Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
XXXXXXXX
xx xxx 15. xxxxxxxx 2014
x xxxxxxxxxxxxxx xxxxxxxxxx, kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx opatřeních x x xxxxxxxxx xxxxxxxxxxx podání v xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx o xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx xxxxxxxxxxxx úřad xxxxxxx xxxxx §28 xxxx. 2 zákona x. 181/2014 Xx., x xxxxxxxxxxxx bezpečnosti x o xxxxx xxxxxxxxxxxxx zákonů (xxxxx x xxxxxxxxxxxx xxxxxxxxxxx), (xxxx xxx "xxxxx") x xxxxxxxxx §6 xxxx. x) xx x), §8 xxxx. 4, §13 odst. 4 x §16 xxxx. 6 xxxxxx.
ČÁST XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxxx vyhláškou se xxxxxxx xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxx informační systém xxxxxxxx informační infrastruktury, xxxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx, xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxx xxxxxxxx, xxxx x kategorie xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx x xxxxxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx, náležitosti xxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx a jeho xxxxxxxx x xxxx xxxxxxxx kontaktních xxxxx x xxxx xxxxx.
§2
Vymezení pojmů
V xxxx xxxxxxxx se xxxxxx
x) xxxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx xxxxxxx xxxxxx orgánu x xxxxx xxxxxxx x §3 písm. x) xx x) zákona xxxxxxxx xx přístupu x xxxxxxx xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxx xxxxxx xxxxxxxx, xxxxxxxx, xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx informací,
b) aktivem xxxxxxxx xxxxxxx a xxxxxxxx xxxxxxx,
x) primárním xxxxxxx informace xxxx xxxxxx, xxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx,
x) podpůrným xxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xx xx provozu, xxxxxxx, xxxxxx xxxx xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému,
e) xxxxxxxxxx xxxxxxx technické xxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx, xx kterých xxxx xxxx systémy xxxxxxxx,
x) xxxxxxx xxxxxxx, xx xxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxx xxxxxx,
x) hodnocením xxxxx xxxxxx, xxx xxxx xx xxxxxxxx xxxxxxxxxx rizik x xxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxx rizik xxxxxxx xxxxxxxxxx xxxxxxxxx rizik, xxxxx a zavedení xxxxxxxx xx xxxxxxxx xxxxx, xxxxxxx informací x xxxxxx x xxxxxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxxxx xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxx xxxx xxx xxxxxxxxx aktiva,
j) xxxxxxxxxxxxx xxxxx místo xxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx být xxxxxxxx xxxxxx xxxx xxxx hrozbami,
k) xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxx x pravidel, xxxxx xxxxxx xxxxxx zajištění xxxxxxx xxxxx xxxxxxx x xxxxxx xxxxxxxx x §3 písm. x) xx x) xxxxxx,
x) xxxxxxxx aktiva xxxxxxx xxxxx pověřená xxxxxxx xxxx xxxxxx xxxxxxxx x §3 xxxx. x) xx x) zákona k xxxxxxxxx xxxxxxx, xxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxx xxxxx xxxxxxx moci, xxxxx xxxxxxx primární xxxxxx,
x) administrátorem xxxxxxx xxxxx xxxxxxxx garantem xxxxxx xxxxxxxxxxx xxxxxx, xxxxxx, xxxxxxx, xxxxxx x bezpečnost technického xxxxxx.
XXXX DRUHÁ
BEZPEČNOSTNÍ XXXXXXXX
XXXXX X
XXXXXXXXXXX OPATŘENÍ
§3
Systém xxxxxx xxxxxxxxxxx xxxxxxxxx
(1) Orgán x osoba uvedená x §3 písm. x) x x) xxxxxx v rámci xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) stanoví x xxxxxxx xx xxxxxx x organizační bezpečnost xxxxxx a hranice xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xx xxxxxx xxxx, kterých xxxxxxxxxxxxx xxxxx a xxxxxxxxxxx xxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx,
x) xxxx xxxxxx xxxxx §4 odst. 1,
x) vytvoří x xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx systému xxxxxx xxxxxxxxxxx informací, xxxxx obsahuje xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, práva x xxxxxxxxxx xx vztahu x xxxxxx xxxxxxxxxxx xxxxxxxxx x na xxxxxxx xxxxxxxxxxxxxx potřeb x výsledků hodnocení xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxx xxxxxxxxx podle §5 x zavede xxxxxxxxx xxxxxxxxxxxx opatření,
d) monitoruje xxxxxxxx bezpečnostních opatření,
e) xxxxxxxxxxx vhodnost x xxxxxxxx bezpečnostní politiky xxxxx §5,
x) zajistí xxxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx xxxxx §15, x xx nejméně xxxxxx ročně,
g) xxxxxxx xxxxxxxxxxx účinnosti xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxx systému řízení xxxxxxxxxxx xxxxxxxxx včetně xxxxxx xxxxxxxxx rizik, xxxxxxxxx výsledků xxxxxxxxxxx xxxxxxx a xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx systém xxxxxx bezpečnosti xxxxxxxxx, x xx xxxxxxx xxxxxx ročně,
h) xxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxx systému xxxxxx xxxxxxxxxxx informací a x souvislosti s xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx x
x) xxxx xxxxxx a zdroje xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxxxxxxxx xxxxxxxx xxxxxxx xx xxxxxxxx xxxxxx bezpečnosti informací x řízením rizik.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) zákona x xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxx xxxxxx xxxxx §4 xxxx. 2,
x) xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, která xxxxxxxx xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx a xxxxxxxxxx xx vztahu k xxxxxx bezpečnosti xxxxxxxxx x xx xxxxxxx xxxxxxxxxxxxxx xxxxxx a xxxxxxxx hodnocení xxxxx xxxxxxx bezpečnostní xxxxxxxx x dalších xxxxxxxxx xxxxx §5, a xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x
x) provádí xxxxxxxxxxx xxxxxx o xxxxxxxxx xxxxx a xxxxx, bezpečnostní xxxxxxxx, xxxxx xxxxxxxx rizik x xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx, a xx xxxxxxx jednou xx tři xxxx xxxx x xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx změnami.
§4
Xxxxxx rizik
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) a x) xxxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx identifikaci x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x hodnocení xxxxx xxxxxx xxxxxxxxx xxxxxxxx xxx přijatelnost rizik,
b) xxxxxxxxxxxx x hodnotí xxxxxxxxxx xxxxx, xxxxx xxxxx do xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, podle §8 x xxxxxxx přílohy č. 1 x xxxx xxxxxxxx x xxxxxxx xxxxxxxxx xx xxxxxx o xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx xxxxxxxx xxxxxx a xxxxxxxxxxxxx, xxxxxxx xxxxx xxxxxx xx aktiva, hodnotí xxxx xxxxxx xxxxxxxxx x xxxxxxx xxxxx přílohy č. 2 k xxxx xxxxxxxx, určí x xxxxxxx xxxxxxxxxx rizika x xxxxxxxx xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx rizik prohlášení x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx vybraných x xxxxxxxxxx bezpečnostních xxxxxxxx,
x) zpracuje a xxxxxx xxxx xxxxxxxx xxxxx, xxxxx xxxxxxxx xxxx a přínosy xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx, xxxxxx xxxxx zajišťující prosazování xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, lidské x xxxxxxxxxx zdroje, xxxxxx xxxxxx zavedení x xxxxx vazeb xxxx xxxxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxx bez xxxxxxxxxx odkladu reaktivní x ochranná xxxxxxxx xxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx (xxxx jen "Xxxx") x xxxxxxxxx xxxxx x x xxxxxxx, xx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxx zranitelnosti xxxxxxx x realizací reaktivního xxxx xxxxxxxxxx opatření xxxxxxxx stanovená xxxxxxxx xxx xxxxxxxxxxxx xxxxx, xxxxxx plán xxxxxxxx xxxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. e) xxxxxx x rámci xxxxxx xxxxx
x) stanoví xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxx xxxxx x pro xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxxx stanovení xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxx aktiv, xxxxx patří xx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx §8 minimálně v xxxxxxx přílohy č. 1 k xxxx xxxxxxxx x xxxxxxx xxxxxxxxx xx xxxxxx x xxxxxxxxx xxxxx a rizik,
c) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxxxxx, xxxxxxx xxxxx dopady xx xxxxxxxx aktiva, xxxxxxx xxxx rizika xxxxxxxxx x xxxxxxx xxxxx přílohy č. 2 x této xxxxxxxx x xxxxxxxx xxxxxx o xxxxxxxxx xxxxx x rizik,
d) xxxxxxxx xx základě xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) zpracuje x xxxxxx xxxx xxxxxxxx rizik, který xxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx zvládání xxxxx, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx rizik, xxxxxxxx xxxxxxxx, technické, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxxx jejich xxxxxxxx a popis xxxxx xxxx identifikovanými xxxxxx a xxxxxxxxxxx xxxxxxxxxxxxxx opatřeními x
x) xxxxxxxx xxx xxxxxxxxxx xxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxx xxxxxx Xxxxxx x xxxxxxxxx xxxxx a x xxxxxxx, že hodnocení xxxxx aktualizované o xxxx zranitelnosti xxxxxxx x realizací reaktivního xxxx xxxxxxxxxx opatření xxxxxxxx stanovená xxxxxxxx xxx xxxxxxxxxxxx rizik, xxxxxx plán xxxxxxxx xxxxx.
(3) Xxxxxx xxxxx xxxx xxx xxxxxxxxx x jinými způsoby, xxx xxx je xxxxxxxxx x odstavcích 1 x 2, xxxxx xxxxx x xxxxx xxxxxxx x §3 písm. c) xx e) zákona xxxxxxxxx, že xxxxxxx xxxxxxxx zajišťující stejnou xxxx xxxxx xxxxxx xxxxxx xxxxx.
(4) Xxxxx x osoba uvedená x §3 písm. x) až x) xxxxxx při xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxx xxxxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, zneužití xxxxxxxxx ze xxxxxx xxxxxxxxx x administrátorů,
b) xxxxxxxxx xxxx selhání xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
x) zneužití identity xxxxxxx xxxxx,
x) užívání xxxxxxxxxxxx xxxxxxxx x xxxxxxx x xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx xxxx x xxxxxxxxxxx xxxx,
x) xxxxxxxx xxx (xxxxxxxxx xxxx, xxxxxxx, xxxxxxx xxxx),
x) xxxxxxxxxx při xxxxxxxxxxx služeb xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxxxx,
x) přerušení xxxxxxxxxxx xxxxxx elektronických xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxx xxxxxxxx hrozby x
x) xxxxxxxx xxxx xxxxxxxxx aktiva.
