Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
XXXXXXXX
xx xxx 15. xxxxxxxx 2014
x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx, reaktivních xxxxxxxxxx x x stanovení xxxxxxxxxxx podání x xxxxxxx xxxxxxxxxxxx bezpečnosti (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx xxxxxxxxxxxx xxxx xxxxxxx xxxxx §28 xxxx. 2 zákona x. 181/2014 Xx., x xxxxxxxxxxxx xxxxxxxxxxx x x xxxxx xxxxxxxxxxxxx xxxxxx (zákon x xxxxxxxxxxxx bezpečnosti), (xxxx jen "xxxxx") x provedení §6 xxxx. x) až x), §8 xxxx. 4, §13 xxxx. 4 x §16 xxxx. 6 xxxxxx.
ČÁST XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxxx xxxxxxxxx xx xxxxxxx obsah a xxxxxxxxx xxxxxxxxxxxx dokumentace xxx xxxxxxxxxx systém xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxx xxxxxxxxxx xxxxxx, xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxx zavedení, xxxx a kategorie xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů, xxxxxxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx a jeho xxxxxxxx x xxxx xxxxxxxx xxxxxxxxxxx údajů x xxxx xxxxx.
§2
Xxxxxxxx xxxxx
X xxxx xxxxxxxx se xxxxxx
x) xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx xxxxxx xxxxxx x xxxxx xxxxxxx v §3 písm. c) xx x) xxxxxx xxxxxxxx xx přístupu x rizikům informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx stanoví xxxxxx xxxxxxxx, xxxxxxxx, xxxxxx, monitorování, přezkoumání, xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx,
x) aktivem xxxxxxxx xxxxxxx x xxxxxxxx aktivum,
c) xxxxxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx zpracovává xxxx poskytuje xxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikační systém xxxxxxxx informační infrastruktury xxxx xxxxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, zaměstnanci x xxxxxxxxxx xxxxxxxxxx xx xx xxxxxxx, xxxxxxx, xxxxxx xxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxx aktivem xxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x programové xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx, ve xxxxxxx xxxx xxxx xxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxx, xx xxxxxx xxxxxx xxxxxxx zranitelnosti xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxx proces, xxx xxxx je xxxxxxxx xxxxxxxxxx xxxxx x xxxxxx xxxxxxxxxx úroveň,
h) xxxxxxx xxxxx xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx, xxxxx a zavedení xxxxxxxx ke xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx x riziku x xxxxxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx nebo xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxx xxxx xxx xxxxxxxxx aktiva,
j) xxxxxxxxxxxxx xxxxx xxxxx xxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxx xxxxxxxx xxxxxx nebo xxxx xxxxxxxx,
x) přijatelným xxxxxxx xxxxxx xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, jehož xxxxxx xxxxxxxx kritériím pro xxxxxxxxxxxx rizik,
l) bezpečnostní xxxxxxxxx soubor zásad x pravidel, xxxxx xxxxxx způsob zajištění xxxxxxx aktiv orgánem x xxxxxx xxxxxxxx x §3 písm. x) až x) xxxxxx,
x) xxxxxxxx xxxxxx xxxxxxx xxxxx pověřená xxxxxxx nebo xxxxxx xxxxxxxx v §3 xxxx. c) xx x) xxxxxx x xxxxxxxxx xxxxxxx, xxxxxxx x bezpečnosti xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx osoba xxxxx xxxxx veřejné xxxx, xxxxx xxxxxxx primární xxxxxx,
x) administrátorem xxxxxxx xxxxx pověřená xxxxxxxx xxxxxx zajišťující xxxxxx, xxxxxx, xxxxxxx, xxxxxx x xxxxxxxxxx technického xxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx řízení xxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x d) xxxxxx x xxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx
x) stanoví s xxxxxxx xx aktiva x xxxxxxxxxxx xxxxxxxxxx xxxxxx x hranice xxxxxxx řízení bezpečnosti xxxxxxxxx, ve kterém xxxx, kterých xxxxxxxxxxxxx xxxxx a xxxxxxxxxxx xxxxx xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx,
x) xxxx xxxxxx xxxxx §4 xxxx. 1,
x) xxxxxxx x xxxxxxx xxxxxxxxxxxx politiku x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, práva a xxxxxxxxxx ve xxxxxx x xxxxxx bezpečnosti xxxxxxxxx a xx xxxxxxx bezpečnostních xxxxxx x xxxxxxxx xxxxxxxxx xxxxx stanoví xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §5 x xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x xxxxxxxx bezpečnostní xxxxxxxx xxxxx §5,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx podle §15, x xx xxxxxxx xxxxxx ročně,
g) xxxxxxx xxxxxxxxxxx účinnosti xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxx rizik, xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx a auditů xxxxxxxxxxxx bezpečnosti a xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xx xxxxxx xxxxxx bezpečnosti informací, x xx xxxxxxx xxxxxx ročně,
h) xxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a příslušnou xxxxxxxxxxx xx xxxxxxx xxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxx systému xxxxxx xxxxxxxxxxx informací x x xxxxxxxxxxx s xxxxxxxxxxx nebo xxxxxxxxxxx xxxxxxx x
x) xxxx xxxxxx x xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, zaznamenává činnosti xxxxxxx xx systémem xxxxxx bezpečnosti xxxxxxxxx x xxxxxxx xxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx x rámci systému xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxx rizika xxxxx §4 odst. 2,
b) xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx potřeby, xxxxx a povinnosti xx xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxx x xx xxxxxxx xxxxxxxxxxxxxx potřeb x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §5, x xxxxxx příslušná xxxxxxxxxxxx xxxxxxxx a
c) xxxxxxx xxxxxxxxxxx xxxxxx o xxxxxxxxx xxxxx x xxxxx, xxxxxxxxxxxx xxxxxxxx, xxxxx zvládání xxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx povědomí, a xx xxxxxxx jednou xx xxx xxxx xxxx x xxxxxxxxxxx x prováděnými xxxx xxxxxxxxxxx změnami.
§4
Xxxxxx xxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx x xxxxx xxxxxx rizik
a) xxxxxxx xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxxx stanovení kritérií xxx přijatelnost xxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxx, xxxxx xxxxx xx xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxx §8 x xxxxxxx přílohy č. 1 x xxxx xxxxxxxx x výstupy zapracuje xx zprávy o xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxxxxxx rizika, xxx xxxxxxx zohlední xxxxxx x xxxxxxxxxxxxx, xxxxxxx xxxxx xxxxxx xx xxxxxx, xxxxxxx xxxx xxxxxx minimálně x xxxxxxx xxxxx přílohy č. 2 k této xxxxxxxx, xxxx x xxxxxxx xxxxxxxxxx xxxxxx x zpracuje xxxxxx x xxxxxxxxx xxxxx x rizik,
d) zpracuje xx základě xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxxxxxxx x aplikovatelnosti, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx x zavedených bezpečnostních xxxxxxxx,
x) zpracuje a xxxxxx xxxx zvládání xxxxx, který obsahuje xxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, určení xxxxx xxxxxxxxxxx prosazování xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, lidské x informační xxxxxx, xxxxxx jejich xxxxxxxx x xxxxx vazeb xxxx xxxxxx x xxxxxxxxxxx bezpečnostními xxxxxxxxxx x
x) zohlední xxx xxxxxxxxxx xxxxxxx reaktivní x xxxxxxxx opatření xxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx (dále xxx "Xxxx") x hodnocení xxxxx a v xxxxxxx, xx xxxxxxxxx xxxxx aktualizované x xxxx xxxxxxxxxxxxx spojené x xxxxxxxxx reaktivního xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx, xxxxxx xxxx xxxxxxxx xxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. e) xxxxxx v rámci xxxxxx rizik
a) stanoví xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x pro identifikaci x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx kritérií xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx a xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxx, xxxxx patří xx xxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx, xxxxx §8 xxxxxxxxx x xxxxxxx přílohy č. 1 x xxxx vyhlášce x xxxxxxx zapracuje do xxxxxx x hodnocení xxxxx a rizik,
c) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxxxxx, posoudí xxxxx xxxxxx xx xxxxxxxx aktiva, xxxxxxx xxxx xxxxxx xxxxxxxxx x rozsahu xxxxx přílohy č. 2 k xxxx xxxxxxxx x xxxxxxxx xxxxxx x xxxxxxxxx xxxxx x rizik,
d) xxxxxxxx xx základě xxxxxxxxxxxxxx potřeb x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx přehled xxxxxxxxx x zavedených xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx x xxxxxx plán xxxxxxxx rizik, xxxxx xxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx zvládání xxxxx, xxxxxx osoby zajišťující xxxxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, technické, xxxxxx x informační xxxxxx, xxxxxxx xxxxxx xxxxxxxx x xxxxx xxxxx xxxx xxxxxxxxxxxxxxxx xxxxxx a příslušnými xxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxx bez xxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxx vydaná Xxxxxx v hodnocení xxxxx x x xxxxxxx, xx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx spojené x xxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx kritéria xxx přijatelnost xxxxx, xxxxxx xxxx xxxxxxxx xxxxx.
(3) Xxxxxx xxxxx xxxx xxx xxxxxxxxx x jinými způsoby, xxx jak xx xxxxxxxxx x xxxxxxxxxx 1 a 2, xxxxx xxxxx x xxxxx xxxxxxx x §3 písm. c) xx e) xxxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx zajišťující xxxxxxx xxxx xxxxx xxxxxx xxxxxx xxxxx.
(4) Orgán x osoba xxxxxxx x §3 xxxx. x) až x) xxxxxx xxx xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxx xxxxxx
x) porušení xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx činností, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxx x administrátorů,
b) xxxxxxxxx nebo selhání xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
x) zneužití xxxxxxxx xxxxxxx xxxxx,
x) užívání xxxxxxxxxxxx xxxxxxxx x xxxxxxx x xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx xxxx x komunikační xxxx,
x) xxxxxxxx xxx (xxxxxxxxx xxxx, xxxxxxx, trojské xxxx),
x) xxxxxxxxxx xxx xxxxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) narušení xxxxxxx xxxxxxxxxxx,
x) přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxx xxxxxxx,
x) zneužití xxxx xxxxxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxx xxxxxxxx hrozby x
x) xxxxxxxx xxxx xxxxxxxxx xxxxxx.
