Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
XXXXXXXX
xx xxx 15. xxxxxxxx 2014
x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx, reaktivních opatřeních x x xxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x kybernetické xxxxxxxxxxx)
Xxxxxxx xxxxxxxxxxxx xxxx xxxxxxx xxxxx §28 xxxx. 2 xxxxxx x. 181/2014 Sb., x xxxxxxxxxxxx xxxxxxxxxxx x x xxxxx xxxxxxxxxxxxx xxxxxx (xxxxx x xxxxxxxxxxxx xxxxxxxxxxx), (xxxx xxx "xxxxx") x xxxxxxxxx §6 xxxx. x) xx x), §8 odst. 4, §13 odst. 4 x §16 xxxx. 6 xxxxxx.
XXXX XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxxx vyhláškou xx xxxxxxx obsah x xxxxxxxxx bezpečnostní xxxxxxxxxxx xxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx, xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxx jejich xxxxxxxx, xxxx x kategorie xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů, xxxxxxxxxxx a xxxxxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx, náležitosti xxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx x vzor xxxxxxxx xxxxxxxxxxx xxxxx x xxxx formu.
§2
Xxxxxxxx pojmů
V této xxxxxxxx se xxxxxx
x) xxxxxxxx řízení xxxxxxxxxxx xxxxxxxxx xxxx systému xxxxxx orgánu a xxxxx xxxxxxx v §3 písm. x) xx x) xxxxxx xxxxxxxx xx xxxxxxxx x rizikům xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx, xxxxx xxxxxxx xxxxxx xxxxxxxx, xxxxxxxx, xxxxxx, xxxxxxxxxxxx, přezkoumání, xxxxxxxxx a zlepšování xxxxxxxxxxx informací,
b) xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx aktivum,
c) xxxxxxxxx xxxxxxx informace xxxx xxxxxx, xxxxxx xxxxxxxxxx xxxx xxxxxxxxx informační xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx informační xxxxxx,
x) xxxxxxxxx aktivem xxxxxxxxx xxxxxxx, xxxxxxxxxxx x dodavatelé podílející xx xx provozu, xxxxxxx, xxxxxx xxxx xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx, komunikační prostředky x programové xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx, xx xxxxxxx xxxx tyto xxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxx, xx xxxxxx xxxxxx xxxxxxx zranitelnosti xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxx xxxxxx, při xxxx xx xxxxxxxx xxxxxxxxxx xxxxx a xxxxxx přijatelná xxxxxx,
x) xxxxxxx xxxxx činnost xxxxxxxxxx xxxxxxxxx xxxxx, xxxxx a xxxxxxxx xxxxxxxx xx zvládání xxxxx, xxxxxxx informací x riziku x xxxxxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxx může xxx xxxxxxxxx aktiva,
j) xxxxxxxxxxxxx xxxxx xxxxx xxxxxx xxxx xxxxxxxxxxxxxx opatření, xxxxx může být xxxxxxxx xxxxxx xxxx xxxx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxx xxxxxx zbývající xx xxxxxxxxx bezpečnostních xxxxxxxx, jehož xxxxxx xxxxxxxx xxxxxxxxx pro xxxxxxxxxxxx rizik,
l) bezpečnostní xxxxxxxxx xxxxxx zásad x xxxxxxxx, xxxxx xxxxxx xxxxxx zajištění xxxxxxx xxxxx xxxxxxx x osobou xxxxxxxx x §3 xxxx. x) xx x) xxxxxx,
x) xxxxxxxx xxxxxx xxxxxxx osoba xxxxxxxx xxxxxxx nebo xxxxxx xxxxxxxx x §3 xxxx. x) až x) xxxxxx x xxxxxxxxx xxxxxxx, xxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx nebo xxxxxxxxx xxxxx xxxxx xxxxx xxxxxxx xxxx, xxxxx využívá xxxxxxxx xxxxxx,
x) administrátorem xxxxxxx xxxxx xxxxxxxx xxxxxxxx xxxxxx zajišťující xxxxxx, xxxxxx, použití, xxxxxx x xxxxxxxxxx technického xxxxxx.