(5) Xxxxx x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx xxx xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného informačního xxxxxxx,
x) nevhodné xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx xxx xxxxxxxxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx jevů, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx x xxxxxxxxxxx odhalit xxxxxx xxxxxxxx nebo xxxxxxx xxxxxxx xxxxxxx x
x) nedostatečné xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, nepřesné xxxx xxxxxxxxxxxxx vymezení xxxx x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxxxxxxxx xxxx.
(6) Orgán x osoba uvedená x §3 xxxx. x) a x) xxxxxx xxx hodnocení xxxxx xxxx xxxxxxx xxxx hrozby
a) porušení xxxxxxxxxxxx politiky, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx xx strany xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) pochybení ze xxxxxx xxxxxxxxxxx,
x) zneužití xxxxxxxxx xxxxxxxxxx, sabotáž,
d) xxxxxxxxxx xxxxxxxxx poskytování xxxxxx elektronických xxxxxxxxxx, xxxxxxx xxxxxxxxxx xxxxxxx xxxx jiných důležitých xxxxxx,
x) nedostatek xxxxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxxxxxxx xxxx xxxxxx sociálního xxxxxxxxxxx, xxxxxxx špionážních xxxxxxx x
x) xxxxxxxx xxxxxxxxxxxxx technických nosičů xxx.
(7) Xxxxx x xxxxx uvedená v §3 písm. x) x x) xxxxxx xxx hodnocení rizik xxxx zvažuje tyto xxxxxxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) nevhodná xxxxxxxxxxxx xxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx x
x) xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxxx.
§5
Bezpečnostní politika
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx stanoví xxxxxxxxxxxx xxxxxxxx x oblastech
a) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxx,
x) xxxxxx xxxxxx x xxxxxxxxxx,
x) xxxxxxxxxxx aktiv,
e) xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxxx,
x) xxxxxx přístupu,
h) xxxxxxxx chování xxxxxxxxx,
x) xxxxxxxxxx a xxxxxx,
x) xxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx zranitelností,
l) xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx a nabývání xxxxxxx programového xxxxxxxx x xxxxxxxxx,
x) dlouhodobé xxxxxxxx a xxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx,
x) fyzická bezpečnost,
q) xxxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxxx xxxxxxxxx xxxxx,
x) nasazení x xxxxxxxxx nástroje pro xxxxxxx kybernetických bezpečnostních xxxxxxxx,
x) xxxxxxx a xxxxxx xxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x
x) používání xxxxxxxxxxxxxx xxxxxxx.
(2) Xxxxx a xxxxx uvedená x §3 xxxx. x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx v oblastech
a) xxxxxx řízení bezpečnosti xxxxxxxxx,
x) xxxxxxxxxxx bezpečnost,
c) xxxxxx dodavatelů,
d) klasifikace xxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxx,
x) řízení xxxxxxx x xxxxxxxxxx,
x) xxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx a xxxxxx,
x) xxxxxxxxxxx x xxxxxxxx licencí xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx před škodlivým xxxxx x
x) xxxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Orgán x osoba xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxxxxxxx hodnotí xxxxxxxx xxxxxxxxxxxx xxxxxxxx x aktualizuje ji.
§6
Organizační xxxxxxxxxx
(1) Xxxxx x osoba uvedená x §3 xxxx. x) až e) xxxxxx xxxxxx xxxxxxxxxx xxxxxx bezpečnosti informací, x rámci xxxxx xxxx výbor xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxx x jejich xxxxx x xxxxxxxxxx xxxxxxxxxxx x informačním xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx systémem xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx systémem.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx určí xxxxxxxxxxxx xxxx
x) manažer xxxxxxxxxxxx bezpečnosti,
b) architekt xxxxxxxxxxxx xxxxxxxxxxx,
x) auditor xxxxxxxxxxxx xxxxxxxxxxx a
d) xxxxxx xxxxxx podle §2 písm. x).
(3) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) určí xxxxxxxxxxxx xxxx xxxxxxxxx xxxxx odstavce 2.
(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx, xxxxxxxxx xx systém xxxxxx xxxxxxxxxxx xxxxxxxxx, která xx xxx tuto xxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx po xxxx xxxxxxx tří xxx.
(5) Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx osoba xxxxxxxxxxx xxxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx opatření, xxxxx je xxx xxxx xxxxxxx xxxxxxxxx x prokáže odbornou xxxxxxxxxxx xxxxx s xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xx dobu xxxxxxx xxx xxx.
(6) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx je xxxxx xxxxxxxxxxx audit xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xx xxx xxxx xxxxxxx vyškolena x xxxxxxx xxxxxxxx způsobilost xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx dobu xxxxxxx xxx xxx. Auditor xxxxxxxxxxxx bezpečnosti xxxxxxxx xxxxx roli nestranně x xxxxx xxxx xxxx xx xxxxxxx xx xxxxxx xxxx xxxxxxxxx v xxxxxxxx 2 písm. x), x) xxxx x).
(7) Xxxxx pro řízení xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx, které jsou xxxxxxxx xxxxxxxx xxxxxxx x rozvojem xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, anebo xx xxxxxxxx xxxxxxxx xx xxxxxx x koordinaci xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx.
(8) Orgán a xxxxx uvedená v §3 písm. x) xx x) xxxxxx xxxxxxx odborné xxxxxxx xxxx, xxxxx xxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxx x xxxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxx §9 odst. 1 xxxx. b).
§7
Xxxxxxxxx bezpečnostních xxxxxxxxx xxx xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx zavede xxxxxxxx xxx xxxxxxxxxx, která xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, a xxxxxxxx je u xxxxxxxxxx nebo xxxxxx xxxx, které xx xxxxxxxx xx xxxxxxx, xxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního systému. Xxxxxx xxxxxxxx xxxxxxxxxx xx xxxxxxx, xxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxxx, jejíž součástí xx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x d) xxxxxx x dodavatelů xxxxxxxxx x xxxxxxxx 1 xxxx
x) xxxx xxxxxxxxx xxxxxxx provádí xxxxxxxxx xxxxx xxxxx přílohy č. 2 x této xxxxxxxx, xxxxx jsou xxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx smlouvu x xxxxxx služeb, xxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxx xxxxx vzájemné xxxxxxx xxxxxxxxxxxx za xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, x
x) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx a pravidelnou xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx u xxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxx nebo xx xxxxxx s xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxx.
§8
Řízení xxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx v rámci xxxxxx aktiv
a) xxxxxxxxxxxx x xxxxxxx primární xxxxxx,
x) určí xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xx primární xxxxxx, x
x) hodnotí xxxxxxxxxx xxxxxxxxxx xxxxx x hlediska xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x xxxxxx xx xx xxxxxxxxxxxx úrovní xxxxxxxxx x xxxxxxx xxxxx přílohy č. 1 x xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx důležitosti primárních xxxxx xx xxxxx xxxxxxxxx xxxxxxxx
x) xxxxxx x xxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxxxxx,
x) xxxxxx dotčených xxxxxxxx povinností xxxx xxxxxx závazků,
c) xxxxxx xxxxxxxx vnitřních řídících x xxxxxxxxxxx činností,
d) xxxxxxxxx xxxxxxxxx, xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxx,
x) xxxxx finanční ztráty,
f) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx orgánu x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x
x) xxxxxx na xxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx xxxxx xxxxxxx.
(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxxxxxxx x eviduje xxxxxxxx xxxxxx,
x) určí xxxxxxx aktiv, xxxxx xxxx xxxxxxxxx xx xxxxxxxx xxxxxx, a
c) xxxx vazby xxxx xxxxxxxxxx x podpůrnými xxxxxx x xxxxxxx xxxxxxxx závislostí mezi xxxxxxxxxx a xxxxxxxxxx xxxxxx.
(4) Xxxxx x xxxxx uvedená x §3 písm. x) xx x) xxxxxx xxxx
x) stanoví pravidla xxxxxxx, xxxxx xxx xxxxxxxxxxx jednotlivých úrovní xxxxx xxx, xx
1. xxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx úrovní xxxxx,
2. xxxxxxx pravidla xxx xxxxxxxxxx x xxxxxxxx x xxxxxx xxxxx xxxxxx xxxxx, včetně xxxxxxxx pro bezpečné xxxxxxxxxxxx xxxxxxx x xxxxxxx přenášení xxxxx x
3. stanoví xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx,
x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx x
x) xxxx xxxxxxx xxx spolehlivé smazání xxxx ničení xxxxxxxxxxx xxxxxx xxx x xxxxxxx xx xxxxxx xxxxx.
§9
Xxxxxxxxxx xxxxxxxx xxxxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx
x) stanoví xxxx rozvoje bezpečnostního xxxxxxxx, xxxxx xxxxxxxx xxxxx, xxxxx x xxxxxx xxxxxxxxxx xxxxxxx x xxxx xxxxx xxxxxxxxxxx realizaci jednotlivých xxxxxxxx, které xxxx x plánu xxxxxxx,
x) x xxxxxxx s xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx zajistí xxxxxxx xxxxxxxxx, administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxx xxxxxxxxxxxx a x xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx x pravidelných xxxxxxx,
x) xxxxxxx kontrolu xxxxxxxxxx bezpečnostní politiky xx xxxxxx uživatelů, xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx bezpečnostní role x
x) zajistí xxxxxxx xxxxxxxxx xxxxx a xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxx ukončení smluvního xxxxxx x xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxx x školení xxxxx xxxxxxxx 1 xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxx a xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxxx
x) xxxxxxx xxxxxxxx xxx xxxxxx xxxx, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx xxxx, xxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx,
x) xxxxxxx účinnost plánu xxxxxxx xxxxxxxxxxxxxx povědomí, xxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx x prohlubováním xxxxxxxxxxxxxx xxxxxxxx,
x) určí xxxxxxxx x postupy xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx bezpečnostních pravidel xx strany xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní xxxx x
x) xxxxxxx změnu xxxxxxxxxxxx oprávnění při xxxxx xxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx bezpečnostní xxxx.
