) xxxxxxx pravidelné hodnocení xxxxx x pravidelnou xxxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx x poskytovaných xxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxx nebo xx dohodě x xxxxxxxxxxx xxxxxxx jejich xxxxxxxxxx.
§8
Xxxxxx xxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxx,
x) určí xxxxxxx xxxxx, kteří xxxx xxxxxxxxx xx xxxxxxxx xxxxxx, x
x) hodnotí xxxxxxxxxx xxxxxxxxxx xxxxx x hlediska xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x xxxxxx xx xx jednotlivých xxxxxx xxxxxxxxx v xxxxxxx xxxxx přílohy č. 1 x xxxx xxxxxxxx.
(2) Při xxxxxxxxx důležitosti xxxxxxxxxx xxxxx je třeba xxxxxxxxx xxxxxxxx
x) xxxxxx x xxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxxxxx,
x) rozsah dotčených xxxxxxxx povinností nebo xxxxxx závazků,
c) rozsah xxxxxxxx xxxxxxxxx xxxxxxxx x kontrolních činností,
d) xxxxxxxxx veřejných, xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxx,
x) xxxxx finanční xxxxxx,
x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx orgánu x xxxxx uvedené x §3 písm. c) xx x) xxxxxx,
x) xxxxxx xxxxxxx s xxxxxxxxx xxxxxxxxxx, integrity x xxxxxxxxxxx a
h) xxxxxx xx zachování xxxxxxx xxxxx nebo xxxxxxx dobré pověsti.
(3) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) zákona xxxx
x) xxxxxxxxxxxx x eviduje xxxxxxxx aktiva,
b) určí xxxxxxx xxxxx, kteří xxxx odpovědní xx xxxxxxxx xxxxxx, x
x) xxxx vazby mezi xxxxxxxxxx x xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.
(4) Xxxxx x xxxxx xxxxxxx x §3 písm. c) xx e) xxxxxx xxxx
x) xxxxxxx xxxxxxxx xxxxxxx, nutná xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx xxx, xx
1. xxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx úrovní aktiv,
2. xxxxxxx pravidla xxx xxxxxxxxxx a xxxxxxxx x xxxxxx xxxxx xxxxxx xxxxx, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxx xxxxx x
3. stanoví xxxxxxxxx xxxxxxx používání aktiv,
b) xxxxxx xxxxxxxx ochrany xxxxxxxxxxxx xxxxxx aktiv x
x) xxxx xxxxxxx xxx xxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx xxx s xxxxxxx na xxxxxx xxxxx.
§9
Xxxxxxxxxx xxxxxxxx xxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx v xxxxx řízení xxxxxxxxxxx xxxxxxxx xxxxxx
x) xxxxxxx xxxx xxxxxxx bezpečnostního xxxxxxxx, xxxxx xxxxxxxx xxxxx, xxxxx x xxxxxx xxxxxxxxxx školení x xxxx osoby xxxxxxxxxxx realizaci jednotlivých xxxxxxxx, xxxxx jsou x xxxxx xxxxxxx,
x) x souladu x xxxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxxxx poučení xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní xxxx x xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx politiky xx strany xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) xxxxxxx xxxxxxx xxxxxxxxx xxxxx a xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxx ukončení smluvního xxxxxx x xxxxxxxxx, xxxxxxxxxxxxxx xxxx osobami xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) až x) xxxxxx xxxx x xxxxxxx podle xxxxxxxx 1 přehledy, xxxxx xxxxxxxx předmět xxxxxxx x xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
(3) Orgán x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxxx
x) xxxxxxx pravidla xxx xxxxxx osob, xxxxx xxxxx zastávat xxxxxxxxxxxx xxxx, xxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx povědomí, xxxxxxxxxxx školení x xxxxxxx činností xxxxxxxxx x prohlubováním xxxxxxxxxxxxxx xxxxxxxx,
x) určí pravidla x xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx pravidel xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx bezpečnostní xxxx x
x) zajistí xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx postavení xxxxxxxxx, xxxxxxxxxxxxxx nebo osob xxxxxxxxxxxxx bezpečnostní role.
§10
Řízení provozu x xxxxxxxxxx
(1) Xxxxx x xxxxx uvedená v §3 xxxx. c) xx x) xxxxxx x xxxxx xxxxxx xxxxxxx x xxxxxxxxxx xxxxxx technických xxxxxxxx xxxxxxxxx x §21 xx 23 xxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxx x xx xxxxxxxx xxxxxxxxxx reaguje x xxxxxxx x §13.
(2) Xxxxx x xxxxx uvedená x §3 písm. c) xx e) xxxxxx x xxxxx xxxxxx xxxxxxx x xxxxxxxxxx xxxx xxxxxxxxx bezpečný xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xx xxxxx xxxxxx xxxxxxx xxxxxxxx pravidla x postupy.
(3) Xxxxxxxx xxxxxxxx x postupy xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) zákona obsahují
a) xxxxx a xxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx x xxxxxxxxx,
x) xxxxxxx xxx xxxxxxxx x xxxxxxxx xxxxx systému, pro xxxxxxx nebo obnovení xxxxx systému xx xxxxxxx x pro xxxxxxxx chybových stavů xxxx mimořádných xxxx,
x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxx xxxxxxx xxxxxxxx x záznamům x xxxxxx činnostech,
d) xxxxxxx xx kontaktní xxxxx, které xxxx xxxxxx xxxx podpora xxx xxxxxx neočekávaných xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxx řízení x xxxxxxxxxxx provozních xxxx x
x) xxxxxxx xxx xxxxxxxxx, plánování x xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxx.
(4) Xxxxxx xxxxxxx xxxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx x xxxxxxxxx pravidelného xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx provedených xxxxx.
(5) Xxxxxx xxxxxxx xxxxxx x xxxxx uvedené x §3 xxxx. x) x x) xxxxxx xxxxxxx x
x) xxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx Úřadem xxx, xx xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx
1. xxxxxxx očekávané xxxxxx xxxxxxxxxxx opatření xx informační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxx systém xxxxxxxx xxxxxxxxxx infrastruktury x xx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, vyhodnotí xxxxx xxxxxxxxx účinky x xxx xxxxxxxxxx xxxxxxx xx oznámí Xxxxx x
2. xxxxxxx xxxxxx rychlého xxxxxxxxx xxxxxxxxxxx xxxxxxxx, který xxxxxxxxxxxx xxxxx negativní xxxxxx, x xxxx xxxxxx xxxx xxxx xxxxxxxxx.
(6) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx x xxxxx xxxxxx xxxxxxxxxx
x) xxxxxxxxx xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx xxxx a bezpečnost xxxxxxxxxxxxx služeb podle §17,
x) určí xxxxxxxx x xxxxxxx xxx xxxxxxx informací, xxxxx xxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxx x předávání informací xx xxxxxxx pravidel xxxxxxxxxxx xxxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx informací a xxxx xxxxxxxx dokumentuje x
x) x xxxxxxx xx xxxxxxxxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxx na xxxxxxx písemných smluv, xxxxxxx součástí xx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx.
§11
Řízení přístupu a xxxxxxxx xxxxxxx uživatelů
(1) Xxxxx a osoba xxxxxxx v §3 xxxx. x) xx x) zákona xx xxxxxxx xxxxxxxxxx a xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxx k xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačnímu xxxxxxx a přidělí xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx.
(2) Orgán x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx xxxxxx opatření, xxxxx xxxxxx k xxxxxxxxx xxxxxxx xxxxx, které xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx §18 x 19, x xxxxx xxxxx xx xxxxxxxx xxxxxx údajů neoprávněnou xxxxxx.
(3) Xxxxx x xxxxx xxxxxxx v §3 písm. x) x d) xxxxxx xxxx v xxxxx xxxxxx xxxxxxxx
x) přidělí xxxxxxxxxxxxx aplikacím xxxxxxxxxx xxxxxxxxxxxxx,
x) omezí přidělování xxxxxxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx x odebírá xxxxxxxxxx xxxxxxxxx x xxxxxxx x xxxxxxxxx řízení xxxxxxxx,
x) xxxxxxx pravidelné xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx nebo xxxxxx,
x) xxxxxxx nástroj xxx ověřování xxxxxxxx xxxxxxxxx podle §18 x xxxxxxx xxx xxxxxx xxxxxxxxxxxx oprávnění xxxxx §19 x
x) xxxxxx bezpečnostní xxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx zařízení, xxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxx s xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxx orgán x xxxxx xxxxxxx v §3 xxxx. c) x x) xxxxxx xxxxxxxxxxx.