ČÁST DRUHÁ
BEZPEČNOSTNÍ XXXXXXXX
XXXXX X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx x xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx x xxxxxxx na xxxxxx x xxxxxxxxxxx bezpečnost xxxxxx a xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xx xxxxxx xxxx, xxxxxxx organizačních xxxxx x technických xxxxx xx xxxxxx xxxxxx xxxxxxxxxxx informací xxxx,
x) řídí xxxxxx xxxxx §4 odst. 1,
x) vytvoří x xxxxxxx bezpečnostní xxxxxxxx x xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, práva x xxxxxxxxxx xx vztahu x řízení bezpečnosti xxxxxxxxx x xx xxxxxxx xxxxxxxxxxxxxx potřeb x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx bezpečnostní xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §5 x zavede příslušná xxxxxxxxxxxx xxxxxxxx,
x) monitoruje xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx vhodnost x xxxxxxxx bezpečnostní xxxxxxxx xxxxx §5,
f) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx podle §15, x xx xxxxxxx xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxx, xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx na xxxxxx xxxxxx bezpečnosti informací, x xx xxxxxxx xxxxxx xxxxx,
x) xxxxxxxxxxx xxxxxx řízení bezpečnosti xxxxxxxxx x příslušnou xxxxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x x xxxxxxxxxxx s xxxxxxxxxxx nebo xxxxxxxxxxx xxxxxxx a
i) řídí xxxxxx a zdroje xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, zaznamenává xxxxxxxx xxxxxxx xx systémem xxxxxx xxxxxxxxxxx xxxxxxxxx x řízením xxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. e) xxxxxx x xxxxx systému xxxxxx bezpečnosti informací
a) xxxx rizika xxxxx §4 xxxx. 2,
x) xxxxxxx a xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, která xxxxxxxx xxxxxx zásady, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx xx vztahu k xxxxxx xxxxxxxxxxx informací x xx xxxxxxx xxxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx politiku x dalších oblastech xxxxx §5, x xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x
x) provádí xxxxxxxxxxx zprávy x xxxxxxxxx xxxxx x xxxxx, bezpečnostní xxxxxxxx, xxxxx xxxxxxxx xxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, x xx xxxxxxx xxxxxx xx xxx xxxx xxxx x xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx.
§4
Xxxxxx xxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxx aktiv x pro xxxxxxxxxxxx x hodnocení rizik xxxxxx stanovení xxxxxxxx xxx xxxxxxxxxxxx rizik,
b) xxxxxxxxxxxx a xxxxxxx xxxxxxxxxx xxxxx, která xxxxx xx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx §8 x xxxxxxx přílohy č. 1 x této xxxxxxxx x xxxxxxx xxxxxxxxx xx xxxxxx x xxxxxxxxx aktiv x xxxxx,
x) identifikuje xxxxxx, xxx kterých xxxxxxxx xxxxxx a xxxxxxxxxxxxx, xxxxxxx xxxxx xxxxxx xx aktiva, hodnotí xxxx rizika xxxxxxxxx x rozsahu xxxxx přílohy č. 2 x xxxx xxxxxxxx, xxxx x xxxxxxx xxxxxxxxxx xxxxxx x zpracuje xxxxxx x hodnocení aktiv x rizik,
d) zpracuje xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx rizik prohlášení x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx x zavedených xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx x xxxxxx xxxx xxxxxxxx xxxxx, xxxxx xxxxxxxx xxxx x přínosy xxxxxxxxxxxxxx opatření xxx xxxxxxxx rizik, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, potřebné xxxxxxxx, xxxxxxxxx, lidské x xxxxxxxxxx xxxxxx, xxxxxx jejich xxxxxxxx x xxxxx xxxxx xxxx xxxxxx a xxxxxxxxxxx bezpečnostními opatřeními x