§10
Xxxxxx xxxxxxx x xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx e) xxxxxx x xxxxx xxxxxx xxxxxxx a komunikací xxxxxx technických xxxxxxxx xxxxxxxxx x §21 xx 23 detekuje xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxx x xx xxxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxx x §13.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. c) xx x) xxxxxx x rámci xxxxxx xxxxxxx a komunikací xxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx informačního xxxxxxx. Xx tímto xxxxxx xxxxxxx provozní xxxxxxxx x postupy.
(3) Provozní xxxxxxxx a xxxxxxx xxxxxx a osoby xxxxxxx v §3 xxxx. c) x x) xxxxxx obsahují
a) xxxxx a povinnosti xxxx zastávajících bezpečnostní xxxx, administrátorů x xxxxxxxxx,
x) xxxxxxx xxx xxxxxxxx x ukončení xxxxx systému, xxx xxxxxxx xxxx xxxxxxxx xxxxx systému xx xxxxxxx a xxx xxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxxxxx xxxx,
x) xxxxxxx pro sledování xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxx ochranu xxxxxxxx x záznamům x xxxxxx činnostech,
d) xxxxxxx xx xxxxxxxxx xxxxx, xxxxx jsou xxxxxx jako xxxxxxx xxx xxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxx a
f) xxxxxxx xxx xxxxxxxxx, xxxxxxxxx x řízení kapacity xxxxxxxx a xxxxxxxxxxx xxxxxx.
(4) Xxxxxx xxxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx provedených xxxxx.
(5) Xxxxxx xxxxxxx xxxxxx x xxxxx uvedené x §3 xxxx. x) x x) xxxxxx spočívá v
a) xxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx xxx, že xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx
1. xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, vyhodnotí xxxxx xxxxxxxxx xxxxxx x bez xxxxxxxxxx xxxxxxx xx xxxxxx Xxxxx a
2. stanoví xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, který xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxx, a xxxx xxxxxx plán xxxx xxxxxxxxx.
(6) Xxxxx x xxxxx uvedená x §3 písm. x) x d) xxxxxx x xxxxx xxxxxx xxxxxxxxxx
x) xxxxxxxxx xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx xxxx x bezpečnost xxxxxxxxxxxxx služeb podle §17,
x) xxxx pravidla x xxxxxxx pro xxxxxxx informací, xxxxx xxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx,
x) provádí výměnu x předávání xxxxxxxxx xx xxxxxxx pravidel xxxxxxxxxxx právními předpisy xx současného xxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxx pravidla xxxxxxxxxxx x
x) x ohledem xx xxxxxxxxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxx xx xxxxxxx písemných smluv, xxxxxxx xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx.
§11
Xxxxxx xxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona xx xxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxx potřeb xxxx xxxxxxx x informačnímu xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x významnému informačnímu xxxxxxx x xxxxxxx xxxxxxx uživateli jednoznačný xxxxxxxxxxxxx.
(2) Xxxxx a xxxxx uvedená x §3 písm. x) xx x) xxxxxx xxxxxx opatření, xxxxx xxxxxx k zajištění xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačního xxxxxxx xxxxx §18 x 19, x xxxxx xxxxx xx xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(3) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) zákona xxxx x xxxxx xxxxxx xxxxxxxx
x) xxxxxxx xxxxxxxxxxxxx aplikacím xxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx x odebírá přístupová xxxxxxxxx x souladu x politikou řízení xxxxxxxx,
x) provádí pravidelné xxxxxxxxxxx nastavení přístupových xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx skupinách nebo xxxxxx,
x) xxxxxxx xxxxxxx xxx ověřování xxxxxxxx xxxxxxxxx xxxxx §18 x nástroj xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §19 a
f) xxxxxx bezpečnostní opatření xxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx zařízení, xxxxxxxx i xxxxxxxxxxxx xxxxxxxx spojená s xxxxxxxx technických zařízení, xxxxxxx xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxxxxxxxxx.
§12
Xxxxxxxx, vývoj a xxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxx, xxxxxxx x údržbou a xxxxxx je xx xxxxxxxx xxxxxxxx, xxxxxx x údržby xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) x x) xxxxxx dále
a) xxxxxxxxxxxx, xxxxxxx x xxxx xxxxxx související x xxxxxxxx, xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx; xxx xxxxxxx xxxxxxxxx a xxxxxx xxxxx xx xxxxxxxx xxxxx §4 xxxx. 1 xxxx. a) xxxxxxx xxxxxxx,
x) zajistí xxxxxxxxxx xxxxxxxxxx prostředí x zajistí xxxxxxx xxxxxxxxxxx testovacích xxx x
x) provádí xxxxxxxxxxxx xxxxxxxxx xxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx před jejich xxxxxxxxx do xxxxxxx.
§13
Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxx zvládání xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx, která xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačního xxxxxxx ze xxxxxx xxxxxxxxx, administrátorů a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx a x xxxxxxxxxx vede xxxxxxx,
x) xxxxxxxx prostředí xxx xxxxxxxxxxx xxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx bezpečnostních xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx nástroji xxxxx §21 xx 23, provádí xxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx incidenty,
c) xxxxxxx klasifikaci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxx xxx odvrácení x zmírnění xxxxxx xxxxxxxxxxxxxx bezpečnostního incidentu, xxxxxxx hlášení kybernetického xxxxxxxxxxxxxx xxxxxxxxx podle §32 a zajistí xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx analýzu xxxxxxxxxxxxxx bezpečnostního incidentu,
d) xxxxxxxx x xxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx, xxxxxxxxx účinnost xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xx xxxxxxx xxxxxxxxxxx stanoví xxxxx xxxxxxxxxxxx opatření x zamezení xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a
e) dokumentuje xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
§14
Řízení kontinuity xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx x xxxxx xxxxxx kontinuity xxxxxxxx xxxxxxx
x) xxxxx x povinnosti xxxxxxx xxxxx, administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx úrovně xxxxxxxxxxxxx služeb, xxxxx xx xxxxxxxxxx xxx xxxxxxx, xxxxxx a xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx informačního xxxxxxx,
2. xxxx obnovení xxxxx, xxxxx xxxxx bude xx kybernetickém bezpečnostním xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému, x
3. xxxx xxxxxxxx xxx xxxx termínu, xx xxxxxxx xxxxx xxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx, a
c) xxxxxxxxx řízení xxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx x).
(2) Orgán x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx dále
a) xxxxxxxxx x xxxxxxxxxxx xxxxx xxxxxx kybernetických bezpečnostních xxxxxxxxx x xxxxxxx xxxxx rizika související x xxxxxxxxx kontinuity xxxxxxxx,
x) stanoví, xxxxxxxxxxx x pravidelně xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) realizuje xxxxxxxx xxx zvýšení xxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx x komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x využívá xxxxxxx pro xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx §26 a
d) xxxxxxx x xxxxxxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx podle §13 a 14 xxxxxx, xx kterých xxxxxxxx
1. výsledky xxxxxxxxx xxxxx xxxxxxxxx opatření,
2. xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a
3. xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxx xx provoz a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury.
§15
Xxxxxxxx a xxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Orgán x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx x xxxxx xxxxxxxx x auditu xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačních xxxxxxx (xxxx jen "xxxxx xxxxxxxxxxxx xxxxxxxxxxx")
x) posuzuje xxxxxx xxxxxxxxxxxxxx opatření x právními xxxxxxxx, xxxxxxxxx předpisy, xxxxxx xxxxxxxx a xxxxxxxxx xxxxxxx vztahujícími xx x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxx opatření xxx xxxx prosazování x
x) xxxxxxx a xxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxx těchto xxxxxxx zohlední v xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx a xxxxx xxxxxxxx xxxxx.
(2) Orgán x osoba xxxxxxx x §3 xxxx. x) x d) xxxxxx zajišťuje xxxxxxxxx xxxxxx kybernetické bezpečnosti xxxxxx s odbornou xxxxxxxxxxx podle §6 xxxx. 6, xxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Orgán x xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx xxxx xxx informační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx provádí xxxxxxxx xxxxxxxxxxxxx technických prostředků xxxxxx automatizovaných nástrojů x jejich xxxxxxx xxxxxxxxxxx a reaguje xx xxxxxxxx xxxxxxxxxxxxx.
HLAVA XX
XXXXXXXXX XXXXXXXX
§16
Xxxxxxx xxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx x xxxxx xxxxxxx xxxxxxxxxxx
x) přijme nezbytná xxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxxxx xx xxxxxxxxxx prostor, kde xxxx xxxxxxxxxxxx xxxxxxxxx x umístěna xxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx nezbytná xxxxxxxx x xxxxxxxx xxxxxxxxx x xxxxxxx xx xxxxxxxxxx prostor, kde xxxx xxxxxxxx informace x xxxxxxxx technická xxxxxx informačního xxxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x
x) xxxxxxxxx xxxxxxxxx, xxxxxxx xxxx xxxxxxxx xxxxx nebo xxxxxxxxx xxxxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Orgán a xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxx xxxxxxxxx xxxxxxx xx xxxxxx xxxxxxx x
x) xxx zajištění xxxxxxx x xxxxx xxxxxxx xxxxxxxxxx zvýšené bezpečnosti xxxxxxxxxx prostor, xx xxxxxxx jsou xxxxxxxx xxxxxxxxx xxxxxx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.
(3) Prostředky fyzické xxxxxxxxxxx xxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxx xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx omezující xxxxxxxx xxxxxx,
x) prostředky xxxxxxxxx xxxxxxxx projevů xxxxxxxxx xxxxxxxx,
x) systémy xxx xxxxxxxx vstupu,
f) xxxxxxxx xxxxxxx,
x) xxxxxxxx xxx zajištění xxxxxxx xxxx xxxxxxxx dodávky xxxxxxxxxxxx xxxxxxxx a
h) xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxx.