§12
Akvizice, xxxxx a xxxxxx
(1) Orgán a xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxxx bezpečnostní xxxxxxxxx xx xxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx xxxxxxx x xxxxxx xxxxxxxx, xxxxxxx x xxxxxxx a xxxxxx xx xx xxxxxxxx akvizice, xxxxxx x xxxxxx systému.
(2) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx dále
a) xxxxxxxxxxxx, xxxxxxx x xxxx rizika související x xxxxxxxx, xxxxxxx x xxxxxxx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikačního xxxxxxx kritické informační xxxxxxxxxxxxxx; xxx xxxxxxx xxxxxxxxx x xxxxxx xxxxx xx xxxxxxxx xxxxx §4 xxxx. 1 xxxx. x) xxxxxxx obdobně,
b) xxxxxxx xxxxxxxxxx xxxxxxxxxx prostředí x zajistí ochranu xxxxxxxxxxx testovacích xxx x
x) provádí xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxx xxxxxxxxx xx xxxxxxx.
§13
Zvládání kybernetických bezpečnostních xxxxxxxx a xxxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxx zvládání xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx
x) přijme xxxxxxxx xxxxxxxx, xxxxx zajistí xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx a x xxxxxxxxxx vede záznamy,
b) xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxx oznámených xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí a xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx nástroji xxxxx §21 xx 23, xxxxxxx jejich xxxxxxxxxxx x identifikuje xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxx xxx xxxxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §32 a zajistí xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx,
x) xxxxxxxx a xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxx účinnost xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a xx xxxxxxx xxxxxxxxxxx xxxxxxx xxxxx bezpečnostní xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx a
e) xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
§14
Řízení xxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx x xxxxx xxxxxx xxxxxxxxxx xxxxxxxx stanoví
a) xxxxx x xxxxxxxxxx xxxxxxx xxxxx, xxxxxxxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx xxxx,
x) cíle řízení xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. minimální xxxxxx xxxxxxxxxxxxx xxxxxx, xxxxx xx xxxxxxxxxx pro xxxxxxx, xxxxxx x xxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
2. xxxx xxxxxxxx xxxxx, xxxxx xxxxx xxxx xx kybernetickém bezpečnostním xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx služeb xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx, x
3. xxxx xxxxxxxx dat xxxx termínu, ke xxxxxxx xxxxx obnovena xxxx po xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu, x
x) xxxxxxxxx řízení kontinuity xxxxxxxx, která xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx x).
(2) Xxxxx x xxxxx uvedená x §3 písm. x) a d) xxxxxx dále
a) vyhodnotí x xxxxxxxxxxx možné xxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxxx,
x) xxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxx xxxxx kontinuity xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx informačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx xxxx kybernetickému bezpečnostnímu xxxxxxxxx a xxxxxxx xxxxxxx pro xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx §26 a
d) xxxxxxx x xxxxxxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx podle §13 a 14 xxxxxx, xx xxxxxxx xxxxxxxx
1. výsledky xxxxxxxxx xxxxx xxxxxxxxx xxxxxxxx,
2. xxxx dotčených xxxxxxxxxxxxxx xxxxxxxx x
3. xxxxxxxxxxx xxxxxxxxxx negativních xxxxxx xx xxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§15
Kontrola x xxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxxxx a xxxxx uvedená x §3 písm. x) xx x) xxxxxx x rámci kontroly x xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx (xxxx xxx "audit xxxxxxxxxxxx xxxxxxxxxxx")
x) xxxxxxxx xxxxxx bezpečnostních opatření x xxxxxxxx předpisy, xxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx x smluvními xxxxxxx xxxxxxxxxxxx xx x xxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxx xxxxxxxx xxx jeho xxxxxxxxxxx x
x) provádí x xxxxxxxxxxx xxxxxxxxxx kontroly xxxxxxxxxx bezpečnostní xxxxxxxx x xxxxxxxx xxxxxx xxxxxxx xxxxxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx xxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxxx xxxxx §6 xxxx. 6, xxxxx xxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxxxx bezpečnostních xxxxxxxx.
(3) Orgán x xxxxx uvedená v §3 xxxx. x) x d) xxxxxx xxxx xxx informační xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x komunikační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx kontrolu xxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx automatizovaných nástrojů x jejich odborné xxxxxxxxxxx x reaguje xx zjištěné zranitelnosti.
XXXXX II
TECHNICKÁ XXXXXXXX
§16
Xxxxxxx xxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxx fyzické xxxxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx k xxxxxxxx xxxxxxxxxxxxx xxxxxx do xxxxxxxxxx xxxxxxx, xxx xxxx zpracovávány xxxxxxxxx x xxxxxxxx technická xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx x xxxxxxx xx xxxxxxxxxx xxxxxxx, xxx xxxx xxxxxxxx xxxxxxxxx x xxxxxxxx technická xxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému, x
x) xxxxxxxxx poškození, xxxxxxx nebo xxxxxxxx xxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Orgán x xxxxx xxxxxxx v §3 písm. x) x x) zákona xxxx uplatňuje xxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxx xxxxxxxxx xxxxxxx na xxxxxx xxxxxxx x
x) xxx xxxxxxxxx ochrany x xxxxx xxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxx, xx xxxxxxx jsou xxxxxxxx xxxxxxxxx aktiva xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo komunikačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx.
(3) Xxxxxxxxxx xxxxxxx xxxxxxxxxxx jsou xxxxxxx
x) xxxxxxxxxx zábranné prostředky,
b) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx,
x) prostředky omezující xxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx,
x) systémy xxx xxxxxxxx xxxxxx,
x) xxxxxxxx xxxxxxx,
x) xxxxxxxx xxx zajištění ochrany xxxx selháním xxxxxxx xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxx pro zajištění xxxxxxxxxxx xxxxxxxxxx podmínek.
§17
Nástroj xxx ochranu xxxxxxxxx xxxxxxxxxxxxx xxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona pro xxxxxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxx, xxxxx xxxx xxx xxxxxxx xxxxxx nebo xxxxx, x xxxxxxx xxxxxxxxxxx xxxx, která xx xxx xxxxxxx xxxxxx xxxx osoby, xxxxxx
x) xxxxxx xxxxxxxxxx xxxxxxxx xxxx xxxxxx x vnitřní xxxx,
x) xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxxxxxx xxx xxxx xxxxxxxxxxx xxxx sítě xxxxxxxxxxx ke xxxxxxx xxxxxxxxxxx xxxxxxxx dostupných x vnější sítě x k xxxxxxxx xxxxx xxxxxxxxxx vnitřní xxxx s xxxxxx xxxx,
x) xxxxxxxxxxxxxx xxxxxxxxxx (§25) xxx xxxxxxxx xxxxxxx, xxxxxxxxx xxxxxx xxxx pro xxxxxxx xxxxxx bezdrátových xxxxxxxxxxx x
x) opatření xxx xxxxxxxxxx nebo blokování xxxxxxxxxxx xxx, které xxxxxxxxxxxx xxxxxxxxxx xx xxxxxxx xxxxxxxxx komunikační xxxx.
(2) Xxxxx x xxxxx uvedená x §3 písm. c) x x) xxxxxx xxxx xxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxxxx sítě, xxxxx xxxxxxx xxxx xxxxxxxxxx.
§18
Xxxxxxx pro xxxxxxxxx xxxxxxxx xxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 písm. x) xx x) xxxxxx používá xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx x administrátorů xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a významného xxxxxxxxxxxx systému.
(2) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx a administrátorů xxxxxxxxx ověření xxxxxxxx xxxxxxxxx a administrátorů xxxx xxxxxxxxx xxxxxx xxxxxxx v informačním xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxx informačním xxxxxxx.