x) xxxxxxxx xxx xxxxxxxxxx xxxxxxx reaktivní x xxxxxxxx xxxxxxxx xxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx (xxxx xxx "Xxxx") x xxxxxxxxx xxxxx x x xxxxxxx, že xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxx zranitelnosti xxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx ochranného xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx, xxxxxx xxxx xxxxxxxx xxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xxxxxx x xxxxx xxxxxx rizik
a) stanoví xxxxxxxx xxx identifikaci x hodnocení aktiv x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxxx stanovení kritérií xxx xxxxxxxxxxxx rizik,
b) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxx aktiv, xxxxx xxxxx xx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, xxxxx §8 minimálně v xxxxxxx přílohy č. 1 x xxxx xxxxxxxx a xxxxxxx xxxxxxxxx xx xxxxxx o hodnocení xxxxx x rizik,
c) xxxxxxxxxxxx xxxxxx, při xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxxxxx, xxxxxxx xxxxx dopady xx xxxxxxxx xxxxxx, xxxxxxx xxxx xxxxxx xxxxxxxxx x xxxxxxx podle přílohy č. 2 x xxxx xxxxxxxx x xxxxxxxx xxxxxx x xxxxxxxxx xxxxx a xxxxx,
x) xxxxxxxx na xxxxxxx xxxxxxxxxxxxxx potřeb a xxxxxxxx xxxxxxxxx rizik xxxxxxxxxx x aplikovatelnosti, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx opatření,
e) xxxxxxxx x zavede plán xxxxxxxx rizik, xxxxx xxxxxxxx cíle x xxxxxxx bezpečnostních opatření xxx xxxxxxxx rizik, xxxxxx osoby zajišťující xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx zvládání rizik, xxxxxxxx finanční, xxxxxxxxx, xxxxxx x informační xxxxxx, xxxxxxx jejich xxxxxxxx x popis xxxxx mezi identifikovanými xxxxxx x příslušnými xxxxxxxxxxxxxx xxxxxxxxxx a
f) xxxxxxxx xxx zbytečného xxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxx vydaná Xxxxxx x xxxxxxxxx xxxxx x x xxxxxxx, xx xxxxxxxxx xxxxx aktualizované o xxxx xxxxxxxxxxxxx spojené x xxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx stanovená xxxxxxxx xxx xxxxxxxxxxxx rizik, xxxxxx xxxx xxxxxxxx xxxxx.
(3) Řízení rizik xxxx být xxxxxxxxx x jinými způsoby, xxx jak xx xxxxxxxxx x odstavcích 1 x 2, xxxxx xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxxxx xxxxxx xxxxxx rizik.
(4) Orgán x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxx xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxx hrozby
a) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx xx strany xxxxxxxxx a administrátorů,
b) xxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx anebo xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxx x licenčními xxxxxxxxxx,
x) xxxxxxxxxxxx útok x xxxxxxxxxxx xxxx,
x) xxxxxxxx xxx (xxxxxxxxx xxxx, spyware, xxxxxxx xxxx),
x) xxxxxxxxxx při xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx významného xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx fyzické xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxxxx elektronických xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxx xxxxxxx,
x) xxxxxxxx nebo xxxxxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxx působící xxxxxx x
x) xxxxxxxx xxxx xxxxxxxxx aktiva.
(5) Orgán x osoba uvedená x §3 xxxx. x) xx e) xxxxxx při hodnocení xxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx vnějšího xxxxxxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx x administrátorů,
c) xxxxxxxxxxxx údržba xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) nedostatečné xxxxxxx xxx xxxxxxxxxxxxxx x odhalení xxxxxxxxxxx xxxxxxxxxxxxxx xxxx, kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxx nebo xxxxxxx xxxxxxx xxxxxxx x
x) xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxx xxxx a povinností xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxxxxxxxx rolí.