§17
Xxxxxxx pro xxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxx
(1) Xxxxx x osoba xxxxxxx v §3 xxxx. c) xx x) xxxxxx xxx xxxxxxx integrity xxxxxxxx xxxxxx xxxxxxxxxxx sítě, xxxxx xxxx xxx xxxxxxx xxxxxx nebo xxxxx, x vnitřní xxxxxxxxxxx xxxx, xxxxx xx xxx xxxxxxx xxxxxx xxxx xxxxx, xxxxxx
x) xxxxxx xxxxxxxxxx xxxxxxxx xxxx vnější x xxxxxxx sítí,
b) xxxxxxxxxx zejména použitím xxxxxxxxxxxxxxxxxx xxx jako xxxxxxxxxxx xxxx xxxx xxxxxxxxxxx ke xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx x vnější xxxx x x zamezení xxxxx xxxxxxxxxx xxxxxxx xxxx x vnější xxxx,
x) xxxxxxxxxxxxxx xxxxxxxxxx (§25) xxx xxxxxxxx xxxxxxx, vzdálenou správu xxxx xxx přístup xxxxxx bezdrátových technologií x
x) xxxxxxxx pro xxxxxxxxxx nebo blokování xxxxxxxxxxx dat, xxxxx xxxxxxxxxxxx xxxxxxxxxx xx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx xxxx využívá xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxx, xxxxx xxxxxxx její xxxxxxxxxx.
§18
Xxxxxxx xxx ověřování xxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 písm. x) xx e) xxxxxx používá xxxxxxxx xxx ověření xxxxxxxx xxxxxxxxx x administrátorů xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxx xxx xxxxxxxxx identity xxxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxx xxxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významném xxxxxxxxxxx xxxxxxx.
(3) Xxxxxxx xxx xxxxxxxxx xxxxxxxx uživatelů, xxxxx používá xxxxxxxxxxx xxxxx xxxxxx, xxxxxxxxx
x) xxxxxxxxx délku hesla xxx xxxxx,
x) minimální xxxxxxxxx xxxxx tak, xx xxxxx xxxx xxxxxxxxx alespoň 3 x následujících xxxx xxxxxxxxx
1. xxxxxxx xxxxx xxxxx xxxxxxx,
2. nejméně xxxxx xxxx xxxxxxx,
3. xxxxxxx jednu číslici, xxxx
4. xxxxxxx xxxxx xxxxxxxxx xxxx odlišný xx požadavků xxxxxxxxx x xxxxxx 1 xx 3,
x) xxxxxxxxx xxxx xxx xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxxx xxx dnů; xxxxx xxxxxxxxx xxxx xxxxxxxxx xxx samostatné xxxxxxxxxxxxxx xxxxxxxx.
(4) Orgán x xxxxx uvedená v §3 písm. c) x d) xxxxxx xxxx
x) používá xxxxxxx xxx ověření xxxxxxxx, xxxxx
1. xxxxxx opětovnému xxxxxxxxx xxxxx používaných xxxxx x neumožní xxxx xxxx xxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxx, xxxxx xxxx xxx xxxxxxx 24 xxxxx, a
2. xxxxxxx xxxxxxxx ověření xxxxxxxx xx xxxxxx xxxx xxxxxxxxxx x
x) xxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx. X xxxxxxx, že xxxxx xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxxxx xxxxxxxxx délky xxxxx patnáct xxxxx xxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx. x) x x).
(5) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxx xxx zajištěn x xxxxxx xxxxxxx, xxx xxxx xxxx xxxxxxxxx v xxxxxxxxxx 3 xx 5, xxxxx xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxxxxx, xx používá xxxxxxxx xxxxxxxxxxx stejnou xxxx vyšší xxxxxx xxxxxxxxx xxxxx.
§19
Xxxxxxx xxx xxxxxx xxxxxxxxxxxx oprávnění
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx xxxxxxx xxxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx xxxxxx xxxxxxxxx
x) xxx xxxxxxx k xxxxxxxxxxx xxxxxxxxx a datům x
x) pro xxxxx xxx, xxx xxxxx xxx x pro xxxxx xxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxx xxxxxxx xxxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxx x xxxxxxxxxxxxxx potřebami x xxxxxxxx xxxxxxxxx xxxxx.
§20
Nástroj xxx ochranu xxxx xxxxxxxxx xxxxx
Xxxxx x osoba uvedená x §3 písm. x) xx e) xxxxxx xxx xxxxxx xxxxx spojených x xxxxxxxxx xxxxxxxxxx kódu xxxxxxx nástroj pro xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx škodlivým xxxxx, xxxxx zajistí xxxxxxx x stálou kontrolu
a) xxxxxxxxxx xxxx xxxxxxx xxxx a vnější xxxx,
x) serverů x xxxxxxxxx datových xxxxxxx x
x) xxxxxxxxxx stanic,
přičemž xxxxxxx xxxxxxxxxxx a xxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxx před xxxxxxxxx xxxxx, xxxx xxxxxxx a xxxxxxxx.
§21
Xxxxxxx pro zaznamenávání xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, jejich xxxxxxxxx x xxxxxxxxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačního xxxxxxx, xxxxx xxxxxxx
x) xxxx xxxxxxxxx x provozních x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxx xxxxxxxx, xxxxx a xxx, xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, xxxxx xxxxxxx zaznamenalo, xxxxxxxxxxxx xxxxxxx a xxxxx xxxxxxxx x xxxxxxxxx nebo xxxxxxxxxxx xxxxxxxx x
x) ochranu xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxx xxxxxx xxxx xxxxxx.
(2) Orgán a xxxxx xxxxxxx v §3 xxxx. x) xx e) xxxxxx xxxx pomocí xxxxxxxx xxx xxxxxxxxxxxxx činnosti xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx systému zaznamenává
a) xxxxxxxxxx x xxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxx provedené xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxx ke xxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx činností x xxxxxxxx nedostatku přístupových xxxxxxxxx a xxxxx xxxxxxxxx činnosti xxxxxxxxx,
x) xxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxx nebo xxxxxxx xxxxxxx technických xxxxx,
x) xxxxxxxx k xxxxxxxx x činnostech, xxxxxx x xxxxxxxxxx xx xxxxxxx x činnostech x změny xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx x
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxx xxxxxx xxxxx xxxxx, xxxxx xxxxxx x přihlášení.
(3) Xxxxx x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx záznamy xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxxx xxxxxxx xx dobu 3 xxxxxx.
(4) Xxxxx x xxxxx uvedená x §3 písm. x) xx e) zákona xxxxxxxxx xxxxxxx xxxxxx xx 24 hodin xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx technických aktiv xxxxxxxxx do xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury xxxx významného informačního xxxxxxx.
§22
Nástroj xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx vychází xx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx hodnocení xxxxx x xxxxx xxxxxxx xxxxxxx, kontrolu x xxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxx x xxxxxx sítí.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxx xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx ověření, xxxxxxxx x xxxxxxxx xxxxxxxxxxx komunikace
a) x xxxxx xxxxxxx xxxxxxxxxxx xxxx a
b) serverů xxxxxxxxx do informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§23
Xxxxxxx xxx xxxx x vyhodnocení kybernetických xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 písm. x) x x) xxxxxx xxxxxxx xxxxxxx xxx xxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, který x xxxxxxx x xxxxxxxxxxxxxx potřebami x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx
x) xxxxxxxxxxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí z xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury,
b) xxxxxxxxxxx xxxxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxx xxxx x xxxxxxxxxx infrastruktury a
c) xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxx identifikace xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, včetně xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx xxxxxxx
x) xxxxxxxxxxx xxxxxxxxxxx nastavení xxxxxxxx pro vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x včasné varování, xxx byly xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxx xxxxxxx xxxxxxxxx varování, x
x) xxxxxxxxx xxxxxxxxx, xxxxx xxxx připraveny nástrojem xxx xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxx optimální xxxxxxxxx xxxxxxxxxxxxxx opatření xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury.
§24
Aplikační bezpečnost
(1) Xxxxx x osoba xxxxxxx x §3 písm. x) xx x) xxxxxx provádí xxxxxxxxxxxx xxxxx zranitelnosti xxxxxxxx, xxxxx xxxx xxxxxxxxx x vnější xxxx, x to před xxxxxx uvedením xx xxxxxxx a xx xxxxx xxxxxxx změně xxxxxxxxxxxxxx xxxxxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) a x) xxxxxx xxxx v xxxxx xxxxxxxxx bezpečnosti xxxxxxx trvalou xxxxxxx
x) xxxxxxxx a xxxxxxxxx xxxxxxxxxx x xxxxxx xxxx xxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxx provedených xxxxxxxx, xxxxxxxxxxxx nebo xxxxxxxxxxxxxxx změnou x
x) xxxxxxxxx xxxx jejich xxxxxxxxxxxx, xxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxxxxxx duplikováním xxxx xxxxxxxxxx.
§25
Xxxxxxxxxxxxxx xxxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 písm. x) až e) xxxxxx
x) pro xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx stanoví
1. xxxxxx ochrany s xxxxxxx xx xxx x sílu xxxxxxxxxxxxxxxx xxxxxxxxx x
2. pravidla xxxxxxxxxxxxxx ochrany xxxxxxxxx xxx xxxxxxx po xxxxxxxxxxxxx xxxxxx xxxx xxx xxxxxxx na xxxxxxx zařízení nebo xxxxxxxxxxx technické xxxxxx xxx a
b) v xxxxxxx x bezpečnostními xxxxxxxxx x výsledky xxxxxxxxx rizik xxxxxxx xxxxxxxxxxxxxx prostředky, xxxxx xxxxxxx ochranu xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxx xxx x xxxxxxxxx identifikaci xxxxx xx provedené xxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) stanoví pro xxxxxxxxx xxxxxxxxxxxxxxxx prostředků xxxxxx xxxxxx klíčů, xxxxx zajistí xxxxxxxxxx, xxxxxxxxxx, xxxxxxxx, xxxxxxxxx, xxxxx, xxxxxx, kontrolu x xxxxx xxxxx, x
x) používá xxxxxx xxxxxxxxxxxxxx algoritmy x xxxxxxxxxxxxxx xxxxx; x xxxxxxx xxxxxxxxx s xxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx algoritmy xxxxxxxxx x příloze č. 3 x xxxx xxxxxxxx xxxx xxxxxx xxxxxxx s xxxxx nesouladem.
§26
Xxxxxxx pro xxxxxxxxxxx xxxxxx xxxxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 písm. x) až x) xxxxxx v xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx používá xxxxxxx xxx xxxxxxxxxxx úrovně xxxxxxxxxxx informací.
(2) Xxxxx x osoba uvedená x §3 písm. x) a d) xxxxxx xxxxxxx xxxxxxx xxx zajišťování xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxx
x) xxxxxxxxxx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx pro xxxxxxx xxxx řízení xxxxxxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentům, xxxxx xx xxxxx xxxxxx xxxxxxxxxx, x
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx
1. xxxxxxxx xxxxxxxxxx x xxxxxx xxxxxx a
2. zajištěním xxxxxxxxxx xxxxxxxxxxx aktiv x xxxxxxx xxxx.