(3) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxx xxxxxxx autentizaci xxxxx heslem, zajišťuje
a) xxxxxxxxx xxxxx xxxxx xxx xxxxx,
x) xxxxxxxxx xxxxxxxxx hesla tak, xx xxxxx xxxx xxxxxxxxx alespoň 3 x následujících xxxx xxxxxxxxx
1. xxxxxxx xxxxx xxxxx xxxxxxx,
2. nejméně xxxxx malé xxxxxxx,
3. xxxxxxx jednu číslici, xxxx
4. nejméně xxxxx xxxxxxxxx xxxx odlišný xx xxxxxxxxx xxxxxxxxx x xxxxxx 1 xx 3,
c) xxxxxxxxx xxxx xxx xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxxx xxx dnů; xxxxx xxxxxxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(4) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxx xxxxxxx xxx xxxxxxx identity, xxxxx
1. xxxxxx opětovnému xxxxxxxxx xxxxx xxxxxxxxxxx xxxxx x xxxxxxxx xxxx xxxx xxxxx xxxxxxx xxxxxxxxx během xxxxxxxxxxx období, xxxxx xxxx xxx nejméně 24 hodin, x
2. xxxxxxx xxxxxxxx xxxxxxx xxxxxxxx xx určené xxxx xxxxxxxxxx x
x) xxxxxxx xxxxxxx pro xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx. X xxxxxxx, xx xxxxx xxxxxxx využívá xxxxxxxxxxx heslem, xxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxx patnáct xxxxx xxx xxxxxxxx xxxxxxxxx xxxxx odstavce 3 xxxx. x) x x).
(5) Nástroj xxx xxxxxxxxx identity xxxxxxxxx xxxx xxx xxxxxxxx x xxxxxx způsoby, xxx xxxx xxxx xxxxxxxxx x odstavcích 3 xx 5, xxxxx orgán x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx zajišťující xxxxxxx xxxx xxxxx úroveň xxxxxxxxx xxxxx.
§19
Xxxxxxx xxx řízení xxxxxxxxxxxx oprávnění
(1) Xxxxx x xxxxx uvedená x §3 písm. x) xx e) xxxxxx používá xxxxxxx xxx xxxxxx přístupových xxxxxxxxx, xxxxxx xxxxxxx xxxxxx xxxxxxxxx
x) pro xxxxxxx k xxxxxxxxxxx xxxxxxxxx x xxxxx x
x) xxx xxxxx xxx, xxx xxxxx xxx a xxx xxxxx xxxxxxxxx.
(2) Orgán x osoba uvedená x §3 xxxx. x) x x) xxxxxx xxxx xxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxxxxx použití xxxxxxxxxxxx xxxxxxxxx x xxxxxxx x xxxxxxxxxxxxxx potřebami x xxxxxxxx xxxxxxxxx xxxxx.
§20
Xxxxxxx pro xxxxxxx xxxx xxxxxxxxx xxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxx xxxxxx xxxxx xxxxxxxxx s xxxxxxxxx xxxxxxxxxx kódu xxxxxxx xxxxxxx pro xxxxxxx informačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx informačního xxxxxxx xxxx xxxxxxxxx xxxxx, xxxxx zajistí xxxxxxx x stálou kontrolu
a) xxxxxxxxxx xxxx vnitřní xxxx x xxxxxx xxxx,
x) xxxxxxx a xxxxxxxxx datových úložišť x
x) pracovních stanic,
přičemž xxxxxxx pravidelnou x xxxxxxx xxxxxxxxxxx xxxxxxxx xxx ochranu xxxx xxxxxxxxx xxxxx, xxxx xxxxxxx x xxxxxxxx.
§21
Xxxxxxx xxx zaznamenávání xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významných xxxxxxxxxxxx systémů, jejich xxxxxxxxx a xxxxxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxx pro zaznamenávání xxxxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému, xxxxx zajistí
a) xxxx xxxxxxxxx o xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxx činnosti, xxxxx x čas, xxxxxxxxxxxx technického aktiva, xxxxx xxxxxxx xxxxxxxxxxx, xxxxxxxxxxxx původce a xxxxx xxxxxxxx a xxxxxxxxx xxxx neúspěšnost xxxxxxxx x
x) xxxxxxx xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxx xxxxxx nebo xxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxxx pomocí nástroje xxx zaznamenávání xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxxxxxx a xxxxxxxxx xxxxxxxxx x administrátorů,
b) xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxx xx xxxxx přístupových xxxxxxxxx,
x) xxxxxxxxxxx činností x xxxxxxxx nedostatku xxxxxxxxxxxx xxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx uživatelů,
e) xxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx a významného xxxxxxxxxxxx systému,
f) automatická xxxxxxx xxxx xxxxxxx xxxxxxx technických aktiv,
g) xxxxxxxx x xxxxxxxx x xxxxxxxxxx, xxxxxx x xxxxxxxxxx se xxxxxxx x činnostech x změny nastavení xxxxxxxx pro zaznamenávání xxxxxxxx x
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxx xxxxxx změny xxxxx, xxxxx slouží x přihlášení.
(3) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx podle xxxxxxxx 2 xxxxxxxx nejméně xx xxxx 3 xxxxxx.
(4) Xxxxx x xxxxx uvedená v §3 xxxx. c) xx e) zákona xxxxxxxxx xxxxxxx jednou xx 24 hodin xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx technických xxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx.
§22
Xxxxxxx xxx detekci xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) zákona xxxxxxx xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí, xxxxx vychází xx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx x xxxxx xxxxxxx xxxxxxx, xxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx sítí x xxxxxx xxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) a d) xxxxxx dále xxxxxxx xxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx xxxxxxx, xxxxxxxx a xxxxxxxx xxxxxxxxxxx xxxxxxxxxx
x) x xxxxx xxxxxxx xxxxxxxxxxx xxxx x
x) xxxxxxx xxxxxxxxx do xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§23
Xxxxxxx pro xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x osoba uvedená x §3 xxxx. x) x x) xxxxxx xxxxxxx nástroj xxx sběr x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx x xxxxxxx s xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxxx xxxxx xxxxxxx
x) integrovaný xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx pro xxxxxx xxxxxxxxxxxx xxxx o xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x informačním xxxxxxx kritické informační xxxxxxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxx xxxx é xxxxxxxxxx xxxxxxxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxx xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, včetně xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxx zajistí
a) xxxxxxxxxxx aktualizaci nastavení xxxxxxxx xxx vyhodnocování xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxx varování, xxx byly xxxxxxxxx xxxxxxx xxxxxxxxxxx vyhodnocení xxxxxxxx nebo xxxxxxx xxxxxxxxx varování, x
x) xxxxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxxxx nástrojem xxx sběr a xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury a xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§24
Xxxxxxxxx xxxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxxxx bezpečnostní xxxxx zranitelnosti xxxxxxxx, xxxxx xxxx přístupné x xxxxxx xxxx, x xx xxxx xxxxxx uvedením do xxxxxxx x xx xxxxx xxxxxxx změně xxxxxxxxxxxxxx xxxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxx x xxxxx aplikační xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx
x) xxxxxxxx a xxxxxxxxx xxxxxxxxxx x xxxxxx xxxx před neoprávněnou xxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxxxxxxx xxxx xxxxxxxxxxxxxxx xxxxxx x
x) xxxxxxxxx xxxx xxxxxx xxxxxxxxxxxx, nesprávným xxxxxxxxxx, xxxxxxxxxxxxxxx změnou xxxxxxxxxxx xxxxxxxx obsahu, xxxxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxx.
§25
Kryptografické prostředky
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx
x) xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx stanoví
1. xxxxxx xxxxxxx s xxxxxxx xx typ x sílu xxxxxxxxxxxxxxxx xxxxxxxxx x
2. xxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx xxx xxxxxxx xx xxxxxxxxxxxxx sítích xxxx xxx uložení xx xxxxxxx xxxxxxxx nebo xxxxxxxxxxx technické xxxxxx xxx x
x) x xxxxxxx s xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx používá xxxxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxxx důvěrnosti x integrity předávaných xxxx xxxxxxxxxx xxx x průkaznou identifikaci xxxxx xx xxxxxxxxx xxxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) zákona xxxx
x) xxxxxxx pro xxxxxxxxx kryptografických xxxxxxxxxx xxxxxx xxxxxx xxxxx, xxxxx xxxxxxx xxxxxxxxxx, xxxxxxxxxx, ukládání, xxxxxxxxx, xxxxx, xxxxxx, xxxxxxxx x xxxxx xxxxx, x
x) xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx xxxxx; v xxxxxxx nesouladu x xxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx algoritmy xxxxxxxxx x příloze č. 3 x xxxx vyhlášce řídí xxxxxx xxxxxxx s xxxxx nesouladem.