(6) Xxxxx x osoba uvedená x §3 xxxx. x) x x) xxxxxx xxx xxxxxxxxx xxxxx xxxx xxxxxxx xxxx xxxxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, provedení xxxxxxxxxxxxx činností, xxxxxxxx xxxxxxxxx xx strany xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xx xxxxxx zaměstnanců,
c) xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxxxxxxxxx energie xxxx xxxxxx důležitých xxxxxx,
x) xxxxxxxxxx zaměstnanců x xxxxxxxxx xxxxxxxx xxxxxx,
x) cílený xxxxxxxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxx x
x) zneužití xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxx.
(7) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxx hodnocení xxxxx xxxx xxxxxxx xxxx xxxxxxxxxxxxx
x) nedostatečná xxxxxxx xxxxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx,
x) nevhodná bezpečnostní xxxxxxxxxxxx,
x) nedostatečná xxxx xxxxxxxxx kontroly a
d) xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx ze xxxxxx xxxxxxxxxxx.
§5
Xxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x osoba uvedená x §3 xxxx. x) a d) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxxxx
x) xxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxxxx bezpečnost,
c) xxxxxx xxxxxx x xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx lidských zdrojů,
f) xxxxxx xxxxxxx a xxxxxxxxxx,
x) xxxxxx přístupu,
h) xxxxxxxx chování uživatelů,
i) xxxxxxxxxx x obnova,
j) xxxxxxxx xxxxxxxxx x xxxxxx informací,
k) řízení xxxxxxxxxxx zranitelností,
l) xxxxxxxx xxxxxxxxx mobilních zařízení,
m) xxxxxxxxxxx x xxxxxxxx xxxxxxx programového xxxxxxxx x informací,
n) xxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx,
x) xxxxxxx bezpečnost,
q) xxxxxxxxxx xxxxxxxxxxx sítě,
r) xxxxxxx xxxx škodlivým xxxxx,
x) nasazení x xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx x xxxxxx nástroje xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x
x) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(2) Orgán a xxxxx xxxxxxx v §3 xxxx. x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) organizační xxxxxxxxxx,
x) xxxxxx xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx lidských xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxxx,
x) xxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxx,
x) zálohování x xxxxxx,
x) xxxxxxxxxxx x xxxxxxxx licencí programového xxxxxxxx x xxxxxxxxx,
x) xxxxxxx osobních xxxxx,
x) xxxxxxxxx xxxxxxxxxxxxxx ochrany,
m) xxxxxxx xxxx škodlivým xxxxx a
n) xxxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xx.
§6
Xxxxxxxxxxx bezpečnost
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxxx xxxxxxxxxx xxxxxx bezpečnosti xxxxxxxxx, x rámci xxxxx xxxx xxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxx xxxx x jejich práva x xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx systémem xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxx xxxxxxxxxxx systémem.
(2) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) x x) zákona xxxx xxxxxxxxxxxx role
a) manažer xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) auditor xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxx xxxxxx xxxxx §2 xxxx. m).
(3) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xxxx xxxxxxxxxxxx role xxxxxxxxx xxxxx xxxxxxxx 2.
(4) Xxxxxxx xxxxxxxxxxxx bezpečnosti xx osoba, xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xx xxx xxxx xxxxxxx vyškolena x xxxxxxx odbornou xxxxxxxxxxx xxxxx x xxxxxxx xxxxxxxxxxx informací xx xxxx nejméně xxx xxx.
(5) Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx je xxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx opatření, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx odbornou xxxxxxxxxxx praxí x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xx dobu xxxxxxx xxx xxx.
(6) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx xxxxxxxxxxx audit xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xx pro tuto xxxxxxx vyškolena a xxxxxxx odbornou xxxxxxxxxxx xxxxx s prováděním xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx dobu nejméně xxx let. Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx vykonává xxxxx roli xxxxxxxxx x výkon jeho xxxx xx xxxxxxx xx xxxxxx xxxx xxxxxxxxx x xxxxxxxx 2 xxxx. x), x) xxxx x).
(7) Xxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx je xxxxxxxxxxxx xxxxxxx tvořená xxxxxxx, které xxxx xxxxxxxx celkovým xxxxxxx x xxxxxxxx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx, xxxxx xx xxxxxxxx xxxxxxxx xx xxxxxx x koordinaci xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx bezpečností xxxxxx xxxxxxx.