§27
Xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx
Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx xxx xxxxxxxxxx průmyslových x xxxxxxxx xxxxxxx, xxxxx xxxx xxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikačním xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxx xxxxxx xxxxxxxx, xxxxxxx xxxxxxxx, xxxxx zajistí
a) xxxxxxx fyzického přístupu x xxxx x xxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx,
x) omezení xxxxxxxxx a xxxxxxxxxx xxxxxxxx k xxxx xxxxxxxxxxxx a řídicích xxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx aktiv průmyslových x xxxxxxxx systémů xxxx xxxxxxxx známých xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx průmyslových x xxxxxxxx xxxxxxx po xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
HLAVA III
BEZPEČNOSTNÍ XXXXXXXXXXX
§28
Xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx a xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx
x) bezpečnostní xxxxxxxx xxxxx §5 odst. 1,
x) xxxxxx z xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §3 odst. 1 xxxx. f),
c) xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx podle §3 xxxx. 1 xxxx. x),
x) metodiku xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x pro xxxxxxxxxxxx x hodnocení xxxxx,
x) zprávu o xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxxxx x xxxxxxxxxxxxxxxx,
x) plán zvládání xxxxx,
x) plán rozvoje xxxxxxxxxxxxxx povědomí xxxxx §9 xxxx. 1 xxxx. x),
x) zvládání xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xxxxx §13 xxxx. x),
x) strategii xxxxxx xxxxxxxxxx xxxxxxxx xxxxx §14 xxxx. 1 xxxx. c) a
k) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx předpisů x xxxxxx předpisů x xxxxxxxxx závazků podle §15 xxxx. 1 xxxx. x).
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx
x) xxxxxxxxxxxx politiku xxxxx §5 odst. 2,
x) xxxxxxxx pro identifikaci x hodnocení xxxxx x pro identifikaci x xxxxxxxxx xxxxx xxxxx §4 xxxx. 2 xxxx. x),
x) xxxxxx x xxxxxxxxx xxxxx a rizik xxxxx §4 odst. 2 xxxx. x) x c),
d) xxxxxxxxxx x xxxxxxxxxxxxxxxx xxxxx §4 xxxx. 2 xxxx. x),
x) xxxx xxxxxxxx rizik xxxxx §4 xxxx. 2 xxxx. x),
x) plán xxxxxxx xxxxxxxxxxxxxx povědomí xxxxx §9 xxxx. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle §13 xxxx. x),
x) xxxxxxxxx xxxxxx kontinuity xxxxxxxx xxxxx §14 odst. 1 xxxx. x) x
x) xxxxxxx právních xxxxxxxx, xxxxxxxxx xxxxxxxx x jiných předpisů x smluvních xxxxxxx xxxxx §15 xxxx. 1 xxxx. x).
(3) Xxxxx x osoba xxxxxxx x §3 xxxx. c) xx x) xxxxxx vede xxxxxxxxxxxx xxxxxxxxxxx xxx, xxx záznamy o xxxxxxxxxxx xxxxxxxxxx xxxx xxxxx, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx x aby xx xxxx xxxxxx xxxxxxxx. Xxxxxxxx xxxxxxxx x identifikaci, uložení, xxxxxxx, xxxxxxxxx, době xxxxxxxxx x xxxxxxxxxx xxxxxxx o xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxxxxx xxxxxxxxx bezpečnostní xxxxxxxxxxx xx xxxxxxxxx x příloze č. 4 k xxxx xxxxxxxx.
§29
Prokázání certifikace
Orgán x xxxxx xxxxxxx v §3 xxxx. c) xx x) xxxxxx, xxxxx xxxxxxxxxx systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx systém kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxx informační xxxxxx xx xxxxx xxxxxxx xx xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxx xxx xxxxxxxxxxxx xxxxx xxxxxxxxx technické xxxxx1) xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx, x která xxxx xxxxxxxxx xxxxxxxxxx
x) xxxxx xxxxxxx systému xxxxxx xxxxxxxxxxx informací,
b) xxxxxxxxxx xxxxxxxx x xxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) popis xxxxxxx metody xxxxxxxxx xxxxx x xxxxxx x xxxxxxxxx xxxxx,
x) xxxxxxxxxx x xxxxxxxxxxxxxxxx,
x) xxxxxxxxxx systému xxxxxx xxxxxxxxxxx informací splňující xxxxxxxxx příslušné technické xxxxx xxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxx1),
x) xxxxxx x přezkoumání systému xxxxxx xxxxxxxxxxx informací xxxxxx xxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxx x
x) zprávu x xxxxxx xxxxxxxxxxx certifikačním xxxxxxx včetně xxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxxxx normou,
splňuje požadavky xx zavedení bezpečnostních xxxxxxxx xxxxx xxxxxx x xxxx xxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX BEZPEČNOSTNÍ XXXXXXXX
§30
Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx příčiny xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobený xxxxxxxxxxxxx útokem nebo xxxxx xxxxxxxx xxxxxxx x xxxxxxx xx xxxxxxx nebo k xxxxxxx dostupnosti xxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxx technických xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx spojený x xxxxxxxx xxxxxx xxxxxxxxxx hrozeb x
x) xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx způsobené xxxxxxxxxxxxx xxxxxx.
(2) Xxxxx xxxxxx xxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx rozděleny do xxxxxxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx narušení xxxxxxxxx xxxxx,
x) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxx
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx v xxxxxxxxx x) xx x).
§31
Xxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx se podle xxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx xxxx do xxxxxxxxxxxxx kategorií
a) Kategorie XXX - xxxxx xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, při kterém xx xxxxx x xxxxxxxx narušena bezpečnost xxxxxxxxxxxxx xxxxxx nebo xxxxx. Jeho řešení xxxxxxxx neprodlené xxxxxx xxxxxxx s xxx, xx xxxx xxx xxxxx dostupnými xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxx.
x) Xxxxxxxxx XX - xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, při xxxxxx xx narušena bezpečnost xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho xxxxxx xxxxxxxx neprodlené xxxxxx xxxxxxx s tím, xx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx šíření kybernetického xxxxxxxxx xxxxxx minimalizace xxxxxxxxx xxxx.
x) Kategorie X - xxxx xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx xxxxxx xxxxxxx k xxxx xxxxxxxxxx narušení xxxxxxxxxxx xxxxxxxxxxxxx služeb xxxx xxxxx. Xxxx xxxxxx xxxxxxxx zásahy xxxxxxx x tím, xx xxxx být vhodnými xxxxxxxxxx xxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
(2) Orgán x xxxxx uvedená x §3 písm. x) xx x) xxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xxxxx odstavce 1 xxxxxxxx
x) xxxxxxxxxx xxxxxxxxx xxxxx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx služby informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) dopady xx xxxxxx poskytované jinými xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxxxx systémy a
d) xxxxxxxxxxxxx škody x xxxxx dopady.
§32
Xxxxx x náležitosti xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
(1) Orgán x xxxxx uvedená x §3 písm. c) xx x) zákona xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx
x) v xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxx
1. elektronického xxxxxxxxx xxxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
2. xxxxxx xx xxxxxx xxxxxxxxxxxx xxxxx Xxxxx xxxxxx xxx xxxxxx xxxxxxx kybernetických bezpečnostních xxxxxxxxx, xxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
3. xxxxxx zprávy do xxxxxx xxxxxxxx Xxxxx, xxxx
4. xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xxxxx je xxxxxxxxx xx internetových xxxxxxxxx Xxxxx, anebo
b) x xxxxxxxx xxxxxx xx xxxxxx Xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, zveřejněné xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxx x xxxxxxxx xxxxxx xx xxxxxx xxxxx v xxxxxxxxx, xxx xxxxx xxxxxx xxxxx xx xxxxxxx xxxxxxxxx x xxxxxxxx 1 xxxx. x).
(3) Xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního incidentu xxxx uvedeny x příloze č. 5 x xxxx xxxxxxxx.
ČÁST XXXXXX
XXXXXXXXX OPATŘENÍ X XXXXXXXXX ÚDAJE
§33
Reaktivní xxxxxxxx
Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona xxxxxx xxxxxxxxx reaktivního opatření x jeho výsledek xx xxxxxxxxx, xxxxx xxxx xx uveden x příloze č. 6 k xxxx vyhlášce.
§34
Xxxxxxxxx xxxxx
Xxxxx a xxxxx xxxxxxx x §3 zákona oznamuje xxxxxxxxx údaje xx xxxxxxxxx, xxxxx xxxx xx xxxxxx x příloze č. 7 x xxxx xxxxxxxx. Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxxxxx xxxxxxxxx údaje xxxxxx uvedenou x §32 xxxx. 1 xxxx. a).
ČÁST XXXX
XXXXXXXX
§35
Xxxx xxxxxxxx xxxxxx xxxxxxxxx dnem 1. xxxxx 2015.
Xxxxxxx:
Xxx. Xxxxxxxx x. x.
Příloha x. 1 x vyhlášce č. 316/2014 Xx.
Xxxxxxxxx a xxxxxx xxxxxxxxxxx xxxxx
Xxx xxxxxxxxx xxxxxxxxxxx aktiv xxxx xxxxxxx stupnice x xxxxxxx xxxxxxxx. Xxxxx xxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx může xxxxxxxx odlišný xxxxx xxxxxx xxx hodnocení xxxxxxxxxxx xxxxx, než xxxx xx xxxxxx x xxxx příloze, xxxxxx-xx jednoznačné vazby xxxx xx používaným xxxxxxxx hodnocení xxxxxxxxxxx xxxxx a xxxxxxxxxx x xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx xxxx uvedeny x xxxx xxxxxxx.
X xxxxxxx xxxxxxx tří xxxxxx hodnocení důležitosti xxxxx xx přípustné xxxxxxx buď úrovně xxxxx a střední, xxxx úrovně xxxxxx x xxxxxxxx.