(5) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxx xxxxxxxxx xxxxx zvažuje xxxxxxx xxxx zranitelnosti
a) xxxxxxxxxxxx xxxxxxx vnějšího xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx a administrátorů,
c) xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx při identifikování x odhalení xxxxxxxxxxx xxxxxxxxxxxxxx jevů, kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx x neschopnost xxxxxxx xxxxxx nevhodné xxxx xxxxxxx způsoby chování x
x) xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxx nejednoznačné xxxxxxxx xxxx x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx.
(6) Orgán x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx při xxxxxxxxx xxxxx xxxx xxxxxxx xxxx hrozby
a) porušení xxxxxxxxxxxx xxxxxxxx, provedení xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx ze strany xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xx xxxxxx zaměstnanců,
c) xxxxxxxx xxxxxxxxx prostředků, xxxxxxx,
x) xxxxxxxxxx xxxxxxxxx poskytování xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx x potřebnou xxxxxxxx xxxxxx,
x) cílený kybernetický xxxx pomocí xxxxxxxxxx xxxxxxxxxxx, xxxxxxx špionážních xxxxxxx x
x) xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx nosičů xxx.
(7) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxx hodnocení xxxxx xxxx xxxxxxx xxxx xxxxxxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxx xxxxxxxxx kontroly a
d) xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx strany xxxxxxxxxxx.
§5
Xxxxxxxxxxxx politika
(1) Xxxxx x osoba uvedená x §3 xxxx. x) x x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) organizační xxxxxxxxxx,
x) xxxxxx vztahů x xxxxxxxxxx,
x) klasifikace aktiv,
e) xxxxxxxxxx xxxxxxxx zdrojů,
f) xxxxxx provozu a xxxxxxxxxx,
x) xxxxxx xxxxxxxx,
x) xxxxxxxx chování uživatelů,
i) xxxxxxxxxx x xxxxxx,
x) xxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx x xxxxxxxx xxxxxxx programového xxxxxxxx x xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx x archivace xxxxxxxxx,
x) xxxxxxx osobních xxxxx,
x) fyzická bezpečnost,
q) xxxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxxx škodlivým xxxxx,
x) xxxxxxxx a xxxxxxxxx xxxxxxxx xxx xxxxxxx kybernetických bezpečnostních xxxxxxxx,
x) xxxxxxx x xxxxxx xxxxxxxx pro xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(2) Orgán a xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxxxx bezpečnostní xxxxxxxx x xxxxxxxxx
x) xxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx bezpečnost,
c) xxxxxx xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxx x komunikací,
g) xxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxx,
x) zálohování x xxxxxx,
x) xxxxxxxxxxx a xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx a xxxxxxxxx,
x) xxxxxxx xxxxxxxx údajů,
l) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxx škodlivým xxxxx x
x) xxxxxxxx x používání nástroje xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx x xxxxx uvedená x §3 písm. x) xx e) xxxxxx xxxxxxxxxx hodnotí xxxxxxxx xxxxxxxxxxxx politiky x xxxxxxxxxxx xx.
§6
Organizační xxxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxxx organizaci xxxxxx bezpečnosti xxxxxxxxx, x rámci které xxxx výbor xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x bezpečnostní role x xxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx systémem xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x x) zákona xxxx xxxxxxxxxxxx role
a) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) architekt xxxxxxxxxxxx bezpečnosti,
c) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxx xxxxxx xxxxx §2 xxxx. m).
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. e) určí xxxxxxxxxxxx role xxxxxxxxx xxxxx xxxxxxxx 2.
(4) Xxxxxxx kybernetické xxxxxxxxxxx xx xxxxx, odpovědná xx systém xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xx pro xxxx xxxxxxx xxxxxxxxx x xxxxxxx odbornou xxxxxxxxxxx xxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx po xxxx xxxxxxx xxx xxx.
(5) Xxxxxxxxx kybernetické xxxxxxxxxxx xx osoba xxxxxxxxxxx xxxxx a xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx je xxx xxxx činnost xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxx bezpečnostní xxxxxxxxxxxx xx dobu nejméně xxx xxx.
(6) Xxxxxxx xxxxxxxxxxxx bezpečnosti je xxxxx xxxxxxxxxxx audit xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xx xxx xxxx xxxxxxx vyškolena x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx s prováděním xxxxxx kybernetické bezpečnosti xx xxxx xxxxxxx xxx xxx. Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx roli xxxxxxxxx x xxxxx jeho xxxx xx oddělen xx výkonu rolí xxxxxxxxx x xxxxxxxx 2 xxxx. x), x) nebo d).
(7) Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx je xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx, které jsou xxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xx xxxxxxxx xxxxxxxx na xxxxxx x xxxxxxxxxx xxxxxxxx spojených x xxxxxxxxxxxxx bezpečností těchto xxxxxxx.
(8) Orgán x xxxxx uvedená x §3 písm. x) xx e) xxxxxx xxxxxxx odborné xxxxxxx xxxx, xxxxx xxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxx s xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 písm. x).
§7
Stanovení bezpečnostních xxxxxxxxx xxx xxxxxxxxxx
(1) Orgán x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx xxxxxx xxxxxxxx xxx xxxxxxxxxx, xxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, x xxxxxxxx xx u xxxxxxxxxx xxxx jiných xxxx, xxxxx se xxxxxxxx xx xxxxxxx, xxxxxxx xxxx zajištění xxxxxxxxxxx informačního systému xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx systému kritické xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xxxxxx xxxxxxxx xxxxxxxxxx xx xxxxxxx, xxxxxxx xxxx xxxxxxxxx bezpečnosti xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo významného xxxxxxxxxxxx systému xxxxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxxxxxx, xxxxx xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx informací.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) a x) xxxxxx x dodavatelů xxxxxxxxx v xxxxxxxx 1 dále
a) před xxxxxxxxx smlouvy provádí xxxxxxxxx xxxxx xxxxx přílohy č. 2 x xxxx xxxxxxxx, která xxxx xxxxxxx s podstatnými xxxxxxxxx,
x) uzavírá smlouvu x xxxxxx xxxxxx, xxxxx stanoví způsoby x xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx a xxxx vztah xxxxxxxx xxxxxxx xxxxxxxxxxxx xx xxxxxxxx a kontrolu xxxxxxxxxxxxxx opatření, x
x) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxx xxxxxx x zjištěné xxxxxxxxxx xxxxxxxxxx nebo xx dohodě x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxx.
§8
Xxxxxx xxxxx
(1) Orgán x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx x rámci xxxxxx xxxxx
x) xxxxxxxxxxxx x xxxxxxx primární xxxxxx,
x) xxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xx primární xxxxxx, x
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x xxxxxx xx xx xxxxxxxxxxxx úrovní xxxxxxxxx x xxxxxxx xxxxx přílohy č. 1 k xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx xxxxxxxxxxx primárních xxxxx je třeba xxxxxxxxx xxxxxxxx
x) xxxxxx x důležitost xxxxxxxx xxxxx nebo obchodního xxxxxxxxx,
x) xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx nebo xxxxxx závazků,
c) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxx,
x) xxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx orgánu a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxx důvěrnosti, xxxxxxxxx x dostupnosti x
x) xxxxxx na xxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx xxxxx xxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) a x) xxxxxx xxxx
x) xxxxxxxxxxxx x eviduje xxxxxxxx xxxxxx,
x) určí xxxxxxx xxxxx, kteří xxxx odpovědní xx xxxxxxxx xxxxxx, a
c) xxxx xxxxx xxxx xxxxxxxxxx a xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxx a xxxxxxxxxx xxxxxx.
(4) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxx
x) stanoví xxxxxxxx xxxxxxx, nutná xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx tím, xx
1. xxxx způsoby rozlišování xxxxxxxxxxxx xxxxxx aktiv,
2. xxxxxxx xxxxxxxx xxx xxxxxxxxxx x evidenci x xxxxxx podle xxxxxx aktiv, včetně xxxxxxxx pro xxxxxxxx xxxxxxxxxxxx sdílení x xxxxxxx xxxxxxxxx aktiv x
3. xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx,
x) xxxxxx xxxxxxxx ochrany xxxxxxxxxxxx xxxxxx aktiv x
x) xxxx xxxxxxx xxx xxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx xxx x xxxxxxx xx úroveň xxxxx.
§9
Xxxxxxxxxx xxxxxxxx zdrojů
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) xx x) zákona x xxxxx řízení xxxxxxxxxxx xxxxxxxx zdrojů
a) xxxxxxx xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx obsahuje xxxxx, obsah a xxxxxx xxxxxxxxxx školení x xxxx xxxxx xxxxxxxxxxx xxxxxxxxx jednotlivých xxxxxxxx, xxxxx xxxx x plánu xxxxxxx,
x) x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx zajistí xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx bezpečnostní xxxx o xxxxxx xxxxxxxxxxxx a o xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) zajistí xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx politiky xx strany xxxxxxxxx, xxxxxxxxxxxxxx a osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) xxxxxxx xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx přístupových xxxxxxxxx xxx ukončení smluvního xxxxxx x xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona vede x školení podle xxxxxxxx 1 přehledy, xxxxx xxxxxxxx xxxxxxx xxxxxxx x seznam xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx xxxx
x) xxxxxxx xxxxxxxx xxx xxxxxx osob, xxxxx budou zastávat xxxxxxxxxxxx xxxx, xxxx xxxxxxxxxxxxxx nebo uživatelů,
b) xxxxxxx xxxxxxxx xxxxx xxxxxxx bezpečnostního xxxxxxxx, xxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx x prohlubováním xxxxxxxxxxxxxx xxxxxxxx,
x) xxxx xxxxxxxx x xxxxxxx pro xxxxxx xxxxxxx porušení xxxxxxxxxxx bezpečnostních pravidel xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) zajistí xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx postavení xxxxxxxxx, xxxxxxxxxxxxxx nebo osob xxxxxxxxxxxxx bezpečnostní xxxx.
§10
Xxxxxx provozu x xxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx x rámci xxxxxx xxxxxxx x komunikací xxxxxx technických xxxxxxxx xxxxxxxxx v §21 xx 23 xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxxx vyhodnocuje xxxxxxx xxxxxxxxx a xx xxxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxx x §13.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxx řízení xxxxxxx x xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xx xxxxx xxxxxx xxxxxxx provozní pravidla x xxxxxxx.