(8) Xxxxx a xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx xxxxxxx xxxxxxx xxxxxxx xxxx, xxxxx zastávají xxxxxxxxxxxx xxxx x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 xxxx. x).
§7
Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až e) xxxxxx xxxxxx xxxxxxxx xxx dodavatele, xxxxx xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx informací, x xxxxxxxx xx x xxxxxxxxxx xxxx xxxxxx xxxx, které xx xxxxxxxx xx rozvoji, xxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xxxxxx xxxxxxxx xxxxxxxxxx xx xxxxxxx, xxxxxxx xxxx zajištění bezpečnosti xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx orgán a xxxxx xxxxxxx x §3 písm. c) xx x) zákona xxxxxxxx, jejíž součástí xx xxxxxxxxxx x xxxxxxxxxxx informací.
(2) Xxxxx x osoba xxxxxxx x §3 písm. x) x x) xxxxxx u xxxxxxxxxx xxxxxxxxx x xxxxxxxx 1 xxxx
x) xxxx xxxxxxxxx smlouvy provádí xxxxxxxxx rizik xxxxx přílohy č. 2 k této xxxxxxxx, která xxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx smlouvu x xxxxxx služeb, xxxxx stanoví způsoby x úrovně realizace xxxxxxxxxxxxxx xxxxxxxx x xxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx za xxxxxxxx x kontrolu xxxxxxxxxxxxxx xxxxxxxx, a
c) xxxxxxx pravidelné xxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxx xx xxxxxx s xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxx.
§8
Xxxxxx xxxxx
(1) Orgán x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx x xxxxx xxxxxx aktiv
a) xxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxx,
x) xxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xx primární xxxxxx, x
x) hodnotí xxxxxxxxxx xxxxxxxxxx aktiv x hlediska xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx x zařadí je xx jednotlivých úrovní xxxxxxxxx v xxxxxxx xxxxx přílohy č. 1 x xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx xxxxxxxxxxx primárních xxxxx xx xxxxx xxxxxxxxx xxxxxxxx
x) xxxxxx x důležitost xxxxxxxx xxxxx xxxx obchodního xxxxxxxxx,
x) rozsah dotčených xxxxxxxx povinností nebo xxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx veřejných, xxxxxxxxxx xxxx ekonomických zájmů,
e) xxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx,
x) xxxxxx spojené x xxxxxxxxx důvěrnosti, integrity x xxxxxxxxxxx x
x) xxxxxx na xxxxxxxxx xxxxxxx jména nebo xxxxxxx dobré pověsti.
(3) Xxxxx a xxxxx xxxxxxx v §3 xxxx. c) x x) xxxxxx xxxx
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxx,
x) určí xxxxxxx xxxxx, xxxxx xxxx odpovědní xx xxxxxxxx xxxxxx, x
x) xxxx vazby mezi xxxxxxxxxx x podpůrnými xxxxxx x hodnotí xxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.
(4) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxx
x) xxxxxxx xxxxxxxx xxxxxxx, nutná xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx xxx, že
1. xxxx xxxxxxx rozlišování xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxx xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx x xxxxxx xxxxx xxxxxx xxxxx, xxxxxx xxxxxxxx pro bezpečné xxxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxxx aktiv x
3. xxxxxxx xxxxxxxxx xxxxxxx používání aktiv,
b) xxxxxx pravidla xxxxxxx xxxxxxxxxxxx xxxxxx aktiv x
x) určí způsoby xxx xxxxxxxxxx xxxxxxx xxxx xxxxxx technických xxxxxx dat s xxxxxxx na úroveň xxxxx.