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxx xxxx xxxxxxx xxxxxxxxx xxxx xxxx xxxxxx xx xxxxxxxxxx (např. xx xxxxxxx xxxxxx č. 106/1999 Sb., x xxxxxxxxx přístupu x xxxxxxxxxx, ve xxxxx xxxxxxxxxx předpisů). Xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx a osoby xxxxxxx v §3 xxxx. c) xx x) zákona. |
Není xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx a xxxxx know-how xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx, ochrana xxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxx jsou xxxxxxxxx xxxxxxxxxx xxx řízení xxxxxxxx. |
|
Xxxxxx |
Xxxxxx xxxxxx veřejně xxxxxxxxx a jejich xxxxxxx xx vyžadována xxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx (např. obchodní xxxxxxxxx xxxxx zákona č. 89/2012 Sb., xxxxxxxx xxxxxxx, xxxxxx xxxxx xxxxx xxxxxx č. 101/2000 Sb., x xxxxxxx xxxxxxxx xxxxx, xx xxxxx xxxxxxxxxx xxxxxxxx). |
Xxx xxxxxxx důvěrnosti xxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxx x zaznamenávání xxxxxxxx. Xxxxxxx informací xxxxxx xxxxxxxxxxx xxxx jsou xxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xxxxxx veřejně xxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx míru xxxxxxx xxx xxxxx předchozí xxxxxxxxx (např. strategické xxxxxxxx tajemství, xxxxxxx xxxxxx xxxxx). |
Xxx xxxxxxx xxxxxxxxxx xx xxxxxxxxxx xxxxxxxx xxxx, xxxxx x xxxxxxx přistoupily, x xxxxxx xxxxxxx xxxxxxxxxxx zneužití xxxxx xx strany xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxxxxxxx pro xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity aktiva xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona. |
Není xxxxxxxxxx xxxxx ochrana. |
|
Střední |
Aktivum xxxx xxxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx xxxx x xxxxxxxxx xxxxxxxxxxx zájmů xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona x xxxx xx xxxxxxxx xxxx xxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx xxxxxxxxx standardní xxxxxxxx (např. xxxxxxx xxxxxxxxxxxx práv xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx vyžaduje xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx aktiva xxxx k xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) až e) xxxxxx x xxxxxxxxxxx xxxxxx na xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány xxxxxxxxx xxxxxxxxxx, které xxxxxxxx xxxxxxxx historii provedených xxxx a xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx prostředků. |
|
Kritická |
Aktivum xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx x xxxxx xxxxxxx poškození oprávněných xxxxx xxxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx x xxxxxxx a xxxxx xxxxxxx xxxxxx xx xxxxxxxx aktiva. |
Pro ochranu xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (xxxx. pomocí xxxxxxxxxxx digitálního podpisu). |
Stupnice xxx xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx není xxxxxxxx a x xxxxxxx výpadku je xxxxx tolerováno xxxxx xxxxxx xxxxxx pro xxxxxxx (xxx do 1 xxxxx). |
Xxx xxxxxxx xxxxxxxxxxx je xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx dobu pracovního xxx, xxxxxxxxxxxxx xxxxxxx xxxx k xxxxxxx xxxxxxxx zájmů xxxxxx x osoby uvedené x §3 xxxx. x) xx x) xxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xx xxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxx. Xxxxxxxx xxxxxxx xx xxxxx xxxxx neprodleně, xxxxxxx xxxx k přímému xxxxxxxx zájmů xxxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx. Xxxxxx xxxx považována xxxx xxxxx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx záložní xxxxxxx x obnova xxxxxxxxxxx xxxxxx xxxx xxx xxxxxxxxx xxxxxx xxxxxxx xxxx výměnou xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxxx x x krátkodobá xxxxxxxxxxxx (x xxxx několika xxxxx) xxxx k xxxxxxx ohrožení zájmů orgánu x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx. Xxxxxx xxxx xxxxxxxxxx xxxx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx systémy x xxxxxx xxxxxxxxxxx xxxxxx je krátkodobá x xxxxxxxxxxxxxx. |
Xxxxxxx x. 2 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxxx xxxxx
Xxxxxxxxx xxxxx je vyjádřeno xxxx xxxxxx, xxxxxx xxxxxxxxx xxxxx, hrozba x xxxxxxxxxxxx.
Xxx hodnocení xxxxx xxx použít xxxxxxx xxxx funkci
riziko = xxxxx x xxxxxx x xxxxxxxxxxxx.
Xxxxxxxxxxx xxxxxx xxxxxx xxx xxxxxx xxxxxx xx xxxxxxxxx součástí xxxxxxxx xxx xxxxxxxxxxxx a xxxxxxxxx rizika
|
Stupnice xxx xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxx je x xxxxxxxx xxxxxxx xxxxxx a malého xxxxxxx a xxxxx xxx xxxxxxxxxxxxx. Xxxxxx případných xxxx xxxxxxxxxxx x) 10 xxxxxxxxx xxxx x xxxxxxxxx xxxxxxxxxxxxx po xxxx delší xxx 24 xxxxx nebo b) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xx 5&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx omezením xxxxxxxxxx služeb nebo xxxxxx xxxxxxxxx xxxxxx xx každodenního života xxxxxxxxxxxxx nejvýše 250 xxxx. |
|
Xxxxxxx |
Xxxxx je xxxxxxxxx xxxxxxx x x xxxxxxxx xxxxxxx období. Rozsah xxxxxxxxxx xxxx xx xxxxxxxx v xxxxxxx x) xx 10 xxxxxxx xxxx xx 11 xx 100 osob x následnou xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx xxxx x) finanční xxxx xxxxxxxxxx xxxxxx od 5&xxxx;000&xxxx;000 Xx xx 50&xxxx;000&xxxx;000 Kč xxxxx x) xxxxxxxxxxx dopad xx xxxxxxxxx s rozsáhlým xxxxxxxx nezbytných xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xx 251 do 2&xxxx;500 xxxx. |
|
Xxxxxx |
Xxxxx xx omezeného xxxxxxx, xxx xxxxxx xxxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xx xxxxxxxx x xxxxxxx x) od 11 xx 100 xxxxxxx xxxx xx 101 xx 1 000 osob s xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx než 24 xxxxx xxxx x) xxxxxxxx nebo materiální xxxxxx xx 50 000 000 Xx do 500&xxxx;000&xxxx;000 Xx anebo c) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx života xxxxxxxxxxxxx xx 2 501 xx 25&xxxx;000 xxxx. |
|
Xxxxxxxx |
Xxxxx xx xxxxxx xxxxxxxx, xxxxxx x katastrofický. Rozsah xxxxxxxxxx škod se xxxxxxxx x rozmezí a) 10 a xxxx xxxxxxx x 1 001 x xxxx xxxx s xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx nebo b) xxxxxxxx xxxx materiální xxxxxx xxxxxxxxxxx 500&xxxx;000&xxxx;000 Xx xxxxx x) představuje xxxxx xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx života xxxxxxxxxxxxx xxxx xxx 25 000 xxxx. |
|
Xxxxxxxx pro xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx xxxx xx xxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxx xxxxxxxx než xxxxxx za 5 xxx. |
|
Xxxxxxx |
Xxxxxx je xxxx xxxxxxxxxxxxx xx pravděpodobná. Xxxxxxxxxxxxx xxxxxxxxx hrozby xx v xxxxxxx xx 1 xxxx xx 5 xxx. |
|
Xxxxxx |
Xxxxxx xx pravděpodobná xx xxxxx pravděpodobná. Předpokládaná xxxxxxxxx xxxxxx xx x rozpětí xx 1 měsíce do 1 xxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx je xxxxxxxx xxx jednou xx xxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx xxxx je xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxxx. Xxxxxxxx kvalitní xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxx xxxx detekovat xxxxx xxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxxxxxx je xxxx xxxxxxxxxxxxx až xxxxxxxxxxxxx. Existují xxxxxxxx xxxxxxxxxxxx xxxxxxxx, jejichž xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx. Xxxxxxxxx bezpečnostních xxxxxxxx včas xxxxxxxxx xxxxx slabiny xxxx xxxxxxxx xxxxxx o xxxxxxxxx xxxxxxxx xx xxxxxxx. Nejsou xxxxx xxxxx xxxxxxx xxxxxx x překonání xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx xx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxx potřebné xxxxxxx x xxxx xxxxxxxxxx xxxxxxxxxxxx. Xxxx xxxxx dílčí úspěšné xxxxxx o xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx xx xx xxxxxxxx xxxxx xxxxxxxx. Xxxxxxxxxxxx opatření xxxxxx xxxxxxxxxxx xxxxx xx xxxxxx účinnost xxxxxx xxxxxxx. Xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Xxxx xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx rizik |
|
|
Úroveň |
Popis |
|
Nízké |
Riziko xx xxxxxxxxxx xx přijatelné. |
|
Střední |
Riziko xxxx xxx xxxxxxx xxxx xxxxxxxxx opatřeními xxxx v xxxxxxx xxxxx náročnosti xxxxxxxx xx xxxxxx xxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx dlouhodobě xxxxxxxxxxx x xxxx xxx xxxxxxxx xxxxxxxxxxxx kroky x xxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxxxxxxxx x xxxx xxx neprodleně xxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
X případě, xx xxxxx nebo xxxxx xxxxxxx v §3 písm. c) xx x) zákona xxxxxxx xxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx, xxxxx xxxxxxxxxxx xxxxxxxxx hrozby x xxxxxxxxxxxxx, je xxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx a zranitelností xxxxxxx. Xxxxxxxx xxxxxxx xx xxxxxx vést xx xxxxxx schopnosti xxxxxxxxx xxxx xxxxxx x xxxxxxxxxxxxx. Xx xxxxx účelem xxx xxxxxx například xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxx xxxxxx hrozby, xxx i xxxxxx xxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx x xxxxx xxxx xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx, xxxxx používá jiný xxxxx xxxxxx xxx xxxxxxxxx xxxxxx, hrozeb, xxxxxxxxxxxxx a xxxxx.
Příloha x. 3 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxx
x) Xxxxxxx x xxxxxxxx šifry xxx xxxxxxx důvěrnosti x integrity
1. Xxxxxxxx Xxxxxxxxxx Standard (AES) x xxxxxxxx délky xxxxx 128, 192 x 256 xxxx Xxxxxx Data Xxxxxxxxxx Xxxxxxxx (3DES) s xxxxxxxx délky xxxxx 168 xxxx, xxxxxxx xxxxxxx jen se xxxxxxxxx xxxxx menším xxx 10 XX, xxxxxxxx přecházet na XXX.