(3) Provozní xxxxxxxx x xxxxxxx xxxxxx a xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxxxxxx
x) xxxxx a xxxxxxxxxx xxxx xxxxxxxxxxxxx bezpečnostní xxxx, xxxxxxxxxxxxxx x xxxxxxxxx,
x) xxxxxxx pro xxxxxxxx x xxxxxxxx xxxxx xxxxxxx, pro xxxxxxx xxxx obnovení xxxxx xxxxxxx xx xxxxxxx x xxx xxxxxxxx xxxxxxxxx stavů xxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxx sledování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x pro ochranu xxxxxxxx k záznamům x těchto xxxxxxxxxx,
x) xxxxxxx xx kontaktní xxxxx, xxxxx xxxx xxxxxx xxxx xxxxxxx xxx řešení neočekávaných xxxxxxxxxxx nebo xxxxxxxxxxx xxxxxx,
x) xxxxxxx řízení x xxxxxxxxxxx provozních xxxx x
x) xxxxxxx xxx xxxxxxxxx, xxxxxxxxx x xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxx.
(4) Řízení provozu xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxxxxx x provádění xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxx.
(5) Xxxxxx xxxxxxx orgánu x osoby uvedené x §3 xxxx. x) a x) xxxxxx xxxxxxx x
x) xxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx x produkčního xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx xxx, xx orgán x xxxxx uvedená x §3 písm. x) a x) xxxxxx
1. posoudí xxxxxxxxx xxxxxx reaktivního opatření xx xxxxxxxxxx xxxxxx xxxxxxxx informační infrastruktury xxxx komunikační systém xxxxxxxx informační xxxxxxxxxxxxxx x xx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxx negativní účinky x xxx zbytečného xxxxxxx xx xxxxxx Xxxxx a
2. xxxxxxx xxxxxx rychlého provedení xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxx, x xxxx xxxxxx xxxx xxxx xxxxxxxxx.
(6) Orgán x xxxxx uvedená x §3 xxxx. c) x d) xxxxxx x xxxxx xxxxxx xxxxxxxxxx
x) xxxxxxxxx xxxxxxxxxx x xxxxxxxxx komunikačních xxxx a xxxxxxxxxx xxxxxxxxxxxxx služeb podle §17,
x) xxxx pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxxx komunikačními xxxxxx,
x) xxxxxxx výměnu x xxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx předpisy xx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxx pravidla xxxxxxxxxxx x
x) s xxxxxxx xx xxxxxxxxxxx aktiv xxxxxxx xxxxxx a xxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxx xxxxx, xxxxxxx xxxxxxxx xx xxxxxxxxxx o xxxxxxxxxxx xxxxxxxxx.
§11
Řízení xxxxxxxx x xxxxxxxx chování uživatelů
(1) Xxxxx a osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xx xxxxxxx provozních a xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxx k xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významnému xxxxxxxxxxxx xxxxxxx x přidělí xxxxxxx uživateli jednoznačný xxxxxxxxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. c) xx x) xxxxxx xxxxxx xxxxxxxx, xxxxx xxxxxx x xxxxxxxxx xxxxxxx xxxxx, které xxxx používány xxx xxxxxxxxxx uživatelů a xxxxxxxxxxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému xxxxx §18 a 19, x xxxxx xxxxx xx zneužití xxxxxx údajů xxxxxxxxxxxx xxxxxx.
(3) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) zákona xxxx v xxxxx xxxxxx xxxxxxxx
x) xxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxxxx oprávnění,
c) xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx,
x) provádí pravidelné xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx v xxxxxxxxxxxx xxxxxxxxx nebo xxxxxx,
x) xxxxxxx nástroj xxx ověřování identity xxxxxxxxx podle §18 x xxxxxxx xxx xxxxxx přístupových xxxxxxxxx xxxxx §19 x
x) xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx technických xxxxxxxx, xxxxxxx xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxxxxxx.
§12
Akvizice, vývoj a xxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxxxxx xxxxxxxxxxxx požadavky xx změny informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxx, xxxxxxx x xxxxxxx x xxxxxx xx xx xxxxxxxx akvizice, xxxxxx x xxxxxx xxxxxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxxxxxxx, xxxxxxx a xxxx xxxxxx xxxxxxxxxxx x akvizicí, vývojem x údržbou xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx; xxx xxxxxxx xxxxxxxxx a xxxxxx xxxxx se xxxxxxxx xxxxx §4 odst. 1 písm. x) xxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxxx vývojového xxxxxxxxx x xxxxxxx ochranu xxxxxxxxxxx testovacích xxx x
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo komunikačního xxxxxxx kritické informační xxxxxxxxxxxxxx xxxx xxxxxx xxxxxxxxx do provozu.
§13
Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx
Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxx zvládání xxxxxxxxxxxxxx událostí x xxxxxxxxx
x) přijme xxxxxxxx xxxxxxxx, xxxxx zajistí xxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x informačního xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významného xxxxxxxxxxxx xxxxxxx xx strany xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x x xxxxxxxxxx vede záznamy,
b) xxxxxxxx prostředí xxx xxxxxxxxxxx xxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx §21 xx 23, xxxxxxx xxxxxx xxxxxxxxxxx a identifikuje xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů, xxxxxxx xxxxxxxx xxx odvrácení x xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxx §32 a zajistí xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx analýzu xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx x xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, vyhodnotí xxxxxxxx xxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx x xx xxxxxxx vyhodnocení xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxx kybernetického bezpečnostního xxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
§14
Xxxxxx xxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx v xxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxxx
x) práva x povinnosti garantů xxxxx, xxxxxxxxxxxxxx x xxxx zastávajících bezpečnostní xxxx,
x) xxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx úrovně xxxxxxxxxxxxx xxxxxx, xxxxx xx přijatelná pro xxxxxxx, xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx systému,
2. xxxx xxxxxxxx chodu, xxxxx xxxxx xxxx xx kybernetickém bezpečnostním xxxxxxxxx xxxxxxxx minimální xxxxxx poskytovaných xxxxxx xxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, a
3. xxxx obnovení xxx xxxx termínu, xx xxxxxxx budou xxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu, x
x) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx, xxxxx obsahuje xxxxxxxx cílů podle xxxxxxx x).
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxxxx x dokumentuje xxxxx xxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx a posoudí xxxxx rizika související x xxxxxxxxx kontinuity xxxxxxxx,
x) stanoví, xxxxxxxxxxx x xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) realizuje xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x využívá xxxxxxx pro xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx §26 a
d) xxxxxxx x xxxxxxxxxxx postupy xxx provedení xxxxxxxx xxxxxxxx Xxxxxx xxxxx §13 x 14 xxxxxx, xx xxxxxxx xxxxxxxx
1. xxxxxxxx hodnocení xxxxx provedení opatření,
2. xxxx dotčených xxxxxxxxxxxxxx xxxxxxxx x
3. xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx x xxxxxxxxxx informačního xxxxxxx xxxxxxxx informační infrastruktury xxxx komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§15
Xxxxxxxx a xxxxx xxxxxxxx informační xxxxxxxxxxxxxx x významných xxxxxxxxxxxx xxxxxxx
(1) Orgán a xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona x xxxxx xxxxxxxx x auditu xxxxxxxx xxxxxxxxxx infrastruktury a xxxxxxxxxx xxxxxxxxxxxx systémů (xxxx xxx "audit xxxxxxxxxxxx xxxxxxxxxxx")
x) xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxx, xxxxxxxxx předpisy, jinými xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxxx xx x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému x určí xxxxxxxx xxx jeho prosazování x
x) xxxxxxx a xxxxxxxxxxx xxxxxxxxxx kontroly xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x výsledky xxxxxx xxxxxxx xxxxxxxx v xxxxx xxxxxxx bezpečnostního xxxxxxxx x xxxxx xxxxxxxx xxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx zajišťuje xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx s xxxxxxxx xxxxxxxxxxx xxxxx §6 xxxx. 6, která xxxxxxx xxxxxxxxx x xxxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x x) zákona xxxx xxx xxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxx x xxxxxxx xx xxxxxxxx xxxxxxxxxxxxx.
HLAVA XX
XXXXXXXXX XXXXXXXX
§16
Xxxxxxx xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx e) xxxxxx x xxxxx fyzické xxxxxxxxxxx
x) xxxxxx nezbytná xxxxxxxx k xxxxxxxx xxxxxxxxxxxxx vstupu xx xxxxxxxxxx prostor, kde xxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxx technická xxxxxx xxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému,
b) xxxxxx nezbytná xxxxxxxx x xxxxxxxx xxxxxxxxx x xxxxxxx do xxxxxxxxxx xxxxxxx, xxx xxxx xxxxxxxx informace x xxxxxxxx xxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x
x) xxxxxxxxx poškození, xxxxxxx xxxx xxxxxxxx xxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x d) xxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxx xxxxxxxxx xxxxxxx xx xxxxxx xxxxxxx a
b) xxx xxxxxxxxx xxxxxxx x xxxxx xxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxx, ve xxxxxxx jsou xxxxxxxx xxxxxxxxx aktiva xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
(3) Xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxx zejména
a) xxxxxxxxxx zábranné xxxxxxxxxx,
x) xxxxxxxx elektrické xxxxxxxxxxxxx xxxxxxxxxxx,
x) prostředky xxxxxxxxx xxxxxxxx požárů,
d) xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxx xxxxxxxx xxxxxx,
x) xxxxxxxx systémy,
g) xxxxxxxx xxx xxxxxxxxx xxxxxxx xxxx selháním xxxxxxx xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxx.
§17
Xxxxxxx xxx ochranu xxxxxxxxx xxxxxxxxxxxxx xxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx pro xxxxxxx xxxxxxxxx rozhraní xxxxxx xxxxxxxxxxx sítě, xxxxx xxxx xxx xxxxxxx orgánu xxxx xxxxx, x vnitřní xxxxxxxxxxx xxxx, xxxxx xx xxx xxxxxxx xxxxxx xxxx xxxxx, xxxxxx
x) řízení xxxxxxxxxx xxxxxxxx xxxx xxxxxx x xxxxxxx xxxx,
x) xxxxxxxxxx zejména xxxxxxxx xxxxxxxxxxxxxxxxxx xxx jako xxxxxxxxxxx xxxx xxxx xxxxxxxxxxx ke xxxxxxx xxxxxxxxxxx aplikací xxxxxxxxxx x vnější xxxx x x xxxxxxxx xxxxx komunikace xxxxxxx xxxx x vnější xxxx,
x) xxxxxxxxxxxxxx xxxxxxxxxx (§25) pro vzdálený xxxxxxx, xxxxxxxxx xxxxxx xxxx xxx přístup xxxxxx xxxxxxxxxxxx technologií x
x) opatření xxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxx, xxxxx xxxxxxxxxxxx xxxxxxxxxx xx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. c) x d) xxxxxx xxxx xxxxxxx nástroje xxx xxxxxxx integrity xxxxxxx komunikační xxxx, xxxxx xxxxxxx xxxx xxxxxxxxxx.