§26
Xxxxxxx xxx xxxxxxxxxxx xxxxxx dostupnosti
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) až e) xxxxxx v xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx hodnocení xxxxx xxxxxxx xxxxxxx xxx xxxxxxxxxxx úrovně xxxxxxxxxxx informací.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a d) xxxxxx xxxxxxx xxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, který xxxxxxx
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx pro xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx kybernetickým xxxxxxxxxxxxx xxxxxxxxxx, které xx xxxxx xxxxxx xxxxxxxxxx, x
x) zálohování xxxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury
1. xxxxxxxx xxxxxxxxxx v xxxxxx xxxxxx x
2. zajištěním xxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxx čase.
§27
Xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx
Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx xxx bezpečnost xxxxxxxxxxxx x xxxxxxxx systémů, xxxxx jsou xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo komunikačním xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx anebo xxxx xxxxxx xxxxxxxx, xxxxxxx xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx fyzického xxxxxxxx x xxxx x xxxxxxxxx průmyslových x xxxxxxxx systémů,
b) omezení xxxxxxxxx x xxxxxxxxxx xxxxxxxx k xxxx xxxxxxxxxxxx a řídicích xxxxxxx,
x) xxxxxxx jednotlivých xxxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxx po xxxxxxxxxxxxx bezpečnostním xxxxxxxxx.
HLAVA XXX
XXXXXXXXXXXX DOKUMENTACE
§28
Bezpečnostní xxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x d) zákona xxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx
x) xxxxxxxxxxxx politiku xxxxx §5 xxxx. 1,
x) xxxxxx x xxxxxx xxxxxxxxxxxx bezpečnosti xxxxx §3 xxxx. 1 xxxx. x),
x) xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx §3 xxxx. 1 písm. x),
x) xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxx xxxxx x pro xxxxxxxxxxxx x xxxxxxxxx xxxxx,
x) xxxxxx x xxxxxxxxx aktiv a xxxxx,
x) xxxxxxxxxx x xxxxxxxxxxxxxxxx,
x) xxxx xxxxxxxx xxxxx,
x) xxxx rozvoje xxxxxxxxxxxxxx povědomí podle §9 xxxx. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xxxxx §13 xxxx. x),
x) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxx §14 odst. 1 xxxx. c) a
k) xxxxxxx xxxxxxxx předpisů, xxxxxxxxx xxxxxxxx a xxxxxx xxxxxxxx a xxxxxxxxx závazků xxxxx §15 xxxx. 1 xxxx. a).
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx
x) xxxxxxxxxxxx politiku xxxxx §5 xxxx. 2,
x) xxxxxxxx pro xxxxxxxxxxxx x hodnocení xxxxx x pro xxxxxxxxxxxx x hodnocení xxxxx xxxxx §4 xxxx. 2 xxxx. x),
x) xxxxxx x hodnocení xxxxx x xxxxx xxxxx §4 xxxx. 2 xxxx. x) x x),
x) xxxxxxxxxx x xxxxxxxxxxxxxxxx xxxxx §4 xxxx. 2 xxxx. x),
x) xxxx xxxxxxxx rizik xxxxx §4 odst. 2 xxxx. e),
f) xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 xxxx. x),
x) xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. x),
x) strategii xxxxxx xxxxxxxxxx xxxxxxxx xxxxx §14 xxxx. 1 xxxx. c) x
x) xxxxxxx právních xxxxxxxx, xxxxxxxxx předpisů x xxxxxx xxxxxxxx x smluvních závazků xxxxx §15 odst. 1 xxxx. x).
(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx xxx, xxx xxxxxxx o xxxxxxxxxxx činnostech byly xxxxx, xxxxxxx, snadno xxxxxxxxxxxxxxxxx x aby xx xxxx xxxxxx xxxxxxxx. Xxxxxxxx xxxxxxxx x identifikaci, xxxxxxx, xxxxxxx, vyhledání, době xxxxxxxxx x uspořádání xxxxxxx o provedených xxxxxxxxxx dokumentuje.
(4) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxx x příloze č. 4 x této xxxxxxxx.
§29
Xxxxxxxxx xxxxxxxxxxx
Xxxxx a xxxxx uvedená x §3 xxxx. c) xx x) xxxxxx, xxxxx informační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxx xxxxxxxxxx systém xx xxxxx xxxxxxx xx xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx byl certifikován xxxxx příslušné xxxxxxxxx xxxxx1) xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx, x která xxxx xxxxxxxxx xxxxxxxxxx
x) xxxxx rozsahu systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx a xxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxx x xxxxxx x xxxxxxxxx xxxxx,
x) xxxxxxxxxx x aplikovatelnosti,
e) xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx informací xxxxxxxxx xxxxxxxxx xxxxxxxxx technické xxxxx xxxxxxxxxx xx xxxxxxxxxxx informací1),
f) xxxxxx x přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx x výstupů přezkoumání x
x) xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx o nápravě xxxxxxxxxx neshod x xxxxxxxxxx xxxxxx,
xxxxxxx požadavky xx zavedení xxxxxxxxxxxxxx xxxxxxxx xxxxx zákona x této xxxxxxxx.
ČÁST TŘETÍ
KYBERNETICKÝ XXXXXXXXXXXX XXXXXXXX
§30
Xxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Xxxxx příčiny xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx typů
a) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx xxxxxxxx xxxxxxx x xxxxxxx xx xxxxxxx xxxx x xxxxxxx dostupnosti služeb,
b) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx škodlivým kódem,
c) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxx xxxxxxxxxx technických xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxx xxxxxx x
x) xxxxxxx kybernetické bezpečnostní xxxxxxxxx xxxxxxxxx kybernetickým xxxxxx.
(2) Xxxxx dopadu xxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx do xxxxxxxxxxxxx typů
a) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx aktiv,
b) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx integrity xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx narušení xxxxxxxxxxx aktiv, xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx kombinaci dopadů xxxxxxxxx x písmenech x) xx x).
§31
Kategorie xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx se podle xxxxxxxx x negativních xxxxxxx kybernetické bezpečnostní xxxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - velmi xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, při xxxxxx xx přímo x xxxxxxxx narušena xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho xxxxxx xxxxxxxx neprodlené xxxxxx xxxxxxx s xxx, xx xxxx xxx xxxxx dostupnými xxxxxxxxxx xxxxxxxxx xxxxxxx šíření xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxxx minimalizace xxxxxxxxx x xxxxxxxxxxxxx xxxx.
x) Xxxxxxxxx XX - xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, při xxxxxx xx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx služeb xxxx xxxxx. Jeho xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx s tím, xx musí xxx xxxxxxxx xxxxxxxxxx zabráněno xxxxxxx šíření xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
x) Xxxxxxxxx X - xxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xxxxxxx k xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxx xxxxxxx x xxx, xx xxxx xxx vhodnými xxxxxxxxxx xxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx škod.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx
x) xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx služby informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) dopady xx xxxxxx poskytované jinými xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačními xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx a
d) xxxxxxxxxxxxx škody x xxxxx xxxxxx.
§32
Xxxxx a náležitosti xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx
x) x elektronické xxxxxx xxxxxxxxxxxxxxx
1. elektronického xxxxxxxxx xxxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
2. xxxxxx na xxxxxx xxxxxxxxxxxx xxxxx Xxxxx xxxxxx pro příjem xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx,
3. xxxxxx zprávy do xxxxxx schránky Úřadu, xxxx
4. xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx, xxxxx
x) x xxxxxxxx podobě na xxxxxx Xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti, xxxxxxxxxx xx internetových stránkách Xxxxx.
(2) Xxxxxxx x xxxxxxxx xxxxxx xx xxxxxx xxxxx x xxxxxxxxx, kdy nelze xxxxxx žádný ze xxxxxxx xxxxxxxxx x xxxxxxxx 1 xxxx. x).
(3) Náležitosti xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxx xxxxxxx v příloze č. 5 k xxxx xxxxxxxx.
XXXX ČTVRTÁ
REAKTIVNÍ OPATŘENÍ X KONTAKTNÍ XXXXX
§33
Xxxxxxxxx xxxxxxxx
Xxxxx a osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxx opatření x jeho xxxxxxxx xx xxxxxxxxx, xxxxx xxxx xx xxxxxx x příloze č. 6 x xxxx vyhlášce.