2. Triple Xxxx Xxxxxxxxxx Xxxxxxxx (3XXX) x xxxxxxxx délky xxxxx 112 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx než 10 XX, xxxxxxxx xxxxxxxxx xx XXX. Doporučeno xxxxxxx xxxxxxxxxxx xxxxx xxx xxxxxx xxxxxx.
3. Xxxxxxxx x využitím xxxxxxxxx délky xxxxx 128 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx klíče xxxxxx xxx 10 XX.
4. Xxxxxx x xxxxxxxx xxxxx xxxxx 128 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx než 10 XX.
5. Twofish x xxxxxxxx xxxxx xxxxx 128 až 256 xxxx.
6. Xxxxxxx x využitím délky xxxxx 128, 192, 256 xxxx.
7. Camellia x xxxxxxxx xxxxx xxxxx 128, 192 x 256 xxxx.
8. XXXX 2.0, SNOW 3X x xxxxxxxx xxxxx xxxxx 128, 256 bitů.
b) Módy xxxxxxxxx x ochranou xxxxxxxxx
1. XXX,
2. XXX,
3. XXX,
4. Složená schémata xxxx "Xxxxxxx-xxxx-XXX".
Xxxxxxxx:
Xxxxxxxx xxxx "Xxxxxxx-xxxx-XXX",xxxx xxxxxxxx x xxxxxxxxx xxxxx uvedené xxxxxxxxx xxxx x x výpočtu XXX xxxxx uvedené xxxx xxx xxxxxxx integrity.
c) Xxxx šifrování
1. XXX,
2. XXX,
3. CBC,
4. CFB,
Poznámka:
Módy XXX x XXX xxxx xxx xxxxxxx x náhodným, xxx xxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, při xxxxxxx xxxx XXX xx xxx xxxx klíč xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxxx xxxxxxx, xxx xxxxxxx xxxx XXX xx xxx daný xxxx xxxxx opakovat xxxxxxx xxxxxx, x xxxxxxx xxxxxxx CBC xxxx x šifrování xxx xxxxxxx xxxxxxxxx xx třeba xxxxxx xxxxxxxx xxxxx xxxxx xx padding XXX xxxx.
x) Módy xxx xxxxxxx xxxxxxxxx
1. XXXX,
2. XXX-XXX-X9.19, omezené použití xxx xx zatížením xxxxxx než 109 XXX,
3. XXX-XXX-XXXX,
4. CMAC.
(2) Xxxxxxxxxxx xxxxxxxxx
x) Pro xxxxxxxxxxx digitálního xxxxxxx
1. Xxxxxxx Xxxxxxxxx Xxxxxxxxx (XXX) s využitím xxxxx xxxxx 2048 xxxx x xxxx, xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx 224 xxxx x xxxx.
2. Xxxxxxxx Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxxxxx (EC-DSA) s xxxxxxxx xxxxx xxxxx 224 xxxx x xxxx.
3. Xxxxxx-Xxxxxx-Xxxxxxx Xxxxxxxxxxxx Xxxxxxxxx Xxxxxx (RSA-PSS) x využitím xxxxx xxxxx 2048 bitů x xxxx.
x) Xxx xxxxxxx xxxxx na xxxxx x xxxxxxxxx xxxxx
1. Xxxxxx-Xxxxxxx (XX) x xxxxxxxx xxxxx xxxxx 2048 xxxx x xxxx, xxxxx xxxxxxxxx xxxxxxx xxxxxxxx 224 xxxx x xxxx.
2. Xxxxxxxx Curve Xxxxxx-Xxxxxxx (ECDH) s xxxxxxxx délky xxxxx 224 xxxx x xxxx.
3. Elliptic Xxxxx Xxxxxxxxxx Xxxxxxxxxx System - Key Encapculation Xxxxxxxxx (ECIES-KEM) s xxxxxxxx xxxxx klíčů 256 bitů x xxxx.
4. Xxxxxxxx Xxxxxx Xxxxxxxx Curve - Xxx Encapculation Xxxxxxxxx (XXXX-XXX) x využitím xxxxx xxxxx 256 xxxx xxxx.
5. Xxxxxxxxx Xxxxxxx xxx Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) x xxxxxxxx xxxxx xxxxx 256 xxxx x xxxx.
6. Rivest Xxxxxx Xxxxxxx - Xxxxxxx Xxxxxxxxx Xxxxxxxxxx Xxxxxxx (XXX-XXXX) s xxxxxxxx xxxxx xxxxx 2048 x xxxx.
7. Xxxxxx Xxxxxx Xxxxxxx - Key Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) s xxxxxxxx xxxxx xxxxx 2048 x xxxx.
(3) Xxxxxxxxx xxxx xxxxxx
x) XXX-2
1. XXX-224,
2. SHA-256,
3. XXX-384,
4. SHA-512,
5. SHA-512/224,
6. XXX-512/256.
x) XXX-3
1. XXX3-224,
2. XXX3-256,
3. XXX3-384,
4. XXX3-512,
5. XXXXX-128,
6. SHAKE-256.
c) Xxxxxxx xxxxxxxx xxxxxx
1. Whirpool,
2. XXXXXX-160,
3. XXX 1 x xxxxxxxx použitím.
Poznámka x. 1:
SHA-1 xx xxxxx xxxxxxxx xxx xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx, xxxxxxxx xxxxxxx, xxxxxxxxx jiné aplikace xxxxxxxxxx xxxxxxxxx XXX-1.
Xxxxxxxx x. 2:
XXX-1 xxx xxxxxxxx xxxxx pro xxxxxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxx podpisů x xxxxxxxx razítek, xxxxxxxxxx x ověřování XXXX-XXX1, xxxxxx xxx odvozování xxxxx x xxxxxxxxxxxxx xxxxxxxxxx.
Xxxxxxx x. 4 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
Xxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx, xxxxx xxxxxxxxxx xxxxxxxxx xxxxx této xxxxxxxx pokrývají, xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx a xx xx xxxxxx xxxx xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx, xxxx xxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx použije. Xxxxxxxxx xx x xxxxx xxxxx jednotlivých xxxxxxxxx xxxx xxxxxxxxxxx xxxx xxxxx xx jednoho xxxxxxxxx.
X. Xxxxxxxxx xxxxxxxxxxxx xxxxxxxx
(1) Xxxxxxxx xxxxxxx xxxxxx bezpečnosti informací*
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. a)]
a) Xxxx, xxxxxxxx a xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Rozsah a xxxxxxx systému řízení xxxxxxxxxxx informací.
c) Xxxxxxxx x xxxxxxx pro xxxxxx xxxxxxxxxxx.
x) Pravidla x postupy xxx xxxxxx xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla a xxxxxxx pro nápravná xxxxxxxx a zlepšování xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxxx organizační xxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxx xxxxxxxxxxxxxx xxxx x xxxxxx xxxx x xxxxxxxxxx,
1. xxxxx x povinnosti xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
2. xxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
3. xxxxx x povinnosti xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
4. xxxxx x xxxxxxxxxx xxxxxxx aktiv,
5. práva x xxxxxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx bezpečnostních xxxx.
(3) Xxxxxxxx xxxxxx xxxxxxxxxx**
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x xxxxxxxx xxx xxxxx dodavatelů.
b) Xxxxxxxx xxx xxxxxxxxx xxxxx xxxxxxxxxx.
x) Xxxxxxxxxxx xxxxxxx o xxxxxx xxxxxx x xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a x xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx.
x) Xxxxxxxx xxx provádění xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx.
(4) Politika klasifikace xxxxx**
[§5 xxxx. 1 xxxx. d), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxxxx, hodnocení x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx a xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx garanta,
2. xxxxxxxxx xxxxxxxxxxx primárních xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx podpůrných xxxxx
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx podpůrných aktiv xxxxxx určení xxxxxx xxxxxxx,
2. xxxxxx vazeb xxxx xxxxxxxxxx x xxxxxxxxxx aktivy.
c) Xxxxxxxx xxxxxxx xxxxxxxxxxxx úrovní xxxxx
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx úrovní xxxxx,
2. xxxxxxxx pro manipulaci x evidenci xxxxx xxxxx xxxxxx aktiv,
3. xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx.
x) Způsoby spolehlivého xxxxxxx xxxx ničení xxxxxxxxxxx nosičů dat.
(5) Xxxxxxxx xxxxxxxxxxx lidských xxxxxx**
[§5 odst. 1 xxxx. e), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxx hodnocení
1. xxxxxxx x formy xxxxxxx xxxxxxxxx,
2. xxxxxxx x formy xxxxxxx xxxxxxx xxxxx,
3. xxxxxxx x formy xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx x xxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxxxxxxxxx školení xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx pracovního xxxxxx xxxx xxxxx xxxxxxxx xxxxxx.
1. vrácení xxxxxxxxx xxxxx a xxxxxxxx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxx,
2. změna xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxx pozice.
(6) Xxxxxxxx xxxxxx provozu x xxxxxxxxxx**
[§5 odst. 1 písm. f), §5 xxxx. 2 xxxx. f)]
a) Xxxxxxxxx x odpovědnosti spojené x xxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxx.
x) Řízení xxxxxxxxxxx xxxxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx.
(7) Xxxxxxxx xxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. g), §5 xxxx. 2 písm. x)]
x) Xxxxxxx minimálních xxxxxxxxx/xxxxxxx xxxx (xxxx xx xxxx).
x) Xxxxxxxxx xx řízení xxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxx xxxxxxxx.
x) Řízení xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxx xxxxxxxxxxxx uživatelů x xxxxxxxxxxxx xxxxxxxxx.
(8) Politika xxxxxxxxxx xxxxxxx uživatelů*
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx xxx bezpečné xxxxxxxxx x aktivy.
b) Xxxxxxxx použití xxxxxxxxxxxx xxxxx.
x) Bezpečné xxxxxxx xxxxxxxxxxxx xxxxx x xxxxxxxx xx xxxxxxxx.
x) Xxxxxxxx xxxxxxxx přístup.
e) Xxxxxxxx xxxxxxx xx xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx xx xxxxxx k xxxxxxxx xxxxxxxxx.
(9) Politika xxxxxxxxxx x obnovy**
[§5 xxxx. 1 písm. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxxx xx zálohování x obnovu.
b) Pravidla x postupy xxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxx x xxxxxx.