§18
Nástroj pro ověřování xxxxxxxx xxxxxxxxx
(1) Xxxxx x osoba uvedená x §3 xxxx. x) xx e) xxxxxx xxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx x administrátorů xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx kritické informační xxxxxxxxxxxxxx x významného xxxxxxxxxxxx systému.
(2) Nástroj xxx xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx xxxxxxx identity xxxxxxxxx x administrátorů xxxx zahájením xxxxxx xxxxxxx x informačním xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačním xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxx.
(3) Xxxxxxx xxx xxxxxxxxx xxxxxxxx uživatelů, xxxxx xxxxxxx xxxxxxxxxxx xxxxx heslem, xxxxxxxxx
x) xxxxxxxxx xxxxx hesla xxx xxxxx,
x) xxxxxxxxx xxxxxxxxx hesla xxx, xx heslo xxxx xxxxxxxxx xxxxxxx 3 x xxxxxxxxxxxxx čtyř xxxxxxxxx
1. nejméně xxxxx xxxxx písmeno,
2. xxxxxxx xxxxx xxxx xxxxxxx,
3. xxxxxxx xxxxx číslici, xxxx
4. xxxxxxx xxxxx xxxxxxxxx xxxx odlišný xx požadavků uvedených x xxxxxx 1 xx 3,
x) xxxxxxxxx xxxx xxx xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxxx xxx xxx; tento xxxxxxxxx xxxx vyžadován xxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(4) Orgán x xxxxx uvedená x §3 xxxx. c) x x) xxxxxx xxxx
x) xxxxxxx nástroj xxx xxxxxxx xxxxxxxx, xxxxx
1. zamezí xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxx x xxxxxxxx xxxx změn xxxxx xxxxxxx uživatele xxxxx xxxxxxxxxxx xxxxxx, které xxxx být xxxxxxx 24 xxxxx, x
2. xxxxxxx opětovné ověření xxxxxxxx po xxxxxx xxxx nečinnosti x
x) xxxxxxx nástroj pro xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx. X xxxxxxx, xx xxxxx xxxxxxx xxxxxxx xxxxxxxxxxx heslem, zajistí xxxxxxxxx xxxxxxxxx délky xxxxx xxxxxxx znaků xxx xxxxxxxx požadavků xxxxx xxxxxxxx 3 xxxx. x) x x).
(5) Xxxxxxx pro xxxxxxxxx xxxxxxxx xxxxxxxxx xxxx xxx zajištěn x xxxxxx xxxxxxx, xxx jaké jsou xxxxxxxxx x odstavcích 3 xx 5, xxxxx xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxxxxxxx, že používá xxxxxxxx zajišťující xxxxxxx xxxx xxxxx xxxxxx xxxxxxxxx xxxxx.
§19
Xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx používá xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx xxxxxx xxxxxxxxx
x) xxx xxxxxxx k xxxxxxxxxxx xxxxxxxxx x datům x
x) xxx čtení xxx, xxx xxxxx xxx a pro xxxxx xxxxxxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxxx xxxxxxx xxxxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxxxxx xxxxxxx přístupových xxxxxxxxx x xxxxxxx x bezpečnostními xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx.
§20
Xxxxxxx xxx ochranu xxxx škodlivým xxxxx
Xxxxx x osoba uvedená x §3 xxxx. x) až x) xxxxxx xxx řízení xxxxx xxxxxxxxx s xxxxxxxxx škodlivého xxxx xxxxxxx xxxxxxx xxx xxxxxxx informačního systému xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačního systému xxxx xxxxxxxxx xxxxx, xxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxx
x) xxxxxxxxxx xxxx xxxxxxx xxxx a xxxxxx xxxx,
x) serverů a xxxxxxxxx xxxxxxxx úložišť x
x) pracovních xxxxxx,
xxxxxxx xxxxxxx xxxxxxxxxxx a xxxxxxx aktualizaci xxxxxxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxx, jeho xxxxxxx a signatur.
§21
Nástroj pro xxxxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x významných xxxxxxxxxxxx systémů, xxxxxx xxxxxxxxx x administrátorů
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx používá xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury a xxxxxxxxxx xxxxxxxxxxxx systému, xxxxx xxxxxxx
x) sběr xxxxxxxxx x xxxxxxxxxx x xxxxxxxxxxxxxx činnostech, xxxxxxx xxx xxxxxxxx, xxxxx x čas, xxxxxxxxxxxx technického aktiva, xxxxx xxxxxxx xxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx a xxxxx xxxxxxxx x xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx a
b) xxxxxxx xxxxxxxxx xxxxxxxxx před xxxxxxxxxxxx xxxxxx xxxx xxxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 písm. x) xx x) zákona xxxx pomocí xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému zaznamenává
a) xxxxxxxxxx x odhlášení xxxxxxxxx x administrátorů,
b) xxxxxxxx provedené administrátory,
c) xxxxxxxx xxxxxxx xx xxxxx xxxxxxxxxxxx oprávnění,
d) xxxxxxxxxxx xxxxxxxx v xxxxxxxx xxxxxxxxxx přístupových xxxxxxxxx x xxxxx xxxxxxxxx činnosti uživatelů,
e) xxxxxxxx x xxxxxxxx xxxxxxxx technických aktiv xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) automatická xxxxxxx nebo chybová xxxxxxx technických xxxxx,
x) xxxxxxxx x záznamům x xxxxxxxxxx, xxxxxx x manipulaci xx xxxxxxx x činnostech x změny xxxxxxxxx xxxxxxxx pro xxxxxxxxxxxxx xxxxxxxx x
x) použití xxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxx xxxxxx xxxxx xxxxx, xxxxx xxxxxx x přihlášení.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a d) xxxxxx xxxxxxx činností xxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxxx xxxxxxx xx xxxx 3 xxxxxx.
(4) Orgán x xxxxx uvedená x §3 písm. c) xx x) xxxxxx xxxxxxxxx nejméně jednou xx 24 hodin xxxxxxxxxxxxx jednotného xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxx xxxxxxxxx do informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
§22
Xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) až x) zákona xxxxxxx xxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx vychází ze xxxxxxxxxxx bezpečnostních xxxxxx x xxxxxxxx xxxxxxxxx xxxxx a xxxxx xxxxxxx xxxxxxx, xxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxx x xxxxxx sítí.
(2) Xxxxx x osoba uvedená x §3 písm. x) x d) xxxxxx xxxx xxxxxxx xxxxxxx xxx detekci xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxxxx xxxxxxx xxxxxxx, xxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxx
x) x xxxxx xxxxxxx xxxxxxxxxxx xxxx x
x) xxxxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§23
Xxxxxxx xxx xxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 písm. x) a x) xxxxxx xxxxxxx xxxxxxx xxx xxxx x xxxxxxxx vyhodnocení kybernetických xxxxxxxxxxxxxx xxxxxxxx, který x souladu x xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxxx rizik xxxxxxx
x) xxxxxxxxxxx sběr x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému kritické xxxxxxxxxx infrastruktury,
b) xxxxxxxxxxx xxxxxxxxx xxx xxxxxx xxxxxxxxxxxx role x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x informačním xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx krit x xxxxxxxxxx infrastruktury x
x) xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx s xxxxx identifikace kybernetických xxxxxxxxxxxxxx xxxxxxxxx, včetně xxxxxxxx varování xxxxxxxx xxxxxxxxxxxxxx xxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx zajistí
a) xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx, xxx xxxx omezovány xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxx xxxxxxx xxxxxxxxx xxxxxxxx, a
b) xxxxxxxxx xxxxxxxxx, xxxxx xxxx připraveny nástrojem xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, pro optimální xxxxxxxxx bezpečnostních xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§24
Xxxxxxxxx xxxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx provádí bezpečnostní xxxxx xxxxxxxxxxxxx aplikací, xxxxx xxxx přístupné x xxxxxx sítě, x xx před xxxxxx xxxxxxxx xx xxxxxxx a xx xxxxx xxxxxxx xxxxx xxxxxxxxxxxxxx mechanismů.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxx v xxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx ochranu
a) xxxxxxxx x xxxxxxxxx xxxxxxxxxx x xxxxxx xxxx před neoprávněnou xxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxxxxxxx xxxx xxxxxxxxxxxxxxx xxxxxx x
x) xxxxxxxxx před jejich xxxxxxxxxxxx, xxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx obsahu, kompromitací, xxxxxxxxxxxxxxx xxxxxxxxxxxx nebo xxxxxxxxxx.
§25
Xxxxxxxxxxxxxx xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx
x) xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxx
1. xxxxxx xxxxxxx s xxxxxxx na xxx x sílu xxxxxxxxxxxxxxxx xxxxxxxxx x
2. xxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx xxx xxxxxxx po xxxxxxxxxxxxx sítích xxxx xxx xxxxxxx xx xxxxxxx zařízení xxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxx x
x) x xxxxxxx s xxxxxxxxxxxxxx xxxxxxxxx x výsledky xxxxxxxxx rizik xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, které xxxxxxx ochranu důvěrnosti x integrity xxxxxxxxxxx xxxx xxxxxxxxxx dat x průkaznou xxxxxxxxxxxx xxxxx za xxxxxxxxx xxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxx pro xxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxx xxxxx, xxxxx xxxxxxx xxxxxxxxxx, xxxxxxxxxx, xxxxxxxx, xxxxxxxxx, xxxxx, xxxxxx, xxxxxxxx x audit xxxxx, x
x) používá xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxx; x xxxxxxx xxxxxxxxx x xxxxxxxxxxx požadavky xx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxx x příloze č. 3 k xxxx vyhlášce řídí xxxxxx xxxxxxx x xxxxx xxxxxxxxxx.
§26
Xxxxxxx xxx xxxxxxxxxxx xxxxxx dostupnosti
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) až e) xxxxxx x souladu x bezpečnostními potřebami x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx nástroj xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx informací.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxx nástroj xxx xxxxxxxxxxx úrovně xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxx xxxxxxx xxxx řízení xxxxxxxxxx xxxxxxxx,
x) xxxxxxxx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentům, které xx xxxxx xxxxxx xxxxxxxxxx, a
c) zálohování xxxxxxxxxx technických xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx
1. xxxxxxxx xxxxxxxxxx v xxxxxx xxxxxx a
2. zajištěním xxxxxxxxxx xxxxxxxxxxx aktiv x xxxxxxx xxxx.