§9
Bezpečnost xxxxxxxx xxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. c) xx x) xxxxxx v xxxxx xxxxxx xxxxxxxxxxx xxxxxxxx zdrojů
a) stanoví xxxx xxxxxxx bezpečnostního xxxxxxxx, xxxxx xxxxxxxx xxxxx, xxxxx x xxxxxx potřebných xxxxxxx x xxxx osoby xxxxxxxxxxx xxxxxxxxx jednotlivých xxxxxxxx, xxxxx jsou x xxxxx xxxxxxx,
x) x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx poučení xxxxxxxxx, administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx xxxxxxxx formou xxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) zajistí kontrolu xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a osob xxxxxxxxxxxxx xxxxxxxxxxxx role x
x) zajistí vrácení xxxxxxxxx xxxxx x xxxxxxxx přístupových xxxxxxxxx xxx ukončení xxxxxxxxx xxxxxx s uživateli, xxxxxxxxxxxxxx nebo xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
(2) Xxxxx a osoba xxxxxxx x §3 xxxx. x) xx x) zákona xxxx x xxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
(3) Xxxxx a xxxxx xxxxxxx x §3 písm. c) x x) xxxxxx xxxx
x) xxxxxxx xxxxxxxx xxx xxxxxx osob, xxxxx budou zastávat xxxxxxxxxxxx xxxx, xxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx xxxxxxx bezpečnostního xxxxxxxx, xxxxxxxxxxx školení a xxxxxxx xxxxxxxx spojených x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxx xxxxxxxx x postupy pro xxxxxx případů porušení xxxxxxxxxxx bezpečnostních xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx xxxx osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
§10
Xxxxxx provozu x xxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona x rámci xxxxxx xxxxxxx a xxxxxxxxxx xxxxxx xxxxxxxxxxx nástrojů xxxxxxxxx x §21 xx 23 xxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxxxxxxxxx vyhodnocuje získané xxxxxxxxx a xx xxxxxxxx xxxxxxxxxx xxxxxxx x souladu x §13.
(2) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx x rámci xxxxxx xxxxxxx a komunikací xxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx informačního xxxxxxx. Xx xxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxx x postupy.
(3) Xxxxxxxx xxxxxxxx x xxxxxxx xxxxxx x xxxxx xxxxxxx v §3 xxxx. c) x x) xxxxxx xxxxxxxx
x) xxxxx x povinnosti xxxx zastávajících bezpečnostní xxxx, administrátorů a xxxxxxxxx,
x) xxxxxxx xxx xxxxxxxx x xxxxxxxx xxxxx systému, xxx xxxxxxx nebo xxxxxxxx xxxxx xxxxxxx xx xxxxxxx a xxx xxxxxxxx xxxxxxxxx xxxxx xxxx mimořádných jevů,
c) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxx ochranu xxxxxxxx x xxxxxxxx x těchto xxxxxxxxxx,
x) xxxxxxx na xxxxxxxxx xxxxx, xxxxx xxxx xxxxxx xxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxx x schvalování xxxxxxxxxx xxxx x
x) postupy xxx xxxxxxxxx, xxxxxxxxx x xxxxxx kapacity xxxxxxxx x technických xxxxxx.
(4) Xxxxxx xxxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx spočívá x xxxxxxxxx pravidelného xxxxxxxxxx a prověřování xxxxxxxxxxxxx provedených xxxxx.
(5) Xxxxxx xxxxxxx orgánu x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxxxxx v
a) xxxxxxxxx oddělení vývojového, xxxxxxxxxxx a xxxxxxxxxxx xxxxxxxxx,
x) řešení reaktivních xxxxxxxx xxxxxxxx Úřadem xxx, xx xxxxx x osoba uvedená x §3 xxxx. x) a x) xxxxxx
1. xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxx systém xxxxxxxx informační xxxxxxxxxxxxxx x xx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxx xxxxxxxxx xxxxxx x bez xxxxxxxxxx xxxxxxx je xxxxxx Xxxxx a
2. xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxxxxxx možné xxxxxxxxx xxxxxx, x xxxx xxxxxx xxxx xxxx xxxxxxxxx.