(10) Xxxxxxxx bezpečného xxxxxxxxx x výměny xxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla a xxxxxxx xxx ochranu xxxxxxxxxxx informací.
b) Způsoby xxxxxxx elektronické xxxxxx xxxxxxxxx.
x) Pravidla xxx xxxxxxxxx xxxxxxxxxxxxxx ochrany.
(11) Xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx**
[§5 xxxx. 1 xxxx. k)]
a) Xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx vybavení,
b) Xxxxxxxx x xxxxxxx vyhledávání xxxxxxxxx programových xxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxxx oprav xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
(12) Xxxxxxxx xxxxxxxxxx používání mobilních xxxxxxxx*
[§5 odst. 1 xxxx. 1)]
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx zajištění xxxxxxxxxxx zařízení, xxxxxxx xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx xxxxxxxxxxx.
(13) Xxxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxx programového xxxxxxxx a xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 odst. 2 písm. j)]
a) Xxxxxxxx a postupy xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxx dodržování xxxxxxxxxx xxxxxxxx.
(14) Xxxxxxxx xxxxxxxxxxxx ukládání x xxxxxxxxx xxxxxxxxx*
[§5 odst. x xxxx. x)]
x) Xxxxxxxx a postupy xxxxxxxxx dokumentů x xxxxxxx.
x) Ochrana archivovaných xxxxxxxxx a xxxxxxx.
x) Xxxxxxxx xxxxxxxx x xxxxxxxxxxxx dokumentům x xxxxxxxx.
(15) Politika ochrany xxxxxxxx údajů*
[§5 xxxx. x písm. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx údajů.
b) Xxxxx přijatých a xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx ochranu xxxxxxxx xxxxx.
(16) Politika xxxxxxx bezpečnosti**
[§5 xxxx. x písm. x)]
x) Xxxxxxxx xxx xxxxxxx xxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx xxx ochranu xxxxxxxx.
x) Detekce xxxxxxxx xxxxxxx bezpečnosti.
(17) Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxx zajištění xxxxxxxxxxx sítě.
b) Xxxxxx xxxx a xxxxxxxxxx xx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxx xxxxxxxx x xxxxx xxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxxxxx přístupu x xxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.
(18) Xxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx*
[§5 odst. l xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxx x xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx ochranu xxxxxxx x xxxxxxxxx datových xxxxxxx.
x) Pravidla a xxxxxxx pro ochranu xxxxxxxxxx stanic.
(19) Politika xxxxxxxx a používání xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí**
[§5 xxxx. 1 písm. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxx a postupy xxxxxxxx nástroje pro xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx xxxxxxxxxxxxx x xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx události.
c) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
(20) Xxxxxxxx xxxxxxx a xxxxxx xxxxxxxx xxx xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla x xxxxxxx xxx xxxxxxxx x vyhodnocení kybernetických xxxxxxxxxxxxxx událostí.
b) Xxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxx xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
(21) Xxxxxxxx xxxxxxxxxx používání xxxxxxxxxxxxxx xxxxxxx**
[§5 xxxx. 1 xxxx. u), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxx x ohledem xx xxx a xxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla xxxxxxxxxxxxxx ochrany informací
1. xxx přenosu xx xxxxxxxxxxxxx xxxxxx,
2. xxx xxxxxxx xx mobilní xxxxxxxx xxxx vyměnitelný xxxxxxxxx nosič xxx,
x) Xxxxxx xxxxxx klíčů.
II. Xxxxxxxxx xxxxx dokumentace
(1) Xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx**
[§28 odst. 1 xxxx. x)]
x) Xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Předmět xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx týmu xxxxxxxx x xxxx, xxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx.
x) Xxxxx x místo, xxx xxxx xxxxxxxxx xxxxxxxx xxx auditu kybernetické xxxxxxxxxxx.
x) Xxxxxxxx z xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(2) Xxxxxx x xxxxxxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 xxxx. x)]
x) Xxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx informací,
b) Xxxxxxxxxxxx xxxx x xxxxxxxxx, xxxxx xxxxx xxx xxxx na xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Zpětná vazba x výkonnosti xxxxxx xxxxxxxxxxx informací
1. xxxxxxx x xxxxxxxx xxxxxxxx,
2. xxxxxxxx xxxxxxxxxxxx a xxxxxx,
3. xxxxxxxx xxxxxx,
4. xxxxxxxx xxxx xxxxxxxxxxx,
x) Xxxxxxxx xxxxxxxxx xxxxx x xxxx xxxxx xxxxxxxx rizik.
e) Identifikace xxxxxxxx pro neustálé xxxxxxxxxx.
x) Xxxxxxxxxx potřebných xxxxxxxxxx, xxxxxxxxx opatření x xxxx xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx činností.
(3) Xxxxxxxx xxx xxxxxxxxxxxx x hodnocení xxxxx x xxx identifikaci x xxxxxxxxx rizik*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 písm. x)]
x) Xxxxxx stupnice xxx xxxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx důvěrnosti xxxxx,
2. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxxxxxx aktiv,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,
2. xxxxxx xxxxxxxx xxx hodnocení xxxxxx hrozby,
3. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxxxxxxxxxx,
4. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxx,
x) Metody x přístupy xxx xxxxxxxx rizik.
b) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx rizik.
(4) Xxxxxx x xxxxxxxxx xxxxx x rizik**
[§28 xxxx. 1 písm. x), §28 odst. 2 xxxx. x)]
x) Xxxxxxx primárních xxxxx
1. xxxxxxxxxxxx x popis xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti.
b) Xxxxxxx podpůrných xxxxx (xxxxxxx pro xxxxxx x osoby xxxxxxx x §3 písm. x) xxxxxx)
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx garantů xxxxxxxxxx xxxxx,
3. xxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx,
x) Xxxxxxxxxxxxxx a xxxxxxxxx xxxxx
1. xxxxxxxxx xxxxxxx xxxxxx xx xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx hrozeb,
3. xxxxxxxxx xxxxxxxxxxxx zranitelností, xxxxxxxxx existujících xxxxxxxx,
4. xxxxxxxxx xxxxxx rizika, xxxxxxxxx této úrovně x xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
5. určení x xxxxxxxxx xxxxxxxxxxxx xxxxx.
x) Zvládání rizik
1. xxxxx způsobu zvládání xxxxx,
2. xxxxx xxxxxxxx x xxxxxx realizace.
(5) Xxxxxxxxxx x aplikovatelnosti*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 písm. d)]
a) Xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx včetně xxxxxxxxxx xxxxxx xxxxxx x xxxxxx xxxxx xx xxxxxxxxxxxxxx xxxxxx.
x) Xxxxxxx xxxxxxxxxx bezpečnostních xxxxxxxx.
(6) Xxxx xxxxxxxx rizik**
[§28 xxxx. 1 písm. x), §28 xxxx. 2 písm. x)]
x) Xxxxx x cíle xxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx rizik.
b) Xxxxxxxx xxxxxx pro xxxxxxxxxx bezpečnostní xxxxxxxx xxx zvládání rizik.
c) Xxxxx zajišťující xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
x) Termíny xxxxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx xxx zvládání xxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx opatření pro xxxxxxxx rizik.
(7) Plán xxxxxxx bezpečnostního xxxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. f)]
a) Xxxxx x xxxxxxx xxxxxxx uživatelů.
b) Xxxxx x termíny xxxxxxx xxxxxxx aktiv (neplatí xxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx).
x) Xxxxx a xxxxxxx xxxxxxx administrátorů (xxxxxxx xxx xxxxxx x osoby xxxxxxx x §3 písm. x) xxxxxx).
x) Obsah x xxxxxxx poučení xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Obsah x termíny xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxx x způsoby xxxxxxxxx xxxxx.
(8) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. x)]
x) Xxxxxxxxxx xxxxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxx x zvládání jednotlivých xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx testování systému xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla a xxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů x xxx xxxxxxxxxx xxxxxxxxxxxx bezpečnosti.
(9) Xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx**
[§28 xxxx. 1 písm. x), §28 odst. 2 xxxx. x)]
x) Xxxxx a xxxxxxxxxx xxxxxxxxxxxx osob.
b) Xxxx xxxxxx xxxxxxxxxx xxxxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx,
2. xxxx xxxxxxxx xxxxx,
3. xxx obnovení xxxxx.
x) Strategie xxxxxx xxxxxxxxxx xxxxxxxx xxx xxxxxxxx cílů xxxxxxxxxx.
x) Xxxxxxx hodnocení xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xx kontinuitu x xxxxxxxxxx xxxxxxxxxxxxx xxxxx.
x) Xxxxxx x xxxxx xxxxxxxxxx xxxxx kontinuity.
f) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Národním xxxxxxxxxxxxx úřadem.
(10) Přehled xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx x smluvních závazků*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxx závazných xxxxxxxx xxxxxxxx.
x) Přehled xxxxxxxxx předpisů a xxxxxx předpisů.
c) Xxxxxxx xxxxxxxxx xxxxxxx.
Xxxxxxxx:
* Xxxxxxxxx xxxxxxxxx dokumentu je xx úrovni xxxxxxx xxxxx stupnice xxxxxxx x příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.
** Xxxxxxxxx xxxxxxxxx dokumentu xx xx xxxxxx xxxxxx podle stupnice xxxxxxx x příloze č. 1: Xxxxxxxxx a xxxxxx xxxxx.
Xxxxxxx x. 5 x vyhlášce x. 316/2014 Xx.
Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního incidentu
Vyplnitelný formulář ve formátu PDF
Příloha x. 6 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxx oznámení x xxxxxxxxx reaktivního xxxxxxxx a xxxx xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx č. 7 x vyhlášce x. 316/2014 Sb.
Formulář pro xxxxxxx xxxxxxxxxxx xxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxxxx
Xxxxxx xxxxxxx x. 316/2014 Xx. xxxxx xxxxxxxxx dnem 1.1.2015.
Xx xxx xxxxxxxx právní xxxxxxx xxxxx měněn xx doplňován.
Právní xxxxxxx x. 316/2014 Xx. xxx xxxxxx xxxxxxx xxxxxxxxx č. 82/2018 Sb. x xxxxxxxxx xx 28.5.2018.
Xxxxx xxxxxxxxxxxx právních norem xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx xx xxxx xxxxxx xxxxxxxxx xxxxx shora xxxxxxxxx xxxxxxxx xxxxxxxx.
1) XXX/XXX 27001:2013, xxxxxxxx XXX XXX/XXX 27001:2014