§27
Xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx systémů
Orgán x xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx xxx bezpečnost xxxxxxxxxxxx x řídicích xxxxxxx, xxxxx xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx anebo xxxx xxxxxx xxxxxxxx, používá xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx fyzického xxxxxxxx x síti a xxxxxxxxx xxxxxxxxxxxx a xxxxxxxx systémů,
b) xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxx x xxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx,
x) ochranu xxxxxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx x xxxxxxxx xxxxxxx xxxx využitím xxxxxxx xxxxxxxxxxxxx x
x) obnovení xxxxx průmyslových x xxxxxxxx xxxxxxx xx xxxxxxxxxxxxx bezpečnostním xxxxxxxxx.
HLAVA XXX
XXXXXXXXXXXX XXXXXXXXXXX
§28
Xxxxxxxxxxxx xxxxxxxxxxx
(1) Orgán x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx xxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, která xxxxxxxx
x) xxxxxxxxxxxx politiku xxxxx §5 odst. 1,
x) zprávy x xxxxxx kybernetické xxxxxxxxxxx xxxxx §3 odst. 1 písm. f),
c) xxxxxx x xxxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx xxxxx §3 xxxx. 1 xxxx. x),
x) xxxxxxxx xxx xxxxxxxxxxxx x hodnocení xxxxx a pro xxxxxxxxxxxx x xxxxxxxxx xxxxx,
x) xxxxxx o xxxxxxxxx xxxxx a xxxxx,
x) xxxxxxxxxx x xxxxxxxxxxxxxxxx,
x) xxxx xxxxxxxx xxxxx,
x) xxxx xxxxxxx xxxxxxxxxxxxxx povědomí xxxxx §9 odst. 1 xxxx. a),
i) zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xxxxx §13 xxxx. x),
x) strategii řízení xxxxxxxxxx činností podle §14 xxxx. 1 xxxx. x) a
k) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx předpisů x xxxxxx předpisů x xxxxxxxxx závazků podle §15 xxxx. 1 xxxx. x).
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xxxxxx xxxx x xxxxxxxxxxx bezpečnostní xxxxxxxxxxx, xxxxx xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxx xxxxx §5 xxxx. 2,
x) xxxxxxxx xxx identifikaci x xxxxxxxxx xxxxx x pro xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxx §4 odst. 2 písm. a),
c) xxxxxx x hodnocení xxxxx x xxxxx xxxxx §4 xxxx. 2 xxxx. x) x c),
d) xxxxxxxxxx x xxxxxxxxxxxxxxxx podle §4 xxxx. 2 xxxx. d),
e) plán xxxxxxxx xxxxx xxxxx §4 odst. 2 xxxx. x),
x) plán xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 písm. x),
x) xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. e),
h) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxx §14 odst. 1 písm. c) x
x) přehled právních xxxxxxxx, vnitřních xxxxxxxx x jiných xxxxxxxx x smluvních xxxxxxx xxxxx §15 odst. 1 xxxx. x).
(3) Xxxxx a osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx vede xxxxxxxxxxxx xxxxxxxxxxx xxx, xxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxx xxxxx, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx x xxx xx daly xxxxxx xxxxxxxx. Opatření potřebná x xxxxxxxxxxxx, xxxxxxx, xxxxxxx, xxxxxxxxx, xxxx xxxxxxxxx x xxxxxxxxxx xxxxxxx o provedených xxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxxxxx xxxxxxxxx bezpečnostní xxxxxxxxxxx xx xxxxxxxxx v příloze č. 4 x xxxx xxxxxxxx.
§29
Prokázání certifikace
Orgán a xxxxx uvedená v §3 xxxx. x) xx e) zákona, xxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx systém xx xxxxx xxxxxxx xx rozsahu systému xxxxxx xxxxxxxxxxx informací, xxxxx xxx xxxxxxxxxxxx xxxxx příslušné xxxxxxxxx xxxxx1) xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx, x xxxxx xxxx xxxxxxxxx xxxxxxxxxx
x) xxxxx xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx x xxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxx x xxxxxx x xxxxxxxxx rizik,
d) xxxxxxxxxx x aplikovatelnosti,
e) xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx splňující xxxxxxxxx xxxxxxxxx technické xxxxx xxxxxxxxxx xx xxxxxxxxxxx informací1),
f) záznam x xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx souvisejících vstupů x xxxxxxx xxxxxxxxxxx x
x) xxxxxx z xxxxxx provedených xxxxxxxxxxxxx xxxxxxx xxxxxx příslušných xxxxxxx x xxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxxxx xxxxxx,
xxxxxxx požadavky xx zavedení xxxxxxxxxxxxxx xxxxxxxx podle xxxxxx x xxxx xxxxxxxx.
ČÁST XXXXX
XXXXXXXXXXXX BEZPEČNOSTNÍ XXXXXXXX
§30
Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Podle příčiny xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx do xxxxxxxxxxxxx typů
a) kybernetický xxxxxxxxxxxx incident xxxxxxxxx xxxxxxxxxxxxx útokem nebo xxxxx xxxxxxxx vedoucí x xxxxxxx xx xxxxxxx xxxx x xxxxxxx xxxxxxxxxxx služeb,
b) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxx xxxxxxxxx kódem,
c) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx překonáním xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxx x xxxxxxxx trvale xxxxxxxxxx hrozeb x
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx.
(2) Xxxxx xxxxxx xxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx xxxxxxxxx do xxxxxxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobující xxxxxxxx důvěrnosti xxxxx,
x) xxxxxxxxxxxx bezpečnostní incident xxxxxxxxxxx xxxxxxxx integrity xxxxx,
x) kybernetický xxxxxxxxxxxx xxxxxxxx způsobující xxxxxxxx xxxxxxxxxxx xxxxx, xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx v xxxxxxxxx x) xx c).
§31
Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xx xxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxx xx xxxxxxxxxxxxx kategorií
a) Xxxxxxxxx XXX - velmi xxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, xxx kterém xx xxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx. Jeho xxxxxx xxxxxxxx xxxxxxxxxx zásahy xxxxxxx s xxx, xx musí xxx xxxxx dostupnými xxxxxxxxxx xxxxxxxxx xxxxxxx šíření xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx x potenciálních škod.
b) Xxxxxxxxx II - xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, při kterém xx narušena bezpečnost xxxxxxxxxxxxx služeb nebo xxxxx. Xxxx řešení xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x xxx, xx musí xxx xxxxxxxx prostředky xxxxxxxxx xxxxxxx šíření xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
x) Xxxxxxxxx X - xxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx kterém xxxxxxx k xxxx xxxxxxxxxx xxxxxxxx bezpečnosti xxxxxxxxxxxxx služeb xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxx xxxxxxx x tím, že xxxx xxx xxxxxxxx xxxxxxxxxx omezeno xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace xxxxxxxxx xxxx.
(2) Orgán x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xxxxx odstavce 1 xxxxxxxx
x) xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) dopady xx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury, xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) dopady xx xxxxxx xxxxxxxxxxx jinými xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačními xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x
x) xxxxxxxxxxxxx škody x xxxxx xxxxxx.
§32
Xxxxx x náležitosti xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxx kybernetický bezpečnostní xxxxxxxx
x) x xxxxxxxxxxxx xxxxxx prostřednictvím
1. xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Úřadu,
2. xxxxxx na xxxxxx xxxxxxxxxxxx pošty Úřadu xxxxxx xxx příjem xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, zveřejněné na xxxxxxxxxxxxx stránkách Úřadu,
3. xxxxxx xxxxxx xx xxxxxx schránky Xxxxx, xxxx
4. xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx rozhraní, jehož xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx, xxxxx
x) x xxxxxxxx podobě na xxxxxx Xxxxxxxxx centra xxxxxxxxxxxx bezpečnosti, xxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxx x xxxxxxxx xxxxxx se xxxxxx pouze x xxxxxxxxx, xxx nelze xxxxxx žádný xx xxxxxxx xxxxxxxxx x xxxxxxxx 1 xxxx. x).
(3) Náležitosti hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx uvedeny x příloze č. 5 x xxxx xxxxxxxx.
XXXX ČTVRTÁ
REAKTIVNÍ XXXXXXXX X KONTAKTNÍ ÚDAJE
§33
Reaktivní xxxxxxxx
Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxx xxxxxxxxx reaktivního xxxxxxxx x xxxx výsledek xx xxxxxxxxx, xxxxx xxxx xx xxxxxx x příloze č. 6 x xxxx xxxxxxxx.
§34
Xxxxxxxxx xxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxxxx xxxxxxxx xxxxxxxxx údaje xx xxxxxxxxx, xxxxx xxxx xx xxxxxx x příloze č. 7 k xxxx xxxxxxxx. Xxxxx x xxxxx uvedená x §3 xxxx. c) xx x) zákona xxxxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxx x §32 odst. 1 xxxx. x).
XXXX PÁTÁ
ÚČINNOST
§35
Tato vyhláška xxxxxx xxxxxxxxx dnem 1. xxxxx 2015.
Ředitel:
Ing. Xxxxxxxx x. x.
Xxxxxxx č. 1 x vyhlášce č. 316/2014 Xx.
Xxxxxxxxx x xxxxxx xxxxxxxxxxx xxxxx
Xxx xxxxxxxxx xxxxxxxxxxx aktiv xxxx použity stupnice x xxxxxxx úrovních. Xxxxx xxxx xxxxx xxxxxxx v §3 xxxx. c) až x) xxxxxx může xxxxxxxx xxxxxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxx xxxx xx xxxxxx x xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx a stupnicemi x úrovněmi xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx xxxx uvedeny x této xxxxxxx.
X xxxxxxx použití xxx xxxxxx hodnocení důležitosti xxxxx je xxxxxxxxx xxxxxxx xxx xxxxxx xxxxx a střední, xxxx xxxxxx xxxxxx x xxxxxxxx.