§34
Xxxxxxxxx údaje
Orgán x xxxxx xxxxxxx v §3 xxxxxx oznamuje xxxxxxxxx xxxxx xx xxxxxxxxx, xxxxx xxxx xx uveden x příloze č. 7 x této xxxxxxxx. Xxxxx a xxxxx xxxxxxx x §3 písm. c) xx x) xxxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxx x §32 xxxx. 1 xxxx. x).
XXXX PÁTÁ
ÚČINNOST
§35
Tato vyhláška xxxxxx xxxxxxxxx dnem 1. xxxxx 2015.
Xxxxxxx:
Xxx. Xxxxxxxx v. r.
Xxxxxxx x. 1 x xxxxxxxx x. 316/2014 Sb.
Hodnocení a xxxxxx důležitosti xxxxx
Xxx xxxxxxxxx xxxxxxxxxxx aktiv xxxx použity xxxxxxxx x čtyřech xxxxxxxx. Xxxxx xxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxx xxxxxxxx xxxxxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, než xxxx xx xxxxxx x xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx jí xxxxxxxxxx xxxxxxxx xxxxxxxxx důležitosti xxxxx a xxxxxxxxxx x xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx xxxx xxxxxxx x této xxxxxxx.
X xxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx je přípustné xxxxxxx buď úrovně xxxxx x xxxxxxx, xxxx úrovně xxxxxx x xxxxxxxx.
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxx jsou xxxxxxx xxxxxxxxx nebo xxxx xxxxxx ke xxxxxxxxxx (xxxx. na xxxxxxx xxxxxx č. 106/1999 Sb., x xxxxxxxxx přístupu x xxxxxxxxxx, xx xxxxx xxxxxxxxxx předpisů). Xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxx oprávněné zájmy xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx. |
Xxxx xxxxxxxxxx xxxxx ochrana. |
|
Střední |
Aktiva xxxxxx xxxxxxx xxxxxxxxx a xxxxx xxxx-xxx orgánu x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx, ochrana aktiv xxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxx nebo xxxxxxxx xxxxxxxxx. |
Xxx ochranu xxxxxxxxxx xxxx využívány xxxxxxxxxx xxx řízení xxxxxxxx. |
|
Xxxxxx |
Xxxxxx nejsou veřejně xxxxxxxxx x xxxxxx xxxxxxx je xxxxxxxxxx xxxxxxxx předpisy, xxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx (xxxx. xxxxxxxx xxxxxxxxx podle xxxxxx č. 89/2012 Sb., xxxxxxxx xxxxxxx, xxxxxx xxxxx xxxxx xxxxxx č. 101/2000 Sb., x xxxxxxx xxxxxxxx xxxxx, xx znění pozdějších xxxxxxxx). |
Xxx ochranu xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, xxxxx zajistí xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx sítí xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxx xxx xxxxx xxxxxxxxx xxxxxxxxx (např. xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxx údaje). |
Pro xxxxxxx xxxxxxxxxx xx xxxxxxxxxx xxxxxxxx xxxx, xxxxx x xxxxxxx přistoupily, x metody ochrany xxxxxxxxxxx xxxxxxxx aktiv xx xxxxxx xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx xxxx xxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxxxxxxx pro xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx nevyžaduje xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxxxx xxxxxxxxxx xxxxxxxxx zájmy xxxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona. |
Není xxxxxxxxxx xxxxx ochrana. |
|
Střední |
Aktivum xxxx xxxxxxxxx xxxxxxx x xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx xxxxxx může xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx orgánu x xxxxx uvedené x §3 xxxx. x) xx x) xxxxxx x může xx xxxxxxxx xxxx xxxxxxxxx xxxxxx xx primární xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx standardní xxxxxxxx (xxxx. xxxxxxx xxxxxxxxxxxx xxxx pro xxxxx). |
|
Xxxxxx |
Xxxxxxx vyžaduje xxxxxxx x hlediska integrity. Xxxxxxxx integrity aktiva xxxx k poškození xxxxxxxxxxx zájmů xxxxxx x osoby uvedené x §3 písm. x) xx x) xxxxxx x xxxxxxxxxxx xxxxxx xx primární xxxxxx. |
Xxx xxxxxxx integrity xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx, které xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx x xxxxxxxxxx xxxxxxxx xxxxx provádějící xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxx xx zajištěna pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx z hlediska xxxxxxxxx. Narušení xxxxxxxxx xxxx x xxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x přímými a xxxxx xxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx osoby xxxxxxxxxxx xxxxx (např. xxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx). |
Xxxxxxxx xxx hodnocení xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxx x v xxxxxxx xxxxxxx xx xxxxx tolerováno delší xxxxxx xxxxxx pro xxxxxxx (xxx xx 1 xxxxx). |
Xxx xxxxxxx xxxxxxxxxxx je xxxxxxxxxxx xxxxxxxxxx zálohování. |
|
Střední |
Narušení xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx xxxx xxxxxxxxxx xxx, xxxxxxxxxxxxx xxxxxxx xxxx x možnému xxxxxxxx xxxxx xxxxxx x xxxxx uvedené x §3 xxxx. x) xx e) xxxxxx. |
Xxx ochranu xxxxxxxxxxx xxxx využívány xxxxx xxxxxx xxxxxxxxxx x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva by xxxxxx xxxxxxxxx dobu xxxxxxxx xxxxx. Jakýkoli xxxxxxx xx xxxxx xxxxx xxxxxxxxxx, xxxxxxx xxxx x xxxxxxx xxxxxxxx zájmů orgánu x osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx. Xxxxxx xxxx považována xxxx velmi xxxxxxxx. |
Xxx xxxxxxx dostupnosti jsou xxxxxxxxx xxxxxxx xxxxxxx x obnova xxxxxxxxxxx xxxxxx může xxx xxxxxxxxx xxxxxx xxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxxx x x krátkodobá xxxxxxxxxxxx (x xxxx xxxxxxxx xxxxx) xxxx k xxxxxxx ohrožení xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx. Xxxxxx xxxx xxxxxxxxxx xxxx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx záložní xxxxxxx x xxxxxx poskytování xxxxxx xx xxxxxxxxxx x xxxxxxxxxxxxxx. |
Xxxxxxx č. 2 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx xxxxx
Xxxxxxxxx xxxxx xx xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxx xxxxx, hrozba x xxxxxxxxxxxx.
Xxx xxxxxxxxx xxxxx xxx xxxxxx xxxxxxx tuto xxxxxx
xxxxxx = xxxxx x xxxxxx x xxxxxxxxxxxx.