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxx xxxx xxxxxxx přístupná xxxx xxxx určena xx xxxxxxxxxx (např. xx xxxxxxx xxxxxx č. 106/1999 Sb., x xxxxxxxxx xxxxxxxx x xxxxxxxxxx, xx xxxxx pozdějších xxxxxxxx). Xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx v §3 xxxx. x) až x) xxxxxx. |
Xxxx vyžadována xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxx know-how orgánu x osoby xxxxxxx x §3 xxxx. x) xx e) xxxxxx, ochrana xxxxx xxxx vyžadována xxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxx xxxx využívány xxxxxxxxxx pro xxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x jejich xxxxxxx je xxxxxxxxxx xxxxxxxx předpisy, xxxxxx xxxxxxxx nebo xxxxxxxxx xxxxxxxxxx (xxxx. xxxxxxxx xxxxxxxxx xxxxx xxxxxx č. 89/2012 Sb., občanský xxxxxxx, xxxxxx xxxxx xxxxx xxxxxx č. 101/2000 Sb., x xxxxxxx osobních údajů, xx xxxxx xxxxxxxxxx xxxxxxxx). |
Xxx xxxxxxx xxxxxxxxxx xxxx využívány prostředky, xxxxx xxxxxxx řízení x xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx xxxxxxxxx vnější xxxxxxxxxxx xxxx jsou xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x vyžadují xxxxxxxxxxxxx míru ochrany xxx rámec xxxxxxxxx xxxxxxxxx (např. strategické xxxxxxxx xxxxxxxxx, citlivé xxxxxx xxxxx). |
Xxx xxxxxxx xxxxxxxxxx xx xxxxxxxxxx xxxxxxxx xxxx, které x xxxxxxx xxxxxxxxxxx, x xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xx strany administrátorů. Xxxxxxx informací xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx nevyžaduje xxxxxxx x xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx zájmy xxxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx xxxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx xxxxxx xxxx xxxx x xxxxxxxxx xxxxxxxxxxx zájmů xxxxxx x xxxxx uvedené x §3 xxxx. x) xx x) zákona x může xx xxxxxxxx méně xxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx (xxxx. xxxxxxx xxxxxxxxxxxx práv xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx aktiva xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x podstatnými xxxxxx na primární xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány xxxxxxxxx xxxxxxxxxx, xxxxx dovolují xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx a xxxxxxxxxx xxxxxxxx osoby provádějící xxxxx. Xxxxxxx xxxxxxxxx informací xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx sítěmi xx xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x hlediska xxxxxxxxx. Xxxxxxxx integrity xxxx x velmi xxxxxxx poškození xxxxxxxxxxx xxxxx xxxxxx x xxxxx uvedené v §3 xxxx. x) xx x) zákona x xxxxxxx a xxxxx xxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx ochranu xxxxxxxxx jsou xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (xxxx. xxxxxx xxxxxxxxxxx digitálního podpisu). |
Stupnice xxx hodnocení xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxx x v xxxxxxx výpadku xx xxxxx xxxxxxxxxx xxxxx xxxxxx období xxx xxxxxxx (cca xx 1 xxxxx). |
Xxx ochranu xxxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx dostupnosti xxxxxx xx nemělo xxxxxxxxx xxxx pracovního xxx, xxxxxxxxxxxxx xxxxxxx xxxx x xxxxxxx xxxxxxxx zájmů xxxxxx x osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx. |
Xxx xxxxxxx dostupnosti xxxx využívány xxxxx xxxxxx xxxxxxxxxx a xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx dobu xxxxxxxx xxxxx. Xxxxxxxx xxxxxxx je nutné xxxxx xxxxxxxxxx, protože xxxx k přímému xxxxxxxx zájmů xxxxxx x osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx. Xxxxxx xxxx xxxxxxxxxx xxxx xxxxx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx záložní xxxxxxx x obnova poskytování xxxxxx může xxx xxxxxxxxx xxxxxx xxxxxxx xxxx výměnou xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx dostupnosti xxxxxx xxxx přípustné a x xxxxxxxxxx nedostupnost (x řádu xxxxxxxx xxxxx) vede k xxxxxxx ohrožení zájmů orgánu x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx. Aktiva xxxx xxxxxxxxxx xxxx kritická. |
Pro xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx záložní xxxxxxx x obnova xxxxxxxxxxx xxxxxx xx krátkodobá x automatizovaná. |
Příloha č. 2 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx xxxxx
Xxxxxxxxx xxxxx xx xxxxxxxxx xxxx xxxxxx, kterou xxxxxxxxx xxxxx, xxxxxx x zranitelnost.
Pro xxxxxxxxx xxxxx xxx použít xxxxxxx xxxx xxxxxx
xxxxxx = dopad x xxxxxx x xxxxxxxxxxxx.
Xxxxxxxxxxx xxxxxx xxxxxx pro xxxxxx xxxxxx je xxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxxx
|
Xxxxxxxx pro xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxx je x xxxxxxxx časovém xxxxxx a xxxxxx xxxxxxx x xxxxx xxx xxxxxxxxxxxxx. Xxxxxx případných xxxx xxxxxxxxxxx x) 10 xxxxxxxxx xxxx s xxxxxxxxx hospitalizací po xxxx xxxxx xxx 24 hodin nebo b) xxxxxxxx nebo xxxxxxxxxx xxxxxx xx 5&xxxx;000&xxxx;000 Xx xxxxx x) představuje xxxxx xx xxxxxxxxx x xxxxxxxxx omezením xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxxx 250 xxxx. |
|
Xxxxxxx |
Xxxxx je xxxxxxxxx xxxxxxx x x xxxxxxxx xxxxxxx xxxxxx. Xxxxxx xxxxxxxxxx xxxx se xxxxxxxx x rozmezí a) xx 10 xxxxxxx xxxx xx 11 xx 100 osob x xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx nebo xxxxxxxxxx ztráty xx 5&xxxx;000&xxxx;000 Kč xx 50&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx x rozsáhlým xxxxxxxx nezbytných služeb xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx od 251 xx 2&xxxx;500 xxxx. |
|
Xxxxxx |
Xxxxx je xxxxxxxxx xxxxxxx, xxx trvalý xxxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xx pohybuje x rozmezí a) xx 11 do 100 xxxxxxx xxxx xx 101 xx 1 000 osob x xxxxxxxxx hospitalizací po xxxx delší xxx 24 xxxxx nebo b) xxxxxxxx xxxx xxxxxxxxxx xxxxxx od 50&xxxx;000&xxxx;000 Xx xx 500&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx na xxxxxxxxx x rozsáhlým xxxxxxxx xxxxxxxxxx xxxxxx nebo xxxxxx xxxxxxxxx zásahu xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx od 2&xxxx;501 xx 25&xxxx;000 xxxx. |
|
Xxxxxxxx |
Xxxxx xx plošný xxxxxxxx, xxxxxx a katastrofický. Rozsah xxxxxxxxxx xxxx se xxxxxxxx x xxxxxxx x) 10 a xxxx xxxxxxx x 1 001 x xxxx xxxx x xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx nebo b) finanční xxxx xxxxxxxxxx ztráty xxxxxxxxxxx 500&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx xxxxxxxx nezbytných xxxxxx xxxx xxxxxx xxxxxxxxx zásahu xx xxxxxxxxxxxx života xxxxxxxxxxxxx xxxx než 25&xxxx;000 xxxx. |
|
Xxxxxxxx xxx hodnocení xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx neexistuje xxxx xx xxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx realizace xxxxxx xxxx xxxxxxxx než xxxxxx za 5 xxx. |
|
Xxxxxxx |
Xxxxxx je xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx hrozby xx x rozpětí xx 1 xxxx xx 5 xxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxxxxx xx xxxxx pravděpodobná. Xxxxxxxxxxxxx xxxxxxxxx hrozby xx x rozpětí od 1 měsíce do 1 roku. |
|
Kritická |
Hrozba je xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx xxxxxxxx xxx xxxxxx xx měsíc. |
|
Stupnice xxx xxxxxxxxx xxxxxxxxxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx neexistuje xxxx xx zneužití xxxxxxxxxxxxx xxxx pravděpodobné. Xxxxxxxx kvalitní xxxxxxxxxxxx xxxxxxxx, které xxxx xxxxxxx včas detekovat xxxxx xxxxxxx nebo xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxxxxxx xx xxxx pravděpodobná xx xxxxxxxxxxxxx. Existují xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxxxxx xx pravidelně xxxxxxxxxxxx. Schopnost xxxxxxxxxxxxxx xxxxxxxx včas xxxxxxxxx xxxxx xxxxxxx xxxx xxxxxxxx pokusy x xxxxxxxxx xxxxxxxx je xxxxxxx. Nejsou xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx xx xxxxxxxxxxxxx xx velmi pravděpodobná. Xxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx a xxxx xxxxxxxxxx kontrolována. Xxxx xxxxx dílčí xxxxxxx xxxxxx x překonání xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx až xx xxxxxxxx jisté xxxxxxxx. Xxxxxxxxxxxx opatření xxxxxx realizována xxxxx xx jejich účinnost xxxxxx omezena. Xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Xxxx známé xxxxxxx xxxxxx překonání xxxxxxxxxxxxxx opatření. |
|
Stupnice xxx xxxxxxxxx rizik |
|
|
Úroveň |
Popis |
|
Nízké |
Riziko xx xxxxxxxxxx xx přijatelné. |
|
Střední |
Riziko xxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxx x xxxxxxx xxxxx xxxxxxxxxx opatření xx riziko xxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxx nepřípustné x musí xxx xxxxxxxx systematické kroky x xxxx odstranění. |
|
Kritické |
Riziko xx xxxxxxxxxxx a xxxx xxx xxxxxxxxxx xxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
X případě, xx xxxxx xxxx xxxxx uvedená v §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxx pro xxxxxxxxxxxx x xxxxxxxxx xxxxx, xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx, je xxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxx. Sloučení xxxxxxx xx xxxxxx xxxx xx ztrátě schopnosti xxxxxxxxx míry xxxxxx x zranitelnosti. Xx xxxxx xxxxxx xxx xxxxxx například xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxx xxxxxx xxxxxx, xxx i xxxxxx xxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx x xxxxx xxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona, xxxxx xxxxxxx xxxx xxxxx xxxxxx pro xxxxxxxxx xxxxxx, xxxxxx, xxxxxxxxxxxxx a xxxxx.
Xxxxxxx x. 3 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxx
x) Blokové x xxxxxxxx xxxxx xxx xxxxxxx xxxxxxxxxx x xxxxxxxxx
1. Xxxxxxxx Xxxxxxxxxx Xxxxxxxx (AES) x xxxxxxxx délky xxxxx 128, 192 x 256 bitů Xxxxxx Xxxx Encryption Xxxxxxxx (3XXX) s xxxxxxxx xxxxx xxxxx 168 xxxx, xxxxxxx xxxxxxx xxx se xxxxxxxxx xxxxx xxxxxx xxx 10 XX, xxxxxxxx xxxxxxxxx na XXX.
2. Triple Data Xxxxxxxxxx Xxxxxxxx (3XXX) x xxxxxxxx xxxxx xxxxx 112 xxxx, xxxxxxx xxxxxxx jen xx zatížením xxxxx xxxxxx než 10 XX, xxxxxxxx přecházet xx XXX. Xxxxxxxxxx xxxxxxx jedinečného xxxxx xxx xxxxxx xxxxxx.
3. Xxxxxxxx x využitím xxxxxxxxx xxxxx xxxxx 128 xxxx, omezené xxxxxxx xxx se xxxxxxxxx klíče menším xxx 10 GB.
4. Xxxxxx x využitím xxxxx xxxxx 128 xxxx, xxxxxxx použití xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX.
5. Twofish x využitím xxxxx xxxxx 128 až 256 xxxx.
6. Xxxxxxx x xxxxxxxx délky xxxxx 128, 192, 256 xxxx.
7. Xxxxxxxx x xxxxxxxx délky xxxxx 128, 192 x 256 xxxx.
8. XXXX 2.0, XXXX 3X x xxxxxxxx xxxxx klíčů 128, 256 xxxx.
x) Xxxx xxxxxxxxx s xxxxxxxx xxxxxxxxx
1. CCM,
2. XXX,
3. XXX,
4. Složená xxxxxxxx xxxx "Encrypt-then-MAC".
Poznámka:
Schémata xxxx "Xxxxxxx-xxxx-XXX",xxxx používat k xxxxxxxxx xxxxx xxxxxxx xxxxxxxxx xxxx x x výpočtu XXX xxxxx xxxxxxx xxxx xxx xxxxxxx integrity.
c) Xxxx šifrování
1. CTR,
2. XXX,
3. XXX,
4. CFB,
Poznámka:
Módy XXX x XXX xxxx xxx xxxxxxx x náhodným, xxx xxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, při použití xxxx XXX se xxx daný klíč xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxxx xxxxxxx, xxx xxxxxxx módu XXX xx pro xxxx xxxx xxxxx xxxxxxxx xxxxxxx xxxxxx, x xxxxxxx xxxxxxx XXX xxxx x xxxxxxxxx xxx xxxxxxx xxxxxxxxx xx xxxxx ověřit xxxxxxxx xxxxx xxxxx xx padding XXX xxxx.
x) Módy xxx xxxxxxx xxxxxxxxx
1. XXXX,
2. XXX-XXX-X9.19, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxxx xxx 109 XXX,
3. XXX-XXX-XXXX,
4. XXXX.
(2) Xxxxxxxxxxx xxxxxxxxx
x) Xxx xxxxxxxxxxx digitálního xxxxxxx
1. Xxxxxxx Signature Xxxxxxxxx (XXX) x využitím xxxxx klíčů 2048 xxxx a více, xxxxx parametru xxxxxxxx xxxxxxxx 224 bitů x xxxx.
2. Xxxxxxxx Xxxxx Digital Xxxxxxxxx Xxxxxxxxx (XX-XXX) s xxxxxxxx xxxxx klíčů 224 bitů x xxxx.
3. Xxxxxx-Xxxxxx-Xxxxxxx Xxxxxxxxxxxx Xxxxxxxxx Scheme (RSA-PSS) x využitím délky xxxxx 2048 xxxx x xxxx.
x) Xxx xxxxxxx xxxxx na xxxxx x šifrování xxxxx
1. Xxxxxx-Xxxxxxx (XX) x využitím xxxxx xxxxx 2048 xxxx x xxxx, xxxxx xxxxxxxxx xxxxxxx xxxxxxxx 224 xxxx a xxxx.
2. Elliptic Curve Xxxxxx-Xxxxxxx (ECDH) x xxxxxxxx xxxxx xxxxx 224 xxxx x xxxx.
3. Elliptic Curve Xxxxxxxxxx Encryption Xxxxxx - Key Xxxxxxxxxxxxx Xxxxxxxxx (XXXXX-XXX) x xxxxxxxx délky klíčů 256 xxxx x xxxx.
4. Xxxxxxxx Xxxxxx Xxxxxxxx Xxxxx - Xxx Xxxxxxxxxxxxx Mechanism (XXXX-XXX) s xxxxxxxx xxxxx xxxxx 256 xxxx xxxx.
5. Asymetrie Xxxxxxx xxx Xxx Xxxxxxxxxxxxx Xxxxxxxxx (ACE-KEM) x xxxxxxxx délky xxxxx 256 xxxx x xxxx.
6. Xxxxxx Xxxxxx Xxxxxxx - Xxxxxxx Asymetrie Xxxxxxxxxx Xxxxxxx (RSA-OAEP) x xxxxxxxx xxxxx xxxxx 2048 a xxxx.
7. Xxxxxx Shamir Adleman - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) s xxxxxxxx délky xxxxx 2048 x xxxx.
(3) Xxxxxxxxx xxxx funkcí
a) XXX-2
1. XXX-224,
2. XXX-256,
3. XXX-384,
4. SHA-512,
5. XXX-512/224,
6. XXX-512/256.
x) XXX-3
1. SHA3-224,
2. XXX3-256,
3. SHA3-384,
4. SHA3-512,
5. XXXXX-128,
6. XXXXX-256.
x) Ostatní xxxxxxxx xxxxxx
1. Whirpool,
2. XXXXXX-160,
3. XXX 1 x xxxxxxxx použitím.
Poznámka x. 1:
XXX-1 se xxxxx xxxxxxxx xxx xxxxxxxxxx xxxxxx digitálních xxxxxxx, časových xxxxxxx, xxxxxxxxx jiné aplikace xxxxxxxxxx xxxxxxxxx SHA-1.
Poznámka x. 2:
SHA-1 xxx xxxxxxxx xxxxx pro xxxxxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxx podpisů x xxxxxxxx xxxxxxx, xxxxxxxxxx x ověřování XXXX-XXX1, xxxxxx xxx odvozování xxxxx a xxxxxxxxxxxxx xxxxxxxxxx.
Příloha x. 4 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
Xxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx. Navrhované struktury xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx, xxxxx xxxxxxxxxx xxxxxxxxx podle xxxx xxxxxxxx pokrývají, přičemž xxxxxxx struktury xxxxxxxxx xxxxxx xxxxxxx a xx xx orgánu xxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx, xxxx přístup x tvorbě bezpečnostní xxxxxxxxxxx použije. Přípustná xx x xxxxx xxxxx jednotlivých xxxxxxxxx xxxx xxxxxxxxxxx více xxxxx xx jednoho xxxxxxxxx.
X. Xxxxxxxxx xxxxxxxxxxxx xxxxxxxx
(1) Xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. a)]
a) Xxxx, principy x xxxxxxx řízení bezpečnosti xxxxxxxxx.
x) Xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x postupy pro xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxx x xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x postupy pro xxxxxxxxx auditů kybernetické xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx přezkoumání xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxx x zlepšování xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxxx organizační xxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxxxxxxxxx xxxx x xxxxxx xxxx x xxxxxxxxxx,
1. xxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
2. xxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx bezpečnosti,
3. xxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx bezpečnosti,
4. xxxxx a povinnosti xxxxxxx xxxxx,
5. práva x xxxxxxxxxx xxxxxx xxx řízení kybernetické xxxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxx.
(3) Xxxxxxxx xxxxxx dodavatelů**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x xxxxxxxx xxx výběr xxxxxxxxxx.
x) Xxxxxxxx xxx hodnocení xxxxx xxxxxxxxxx.
x) Xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxx x způsobů x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a x xxxxxx vzájemné xxxxxxx xxxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx xxxxxxxxxx.
(4) Politika klasifikace xxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Identifikace, hodnocení x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x xxxxxxxx jednotlivých xxxxxxxxxx xxxxx včetně xxxxxx xxxxxx xxxxxxx,
2. hodnocení xxxxxxxxxxx xxxxxxxxxx aktiv x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx a xxxxxxxx xxxxxxxxxxxx podpůrných aktiv xxxxxx určení xxxxxx xxxxxxx,
2. určení xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx pro xxxxxxxxxx x xxxxxxxx xxxxx xxxxx xxxxxx xxxxx,
3. xxxxxxxxx způsoby xxxxxxxxx xxxxx.
x) Způsoby xxxxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx xxx.
(5) Xxxxxxxx bezpečnosti xxxxxxxx xxxxxx**
[§5 odst. 1 xxxx. e), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxx jeho hodnocení
1. xxxxxxx x xxxxx xxxxxxx uživatelů,
2. xxxxxxx x xxxxx xxxxxxx xxxxxxx xxxxx,
3. xxxxxxx x xxxxx poučení xxxxxxxxxxxxxx,
4. xxxxxxx x xxxxx xxxxxxx dalších xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Bezpečnostní xxxxxxx xxxxxx zaměstnanců.
c) Xxxxxxxx xxx řešení xxxxxxx xxxxxxxx bezpečnostní xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx pro xxxxxxxx xxxxxxxxxx xxxxxx xxxx změnu pracovní xxxxxx.
1. xxxxxxx xxxxxxxxx xxxxx x odebrání xxxx při xxxxxxxx xxxxxxxxxx vztahu,
2. xxxxx xxxxxxxxxxxx oprávnění při xxxxx xxxxxxxx pozice.
(6) Xxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Pravomoci x xxxxxxxxxxxx xxxxxxx x xxxxxxxxx provozem.
b) Xxxxxxx bezpečného provozu.
c) Xxxxxxxxx x standardy xxxxxxxxxx xxxxxxx.
x) Xxxxxx xxxxxxxxxxx zranitelností.
e) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a bezpečnostních xxxxx.
(7) Xxxxxxxx xxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. g), §5 xxxx. 2 písm. x)]
x) Princip xxxxxxxxxxx xxxxxxxxx/xxxxxxx znát (need xx know).
b) Požadavky xx xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxx xxxxxxxx.
x) Řízení xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx rozdělení xxxxxxxxxxxx uživatelů v xxxxxxxxxxxx xxxxxxxxx.
(8) Xxxxxxxx xxxxxxxxxx chování xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx pro bezpečné xxxxxxxxx s xxxxxx.
x) Xxxxxxxx použití xxxxxxxxxxxx xxxxx.
x) Bezpečné xxxxxxx xxxxxxxxxxxx xxxxx x xxxxxxxx xx xxxxxxxx.
x) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx xxxxxxx na xxxxxxxxxx sítích.
f) Xxxxxxxxxx xx xxxxxx x xxxxxxxx xxxxxxxxx.
(9) Politika xxxxxxxxxx a obnovy**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. i)]
a) Xxxxxxxxx na xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxx xxxxxxxxxx x xxxxxx.