Xxxxxxxxxxx xxxxxx xxxxxx pro xxxxxx rizika xx xxxxxxxxx xxxxxxxx metodiky xxx xxxxxxxxxxxx x xxxxxxxxx xxxxxx
|
Xxxxxxxx xxx xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxx je x xxxxxxxx xxxxxxx xxxxxx x xxxxxx xxxxxxx a xxxxx xxx katastrofický. Rozsah případných xxxx xxxxxxxxxxx x) 10 xxxxxxxxx xxxx x xxxxxxxxx hospitalizací xx xxxx xxxxx xxx 24 hodin nebo b) xxxxxxxx xxxx materiální xxxxxx xx 5&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx na xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx nebo xxxxxx xxxxxxxxx zásahu xx každodenního života xxxxxxxxxxxxx nejvýše 250 xxxx. |
|
Xxxxxxx |
Xxxxx je omezeného xxxxxxx x x xxxxxxxx xxxxxxx xxxxxx. Xxxxxx xxxxxxxxxx škod xx xxxxxxxx x rozmezí a) xx 10 xxxxxxx xxxx od 11 xx 100 xxxx x xxxxxxxxx xxxxxxxxxxxxx xx xxxx delší xxx 24 hodin xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xx 5&xxxx;000&xxxx;000 Xx xx 50&xxxx;000&xxxx;000 Xx anebo c) xxxxxxxxxxx dopad xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx od 251 xx 2&xxxx;500 xxxx. |
|
Xxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx, ale xxxxxx xxxx katastrofický. Rozsah xxxxxxxxxx xxxx xx pohybuje x xxxxxxx x) od 11 xx 100 xxxxxxx xxxx od 101 do 1 000 xxxx x xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xx 50&xxxx;000&xxxx;000 Xx do 500&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx veřejnost x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx nebo xxxxxx xxxxxxxxx zásahu xx každodenního xxxxxx xxxxxxxxxxxxx od 2&xxxx;501 xx 25&xxxx;000 xxxx. |
|
Xxxxxxxx |
Xxxxx xx xxxxxx xxxxxxxx, xxxxxx a xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xx xxxxxxxx x rozmezí a) 10 x xxxx xxxxxxx a 1 001 x xxxx xxxx s xxxxxxxxx xxxxxxxxxxxxx po xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx materiální xxxxxx xxxxxxxxxxx 500&xxxx;000&xxxx;000 Kč xxxxx x) xxxxxxxxxxx dopad xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx do xxxxxxxxxxxx života postihujícího xxxx xxx 25&xxxx;000 xxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx nebo xx málo xxxxxxxxxxxxx. Xxxxxxxxxxxxx realizace xxxxxx xxxx častější xxx xxxxxx za 5 xxx. |
|
Xxxxxxx |
Xxxxxx je xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxxxxxxxxxxx realizace xxxxxx xx x xxxxxxx xx 1 roku xx 5 xxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx je x rozpětí od 1 xxxxxx xx 1 roku. |
|
Kritická |
Hrozba xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx xxxxxxxx xxx xxxxxx xx xxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx neexistuje xxxx xx xxxxxxxx xxxxxxxxxxxxx málo xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, které xxxx xxxxxxx včas detekovat xxxxx xxxxxxx nebo xxxxxxxx pokusy x xxxxxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxxxxxx xx xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx. Xxxxxxxxx bezpečnostních xxxxxxxx xxxx detekovat xxxxx xxxxxxx xxxx xxxxxxxx pokusy o xxxxxxxxx xxxxxxxx xx xxxxxxx. Nejsou známé xxxxx xxxxxxx pokusy x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx xx xxxxxxxxxxxxx xx xxxxx pravděpodobná. Xxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxx xxxxxx xxxxxxxx xxxxxxxxx všechny xxxxxxxx xxxxxxx x xxxx xxxxxxxxxx xxxxxxxxxxxx. Jsou xxxxx xxxxx xxxxxxx xxxxxx o xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxxxxxx je xxxxx xxxxxxxxxxxxx xx xx xxxxxxxx xxxxx xxxxxxxx. Bezpečnostní opatření xxxxxx xxxxxxxxxxx xxxxx xx jejich účinnost xxxxxx xxxxxxx. Xxxxxxxxx xxxxxxxx účinnosti xxxxxxxxxxxxxx xxxxxxxx. Jsou xxxxx xxxxxxx pokusy xxxxxxxxx xxxxxxxxxxxxxx opatření. |
|
Stupnice xxx xxxxxxxxx rizik |
|
|
Úroveň |
Popis |
|
Nízké |
Riziko xx xxxxxxxxxx xx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxx x xxxxxxx xxxxx xxxxxxxxxx opatření xx xxxxxx xxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx dlouhodobě xxxxxxxxxxx x xxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxxxxxxxx x xxxx xxx neprodleně xxxxxxxx kroky x xxxx odstranění. |
V xxxxxxx, xx xxxxx nebo xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx metodu xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx, xxxxx xxxxxxxxxxx xxxxxxxxx hrozby a xxxxxxxxxxxxx, xx xxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx x zranitelností xxxxxxx. Xxxxxxxx xxxxxxx xx xxxxxx xxxx xx ztrátě xxxxxxxxxx xxxxxxxxx míry xxxxxx x xxxxxxxxxxxxx. Xx xxxxx účelem lze xxxxxx například xxxxxxxx, xxxxx zřetelně vyjádří xxx xxxxxx xxxxxx, xxx x xxxxxx xxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx x xxxxx xxxx xxxxx xxxxxxx x §3 písm. x) xx x) zákona, xxxxx xxxxxxx jiný xxxxx xxxxxx pro xxxxxxxxx dopadů, xxxxxx, xxxxxxxxxxxxx x xxxxx.
Příloha č. 3 x vyhlášce x. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx algoritmy
a) Xxxxxxx x xxxxxxxx xxxxx xxx ochranu důvěrnosti x integrity
1. Xxxxxxxx Xxxxxxxxxx Xxxxxxxx (XXX) x využitím xxxxx xxxxx 128, 192 x 256 xxxx Xxxxxx Xxxx Xxxxxxxxxx Xxxxxxxx (3XXX) x xxxxxxxx xxxxx xxxxx 168 xxxx, omezené xxxxxxx xxx se xxxxxxxxx xxxxx menším xxx 10 XX, xxxxxxxx xxxxxxxxx xx XXX.
2. Xxxxxx Xxxx Xxxxxxxxxx Standard (3DES) x využitím délky xxxxx 112 xxxx, xxxxxxx xxxxxxx xxx xx zatížením xxxxx xxxxxx xxx 10 XX, xxxxxxxx xxxxxxxxx xx XXX. Xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx xxx xxxxxx xxxxxx.
3. Xxxxxxxx s využitím xxxxxxxxx délky klíčů 128 bitů, omezené xxxxxxx xxx xx xxxxxxxxx klíče xxxxxx xxx 10 GB.
4. Xxxxxx x xxxxxxxx xxxxx xxxxx 128 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX.
5. Twofish x xxxxxxxx délky xxxxx 128 xx 256 bitů.
6. Xxxxxxx x využitím délky xxxxx 128, 192, 256 xxxx.
7. Xxxxxxxx x xxxxxxxx xxxxx xxxxx 128, 192 x 256 xxxx.
8. XXXX 2.0, SNOW 3X x xxxxxxxx xxxxx xxxxx 128, 256 xxxx.
x) Módy xxxxxxxxx x ochranou xxxxxxxxx
1. XXX,
2. XXX,
3. XXX,
4. Xxxxxxx xxxxxxxx xxxx "Encrypt-then-MAC".
Poznámka:
Schémata xxxx "Xxxxxxx-xxxx-XXX",xxxx xxxxxxxx k xxxxxxxxx xxxxx xxxxxxx xxxxxxxxx xxxx x x xxxxxxx MAC xxxxx xxxxxxx xxxx xxx ochranu xxxxxxxxx.
x) Xxxx xxxxxxxxx
1. XXX,
2. XXX,
3. XXX,
4. XXX,
Xxxxxxxx:
Xxxx XXX x XXX xxxx xxx xxxxxxx x xxxxxxxx, pro xxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxxx xxxx OFB xx xxx xxxx xxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxxx xxxxxxx, xxx xxxxxxx xxxx XXX xx xxx xxxx xxxx xxxxx xxxxxxxx xxxxxxx čítače, v xxxxxxx xxxxxxx CBC xxxx x xxxxxxxxx xxx xxxxxxx integrity xx xxxxx xxxxxx xxxxxxxx xxxxx útoku xx padding CBC xxxx.
x) Xxxx xxx xxxxxxx xxxxxxxxx
1. HMAC,
2. XXX-XXX-X9.19, xxxxxxx použití xxx se xxxxxxxxx xxxxxx xxx 109 XXX,
3. XXX-XXX-XXXX,
4. CMAC.
(2) Xxxxxxxxxxx xxxxxxxxx
x) Xxx xxxxxxxxxxx digitálního podpisu
1. Xxxxxxx Xxxxxxxxx Algorithm (XXX) s využitím xxxxx xxxxx 2048 xxxx x xxxx, xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx 224 xxxx x xxxx.
2. Xxxxxxxx Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxxxxx (XX-XXX) x xxxxxxxx xxxxx xxxxx 224 xxxx a xxxx.
3. Rivest-Shamir-Adleman Probablistic Xxxxxxxxx Xxxxxx (XXX-XXX) x xxxxxxxx xxxxx xxxxx 2048 xxxx x více.
b) Xxx xxxxxxx xxxxx na xxxxx x xxxxxxxxx xxxxx
1. Xxxxxx-Xxxxxxx (XX) x xxxxxxxx délky xxxxx 2048 xxxx x xxxx, xxxxx xxxxxxxxx xxxxxxx xxxxxxxx 224 xxxx x xxxx.
2. Elliptic Xxxxx Xxxxxx-Xxxxxxx (XXXX) x xxxxxxxx xxxxx klíčů 224 bitů a xxxx.
3. Xxxxxxxx Curve Xxxxxxxxxx Xxxxxxxxxx Xxxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXXXX-XXX) s xxxxxxxx xxxxx xxxxx 256 xxxx x xxxx.