(10) Xxxxxxxx xxxxxxxxxx xxxxxxxxx x výměny informací**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx a xxxxxxx xxx ochranu xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx xxxxxxx elektronické xxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(11) Xxxxxxxx řízení xxxxxxxxxxx xxxxxxxxxxxxx**
[§5 odst. 1 xxxx. k)]
a) Xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx vybavení,
b) Xxxxxxxx x postupy xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
x) Pravidla a xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
(12) Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx*
[§5 xxxx. 1 xxxx. 1)]
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx používání xxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro zajištění xxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxx a osoba xxxxxxx v §3 xxxx. x) x x) zákona xxxxxxxxxxx.
(13) Xxxxxxxx xxxxxxxxxxx x xxxxxxxx licencí xxxxxxxxxxxx xxxxxxxx x informací*
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxx a postupy xxxxxxxx programového vybavení x xxxx evidence.
b) Xxxxxxxx a postupy xxx kontrolu dodržování xxxxxxxxxx podmínek.
(14) Xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx informací*
[§5 xxxx. x písm. x)]
x) Xxxxxxxx a postupy xxxxxxxxx xxxxxxxxx x xxxxxxx.
x) Xxxxxxx xxxxxxxxxxxxx xxxxxxxxx x záznamů.
c) Xxxxxxxx xxxxxxxx k xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx.
(15) Xxxxxxxx xxxxxxx xxxxxxxx údajů*
[§5 xxxx. x xxxx. x), §5 xxxx. 2 xxxx. k)]
a) Charakteristika xxxxxxxxxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx organizačních xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
(16) Politika xxxxxxx xxxxxxxxxxx**
[§5 xxxx. x xxxx. p)]
a) Xxxxxxxx xxx xxxxxxx xxxxxxx.
x) Pravidla pro xxxxxxxx xxxxxx osob.
c) Xxxxxxxx xxx ochranu xxxxxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxx.
(17) Politika xxxxxxxxxxx xxxxxxxxxxx xxxx**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla x xxxxxxx pro zajištění xxxxxxxxxxx sítě.
b) Xxxxxx xxxx a xxxxxxxxxx xx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx řízení xxxxxxxx x xxxxx xxxx.
x) Xxxxxxxx a xxxxxxx xxx ochranu xxxxxxxxxx xxxxxxxx k xxxx.
x) Pravidla x xxxxxxx pro xxxxxxxxxxxx xxxx a xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.
(18) Politika xxxxxxx před xxxxxxxxx xxxxx*
[§5 xxxx. x xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxx x xxxxxx sítí.
b) Xxxxxxxx x postupy xxx xxxxxxx serverů x xxxxxxxxx datových xxxxxxx.
x) Xxxxxxxx x xxxxxxx pro ochranu xxxxxxxxxx xxxxxx.
(19) Xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx pro detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx**
[§5 xxxx. 1 písm. x), §5 xxxx. 2 písm. n)]
a) Xxxxxxxx x postupy xxxxxxxx xxxxxxxx pro xxxxxxx kybernetických bezpečnostních xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx xxxxxxxxxxxxx a xxxxxxxxx na detekované xxxxxxxxxxxx xxxxxxxxxxxx události.
c) Xxxxxxxx x xxxxxxx xxx optimalizaci nastavení xxxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(20) Xxxxxxxx xxxxxxx a xxxxxx xxxxxxxx pro xxxx x vyhodnocení xxxxxxxxxxxxxx bezpečnostních xxxxxxxx**
[§5 xxxx. 1 písm. x)]
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx pravidelné xxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx optimální xxxxxxxxx bezpečnostních xxxxxxxxxx xxxxxxxx xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
(21) Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx**
[§5 xxxx. 1 xxxx. u), §5 xxxx. 2 písm. x)]
x) Úroveň xxxxxxx x ohledem xx xxx x sílu xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx
1. xxx xxxxxxx po xxxxxxxxxxxxx xxxxxx,
2. při xxxxxxx xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxx xxx,
x) Xxxxxx správy xxxxx.
XX. Xxxxxxxxx xxxxx dokumentace
(1) Xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx**
[§28 odst. 1 písm. b)]
a) Xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx auditu xxxxxxxxxxxx bezpečnosti.
c) Xxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti.
d) Xxxxxxxxxxxxxx xxxx xxxxxxxx x xxxx, xxxxx xx auditu xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx.
x) Xxxxx x xxxxx, kde xxxx prováděny xxxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Zjištění x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(2) Xxxxxx x xxxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx informací**
[§28 xxxx. 1 písm. x)]
x) Xxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) Xxxxxxxxxxxx xxxx x xxxxxxxxx, které xxxxx xxx xxxx na xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxx x výkonnosti xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x xxxxxxxx xxxxxxxx,
2. xxxxxxxx monitorování x xxxxxx,
3. výsledky auditu,
4. xxxxxxxx xxxx bezpečnosti,
d) Xxxxxxxx xxxxxxxxx rizik x xxxx plánu xxxxxxxx xxxxx.
x) Xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, stanovení opatření x xxxx xxxxxxxxxxxxx xxxxx jednotlivých činností.
(3) Xxxxxxxx xxx identifikaci x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxx stupnice xxx xxxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxx,
2. xxxxxx stupnice xxx xxxxxxxxx xxxxxx xxxxxxxxx aktiv,
3. xxxxxx xxxxxxxx xxx hodnocení xxxxxx dostupnosti aktiv.
b) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,
3. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx,
4. určení xxxxxxxx pro hodnocení xxxxxx rizik,
a) Xxxxxx x xxxxxxxx xxx xxxxxxxx rizik.
b) Způsoby xxxxxxxxxxx xxxxxxxxxxxx xxxxx.
(4) Xxxxxx o xxxxxxxxx xxxxx a rizik**
[§28 xxxx. 1 písm. x), §28 odst. 2 xxxx. x)]
x) Xxxxxxx primárních xxxxx
1. xxxxxxxxxxxx x popis xxxxxxxxxx aktiv,
2. určení xxxxxxx xxxxxxxxxx aktiv,
3. xxxxxxxxx xxxxxxxxxx aktiv x xxxxxxxx důvěrnosti, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx aktiv (xxxxxxx pro xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx)
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx garantů xxxxxxxxxx xxxxx,
3. xxxxxx xxxxx xxxx xxxxxxxxxx x podpůrnými xxxxxx,
x) Xxxxxxxxxxxxxx x hodnocení xxxxx
1. xxxxxxxxx možných xxxxxx xx xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx zranitelností, xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx xxxx xxxxxx x xxxxxxxx pro xxxxxxxxxxxx xxxxx,
5. určení x xxxxxxxxx přijatelných xxxxx.
x) Xxxxxxxx xxxxx
1. xxxxx způsobu xxxxxxxx xxxxx,
2. návrh opatření x jejich xxxxxxxxx.
(5) Xxxxxxxxxx x aplikovatelnosti*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx vybraných xxxxxxxxxxxxxx xxxxxxxx včetně xxxxxxxxxx xxxxxx xxxxxx x xxxxxx xxxxx xx xxxxxxxxxxxxxx xxxxxx.
x) Přehled xxxxxxxxxx xxxxxxxxxxxxxx opatření.
(6) Xxxx zvládání xxxxx**
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. e)]
a) Xxxxx a xxxx xxxxxxxxx bezpečnostních xxxxxxxx xxx zvládání rizik.
b) Xxxxxxxx zdroje xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
c) Xxxxx zajišťující jednotlivá xxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx pro xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
(7) Plán xxxxxxx xxxxxxxxxxxxxx xxxxxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx x termíny xxxxxxx xxxxxxxxx.
x) Xxxxx x xxxxxxx poučení xxxxxxx xxxxx (neplatí xxx orgány x xxxxx uvedené x §3 písm. x) xxxxxx).
x) Xxxxx x xxxxxxx poučení xxxxxxxxxxxxxx (xxxxxxx pro orgány x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx).
x) Xxxxx x xxxxxxx poučení xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
e) Xxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxx x způsoby xxxxxxxxx xxxxx.
(8) Zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. g)]
a) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx evidenci x xxxxxxxx jednotlivých xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx systému xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních incidentů x pro xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(9) Xxxxxxxxx xxxxxx xxxxxxxxxx činností**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. h)]
a) Xxxxx x povinnosti xxxxxxxxxxxx xxxx.
x) Xxxx xxxxxx xxxxxxxxxx činností
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx,
2. xxxx xxxxxxxx xxxxx,
3. xxx xxxxxxxx xxxxx.
x) Xxxxxxxxx řízení xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxx dopadů xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx kontinuitu x xxxxxxxxxx xxxxxxxxxxxxx rizik.
e) Xxxxxx x obsah xxxxxxxxxx plánů xxxxxxxxxx.
x) Xxxxxxx xxx realizaci xxxxxxxx xxxxxxxx Národním xxxxxxxxxxxxx úřadem.
(10) Xxxxxxx xxxxxx xxxxxxxxx právních xxxxxxxx, xxxxxxxxx předpisů x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 odst. 2 písm. i)]
a) Xxxxxxx xxxxxx závazných xxxxxxxx předpisů.
b) Xxxxxxx xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxx.
Xxxxxxxx:
* Očekávaná xxxxxxxxx xxxxxxxxx xx xx úrovni střední xxxxx stupnice xxxxxxx x příloze č. 1: Hodnocení x xxxxxx xxxxx.
** Xxxxxxxxx xxxxxxxxx xxxxxxxxx xx xx úrovni xxxxxx podle xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx a úroveň xxxxx.
Příloha č. 5 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu
Vyplnitelný formulář ve formátu PDF
Příloha x. 6 x vyhlášce x. 316/2014 Xx.
Xxxxxxxx xxxxxxxx x provedení xxxxxxxxxxx xxxxxxxx x jeho xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Příloha x. 7 x xxxxxxxx x. 316/2014 Sb.
Formulář pro xxxxxxx xxxxxxxxxxx údajů
Vyplnitelný formulář ve formátu PDF
Xxxxxxxxx
Xxxxxx předpis č. 316/2014 Sb. xxxxx xxxxxxxxx xxxx 1.1.2015.
Xx xxx xxxxxxxx právní xxxxxxx xxxxx xxxxx xx xxxxxxxxx.
Xxxxxx předpis x. 316/2014 Xx. xxx zrušen xxxxxxx xxxxxxxxx č. 82/2018 Sb. x xxxxxxxxx xx 28.5.2018.
Znění xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxxx, pokud xx xxxx xxxxxx derogační xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
1) ISO/IEC 27001:2013, xxxxxxxx XXX ISO/IEC 27001:2014