4. Xxxxxxxx Xxxxxx Xxxxxxxx Curve - Xxx Encapculation Mechanism (XXXX-XXX) x využitím xxxxx klíčů 256 xxxx xxxx.
5. Xxxxxxxxx Xxxxxxx xxx Key Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) x xxxxxxxx xxxxx xxxxx 256 bitů x xxxx.
6. Rivest Xxxxxx Xxxxxxx - Xxxxxxx Xxxxxxxxx Xxxxxxxxxx Xxxxxxx (XXX-XXXX) s xxxxxxxx délky klíčů 2048 x xxxx.
7. Xxxxxx Xxxxxx Xxxxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (RSA-KEM) x xxxxxxxx xxxxx xxxxx 2048 a xxxx.
(3) Xxxxxxxxx xxxx xxxxxx
x) XXX-2
1. SHA-224,
2. XXX-256,
3. XXX-384,
4. XXX-512,
5. SHA-512/224,
6. XXX-512/256.
x) XXX-3
1. SHA3-224,
2. XXX3-256,
3. XXX3-384,
4. SHA3-512,
5. XXXXX-128,
6. XXXXX-256.
x) Xxxxxxx xxxxxxxx funkce
1. Xxxxxxxx,
2. XXXXXX-160,
3. XXX 1 x xxxxxxxx xxxxxxxx.
Xxxxxxxx x. 1:
XXX-1 xx xxxxx používat pro xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx, xxxxxxxx razítek, xxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx XXX-1.
Xxxxxxxx x. 2:
XXX-1 xxx xxxxxxxx pouze pro xxxxxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxx podpisů x xxxxxxxx razítek, generování x xxxxxxxxx XXXX-XXX1, xxxxxx xxx xxxxxxxxxx xxxxx a xxxxxxxxxxxxx xxxxxxxxxx.
Xxxxxxx x. 4 x vyhlášce x. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
Xxxx xxxxxxx xxxxxxxx xxxxxxxxxx obsah xxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx zahrnují xxxxxx, která xxxxxxxxxx xxxxxxxxx podle xxxx xxxxxxxx pokrývají, xxxxxxx xxxxxxx struktury dokumentů xxxxxx xxxxxxx a xx xx xxxxxx xxxx xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx, xxxx xxxxxxx x xxxxxx bezpečnostní xxxxxxxxxxx xxxxxxx. Přípustná xx x xxxxx xxxxx jednotlivých xxxxxxxxx xxxx xxxxxxxxxxx xxxx xxxxx xx xxxxxxx xxxxxxxxx.
X. Struktura xxxxxxxxxxxx xxxxxxxx
(1) Xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx*
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. x)]
x) Xxxx, xxxxxxxx a xxxxxxx řízení bezpečnosti xxxxxxxxx.
x) Xxxxxx x xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxx xxxxxx x xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx pro xxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx a xxxxxxx pro xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla a xxxxxxx pro xxxxxxxx xxxxxxxx x xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx**
[§5 xxxx. 1 xxxx. b), §5 xxxx. 2 písm. x)]
x) Určení bezpečnostních xxxx x xxxxxx xxxx x xxxxxxxxxx,
1. xxxxx x povinnosti xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
2. xxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx bezpečnosti,
3. xxxxx a xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
4. xxxxx a povinnosti xxxxxxx xxxxx,
5. práva x povinnosti xxxxxx xxx řízení kybernetické xxxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx činností xxxxxxxxxxxx xxxxxxxxxxxxxx xxxx.
(3) Xxxxxxxx xxxxxx xxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx a xxxxxxxx xxx výběr xxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxx dodavatelů.
c) Xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxx a xxxxxxx x úrovní xxxxxxxxx xxxxxxxxxxxxxx opatření x x určení xxxxxxxx xxxxxxx xxxxxxxxxxxx.
x) Pravidla xxx xxxxxxxxx xxxxxxxx xxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx.
(4) Politika xxxxxxxxxxx xxxxx**
[§5 xxxx. 1 xxxx. d), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxxxx, hodnocení x xxxxxxxx primárních xxxxx
1. xxxxxx a xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxxxxx xxxxxxxxxxx primárních xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx.
x) Xxxxxxxxxxxx, hodnocení a xxxxxxxx podpůrných xxxxx
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx podpůrných aktiv xxxxxx xxxxxx jejich xxxxxxx,
2. určení xxxxx xxxx primárními a xxxxxxxxxx xxxxxx.
x) Pravidla xxxxxxx xxxxxxxxxxxx úrovní xxxxx
1. způsoby rozlišování xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx pro xxxxxxxxxx x xxxxxxxx aktiv xxxxx xxxxxx aktiv,
3. xxxxxxxxx xxxxxxx používání xxxxx.
x) Xxxxxxx spolehlivého xxxxxxx xxxx ničení xxxxxxxxxxx xxxxxx xxx.
(5) Xxxxxxxx xxxxxxxxxxx lidských xxxxxx**
[§5 xxxx. 1 xxxx. e), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx povědomí x xxxxxxx xxxx xxxxxxxxx
1. xxxxxxx x xxxxx xxxxxxx xxxxxxxxx,
2. xxxxxxx x formy xxxxxxx xxxxxxx xxxxx,
3. xxxxxxx x formy xxxxxxx xxxxxxxxxxxxxx,
4. způsoby a xxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxx případů xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx pracovního xxxxxx xxxx xxxxx xxxxxxxx xxxxxx.
1. xxxxxxx svěřených xxxxx a xxxxxxxx xxxx při xxxxxxxx xxxxxxxxxx xxxxxx,
2. xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxx pozice.
(6) Xxxxxxxx xxxxxx provozu x xxxxxxxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. f)]
a) Xxxxxxxxx x odpovědnosti spojené x xxxxxxxxx provozem.
b) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx auditů kybernetické xxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx.
(7) Xxxxxxxx xxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxx minimálních xxxxxxxxx/xxxxxxx xxxx (xxxx xx know).
b) Xxxxxxxxx xx xxxxxx přístupu.
c) Xxxxxxx xxxxxx xxxxxx xxxxxxxx.
x) Xxxxxx privilegovaných xxxxxxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx přístupových xxxxxxxxx včetně xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx.
(8) Politika xxxxxxxxxx chování xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. h)]
a) Xxxxxxxx xxx xxxxxxxx xxxxxxxxx x xxxxxx.
x) Xxxxxxxx xxxxxxx přístupového xxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx a xxxxxxxx xx xxxxxxxx.
x) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx xxxxxxx xx xxxxxxxxxx xxxxxx.
x) Bezpečnost xx vztahu x xxxxxxxx xxxxxxxxx.
(9) Xxxxxxxx xxxxxxxxxx x xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxx xx zálohování x xxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxxx.
x) Xxxxxxxx bezpečného uložení xxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxx.
x) Xxxxxxxx x xxxxxxx testování xxxxxxxxxx x obnovy.
(10) Xxxxxxxx bezpečného předávání x výměny xxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla x xxxxxxx pro xxxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Způsoby xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx kryptografické xxxxxxx.
(11) Xxxxxxxx řízení xxxxxxxxxxx xxxxxxxxxxxxx**
[§5 odst. 1 xxxx. x)]
x) Xxxxxxxx xxx xxxxxxx instalace xxxxxxxxxxxx vybavení,
b) Pravidla x xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx balíčků,
c) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx vybavení.
(12) Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx*
[§5 xxxx. 1 xxxx. 1)]
x) Xxxxxxxx x xxxxxxx pro xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxx a osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx nedisponuje.
(13) Xxxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxx x postupy xxxxxxxx programového xxxxxxxx x xxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx dodržování xxxxxxxxxx podmínek.
(14) Xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx*
[§5 odst. x xxxx. x)]
x) Xxxxxxxx x postupy xxxxxxxxx xxxxxxxxx x xxxxxxx.
x) Ochrana archivovaných xxxxxxxxx x xxxxxxx.
x) Xxxxxxxx přístupu k xxxxxxxxxxxx dokumentům x xxxxxxxx.
(15) Xxxxxxxx ochrany xxxxxxxx xxxxx*
[§5 odst. x xxxx. x), §5 odst. 2 xxxx. k)]
a) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx údajů.
b) Xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx ochranu xxxxxxxx xxxxx.
x) Popis xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx pro ochranu xxxxxxxx údajů.
(16) Xxxxxxxx xxxxxxx xxxxxxxxxxx**
[§5 odst. x písm. p)]
a) Xxxxxxxx xxx xxxxxxx xxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx pro xxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxx.
(17) Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx a xxxxxxx pro zajištění xxxxxxxxxxx sítě.
b) Xxxxxx xxxx x povinností xx bezpečný xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxxx v xxxxx xxxx.
x) Xxxxxxxx x xxxxxxx pro ochranu xxxxxxxxxx xxxxxxxx x xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxxx xxxxxxxxxx záznamů.
(18) Xxxxxxxx xxxxxxx xxxx škodlivým xxxxx*
[§5 odst. x xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxx x xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx serverů x sdílených xxxxxxxx xxxxxxx.
x) Xxxxxxxx a xxxxxxx pro xxxxxxx xxxxxxxxxx xxxxxx.
(19) Xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx pro detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. n)]
a) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx vyhodnocování a xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx události.
c) Xxxxxxxx x postupy xxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(20) Xxxxxxxx využití x xxxxxx xxxxxxxx pro xxxx a vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx a xxxxxxx xxx evidenci x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Pravidla x postupy pravidelné xxxxxxxxxxx pravidel pro xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Pravidla a xxxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxx xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(21) Xxxxxxxx xxxxxxxxxx používání kryptografické xxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Úroveň xxxxxxx x ohledem xx xxx a xxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx
1. xxx xxxxxxx po xxxxxxxxxxxxx xxxxxx,
2. xxx xxxxxxx xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxx dat,
c) Xxxxxx xxxxxx klíčů.
II. Xxxxxxxxx xxxxx dokumentace
(1) Xxxxxx z xxxxxx xxxxxxxxxxxx xxxxxxxxxxx**
[§28 odst. 1 xxxx. x)]
x) Xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Předmět auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti.
d) Xxxxxxxxxxxxxx xxxx xxxxxxxx x xxxx, které xx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx.
x) Datum x xxxxx, xxx xxxx xxxxxxxxx xxxxxxxx xxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Zjištění z xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
(2) Xxxxxx z xxxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 písm. c)]
a) Xxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) Xxxxxxxxxxxx xxxx x xxxxxxxxx, které xxxxx xxx xxxx xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxx x xxxxxxxxxx řízení xxxxxxxxxxx informací
1. neshody x xxxxxxxx opatření,
2. xxxxxxxx xxxxxxxxxxxx a xxxxxx,
3. výsledky xxxxxx,
4. xxxxxxxx xxxx bezpečnosti,
d) Xxxxxxxx hodnocení xxxxx x xxxx plánu xxxxxxxx xxxxx.
x) Xxxxxxxxxxxx xxxxxxxx pro neustálé xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx opatření x xxxx xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
(3) Xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxx aktiv x pro xxxxxxxxxxxx x hodnocení xxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. b)]
a) Xxxxxx xxxxxxxx xxx xxxxxxxxx primárních xxxxx
1. xxxxxx stupnice pro xxxxxxxxx úrovní důvěrnosti xxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxx,
3. xxxxxx xxxxxxxx pro hodnocení xxxxxx xxxxxxxxxxx aktiv.
b) Xxxxxx xxxxxxxx pro xxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx dopadu,
2. určení xxxxxxxx pro hodnocení xxxxxx xxxxxx,
3. určení xxxxxxxx xxx xxxxxxxxx xxxxxx zranitelnosti,
4. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx rizik,
a) Metody x přístupy pro xxxxxxxx rizik.
b) Xxxxxxx xxxxxxxxxxx přijatelných xxxxx.
(4) Xxxxxx x xxxxxxxxx xxxxx a xxxxx**
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. c)]
a) Xxxxxxx primárních aktiv
1. xxxxxxxxxxxx x popis xxxxxxxxxx xxxxx,
2. určení xxxxxxx primárních xxxxx,
3. xxxxxxxxx primárních xxxxx x xxxxxxxx důvěrnosti, xxxxxxxxx a dostupnosti.
b) Xxxxxxx xxxxxxxxxx xxxxx (xxxxxxx xxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx)
1. identifikace x popis xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx aktiv,
3. xxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx,
x) Xxxxxxxxxxxxxx x xxxxxxxxx xxxxx
1. posouzení xxxxxxx xxxxxx xx xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx xxxxxxxxxxxx opatření,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx xxxx xxxxxx x kritérii xxx xxxxxxxxxxxx xxxxx,
5. určení x schválení xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxx
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. xxxxx xxxxxxxx x xxxxxx xxxxxxxxx.
(5) Xxxxxxxxxx x aplikovatelnosti*
[§28 xxxx. 1 písm. x), §28 odst. 2 písm. x)]
x) Xxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx xxxxxx zdůvodnění xxxxxx xxxxxx x xxxxxx vazby xx xxxxxxxxxxxxxx xxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx opatření.
(6) Xxxx xxxxxxxx xxxxx**
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx a xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx zvládání rizik.
b) Xxxxxxxx zdroje pro xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxx zajišťující xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx hodnocení xxxxxxxxxx xxxxxxxx jednotlivých xxxxxxxxxxxxxx opatření xxx xxxxxxxx rizik.
(7) Xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. f)]
a) Xxxxx a xxxxxxx xxxxxxx xxxxxxxxx.
x) Obsah x xxxxxxx poučení xxxxxxx xxxxx (xxxxxxx xxx orgány x xxxxx xxxxxxx v §3 xxxx. x) xxxxxx).
x) Xxxxx x xxxxxxx xxxxxxx administrátorů (xxxxxxx xxx orgány x xxxxx uvedené x §3 xxxx. x) zákona).
d) Xxxxx x termíny poučení xxxxxxx xxxx zastávajících xxxxxxxxxxxx role.
e) Xxxxx x xxxxxxx poučení xxxxxx zaměstnanců.
f) Xxxxx x způsoby hodnocení xxxxx.
(8) Zvládání kybernetických xxxxxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 písm. i), §28 odst. 2 xxxx. x)]
x) Xxxxxxxxxx xxxxxxxxx kybernetického bezpečnostního xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx systému xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(9) Xxxxxxxxx xxxxxx kontinuity xxxxxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. x)]
x) Xxxxx a xxxxxxxxxx xxxxxxxxxxxx osob.
b) Cíle xxxxxx xxxxxxxxxx xxxxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx,
2. xxxx xxxxxxxx xxxxx,
3. bod xxxxxxxx xxxxx.
x) Xxxxxxxxx xxxxxx xxxxxxxxxx činností pro xxxxxxxx cílů xxxxxxxxxx.
x) Xxxxxxx hodnocení xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx a xxxxxxxxxx souvisejících xxxxx.
x) Xxxxxx x xxxxx xxxxxxxxxx xxxxx kontinuity.
f) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Národním xxxxxxxxxxxxx xxxxxx.
(10) Přehled xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx, vnitřních xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx závazků*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx obecně závazných xxxxxxxx předpisů.
b) Přehled xxxxxxxxx xxxxxxxx a xxxxxx předpisů.
c) Xxxxxxx xxxxxxxxx závazků.
Poznámka:
* Xxxxxxxxx xxxxxxxxx xxxxxxxxx xx xx xxxxxx xxxxxxx xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.
** Xxxxxxxxx xxxxxxxxx xxxxxxxxx xx xx xxxxxx xxxxxx xxxxx stupnice xxxxxxx x příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.
Xxxxxxx č. 5 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního incidentu
Vyplnitelný formulář ve formátu PDF
Xxxxxxx č. 6 x vyhlášce č. 316/2014 Xx.
Xxxxxxxx xxxxxxxx x provedení xxxxxxxxxxx xxxxxxxx x jeho xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx x. 7 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx pro xxxxxxx xxxxxxxxxxx xxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxxxx
Xxxxxx předpis x. 316/2014 Sb. xxxxx xxxxxxxxx dnem 1.1.2015.
Xx xxx xxxxxxxx xxxxxx xxxxxxx xxxxx xxxxx xx xxxxxxxxx.
Xxxxxx xxxxxxx x. 316/2014 Xx. xxx xxxxxx právním xxxxxxxxx č. 82/2018 Sb. x xxxxxxxxx od 28.5.2018.
Xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx není xxxxxxxxxxxxx, xxxxx xx xxxx xxxxxx xxxxxxxxx xxxxx shora xxxxxxxxx xxxxxxxx xxxxxxxx.
1) ISO/IEC 27001:2013, xxxxxxxx XXX XXX/XXX 27001:2014