(6) Xxxxx x xxxxx uvedená x §3 xxxx. x) x d) zákona x xxxxx řízení xxxxxxxxxx
x) zajišťuje xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx xxxx x bezpečnost xxxxxxxxxxxxx xxxxxx xxxxx §17,
x) xxxx xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxxxxx, xxxxx xxxx přenášeny xxxxxxxxxxxxx xxxxxx,
x) provádí výměnu x xxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxx xxxxxxxx xxxxxxxxxxx x
x) s xxxxxxx xx xxxxxxxxxxx xxxxx xxxxxxx výměnu a xxxxxxxxx informací xx xxxxxxx písemných xxxxx, xxxxxxx součástí xx xxxxxxxxxx o xxxxxxxxxxx xxxxxxxxx.
§11
Řízení xxxxxxxx a xxxxxxxx chování xxxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xx xxxxxxx xxxxxxxxxx a xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxx k xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x přidělí xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx.
(2) Orgán a xxxxx uvedená x §3 xxxx. x) xx x) zákona xxxxxx opatření, xxxxx xxxxxx k zajištění xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx uživatelů x xxxxxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx informačního xxxxxxx xxxxx §18 a 19, x která xxxxx ve zneužití xxxxxx údajů xxxxxxxxxxxx xxxxxx.
(3) Orgán x xxxxx xxxxxxx x §3 xxxx. c) x d) zákona xxxx v rámci xxxxxx xxxxxxxx
x) přidělí xxxxxxxxxxxxx xxxxxxxxx samostatný xxxxxxxxxxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxxxx oprávnění,
c) xxxxxxxxx x odebírá přístupová xxxxxxxxx v xxxxxxx x xxxxxxxxx řízení xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx v xxxxxxxxxxxx skupinách nebo xxxxxx,
x) využívá nástroj xxx xxxxxxxxx identity xxxxxxxxx xxxxx §18 x nástroj pro xxxxxx přístupových xxxxxxxxx xxxxx §19 x
x) xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx pro xxxxxxxx xxxxxxxxx mobilních xxxxxxxx, xxxxxxxx x bezpečnostní xxxxxxxx spojená s xxxxxxxx technických zařízení, xxxxxxx orgán x xxxxx xxxxxxx v §3 písm. x) x d) zákona xxxxxxxxxxx.
§12
Xxxxxxxx, vývoj x xxxxxx
(1) Orgán a xxxxx xxxxxxx x §3 písm. x) xx e) zákona xxxxxxx bezpečnostní požadavky xx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx spojené x xxxxxx xxxxxxxx, xxxxxxx x xxxxxxx x xxxxxx je xx xxxxxxxx xxxxxxxx, xxxxxx x údržby xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxx
x) xxxxxxxxxxxx, hodnotí x xxxx xxxxxx xxxxxxxxxxx x xxxxxxxx, vývojem x xxxxxxx informačního xxxxxxx kritické informační xxxxxxxxxxxxxx nebo komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx; xxx xxxxxxx xxxxxxxxx a xxxxxx xxxxx se xxxxxxxx xxxxx §4 xxxx. 1 písm. x) xxxxxxx xxxxxxx,
x) zajistí xxxxxxxxxx xxxxxxxxxx prostředí x xxxxxxx ochranu xxxxxxxxxxx xxxxxxxxxxx xxx x
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxx xxxxxxxxx xx provozu.
§13
Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxx zvládání xxxxxxxxxxxxxx událostí a xxxxxxxxx
x) xxxxxx nezbytná xxxxxxxx, xxxxx xxxxxxx xxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významného xxxxxxxxxxxx xxxxxxx ze strany xxxxxxxxx, administrátorů a xxxx zastávajících xxxxxxxxxxxx xxxx x x xxxxxxxxxx vede xxxxxxx,
x) xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxx oznámených xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxxxx bezpečnostních událostí xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx §21 xx 23, provádí xxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx incidentů, přijímá xxxxxxxx pro odvrácení x xxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §32 x zajistí xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu,
d) xxxxxxxx x xxxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxx účinnost xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a na xxxxxxx xxxxxxxxxxx xxxxxxx xxxxx bezpečnostní xxxxxxxx x zamezení opakování xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxx kybernetických bezpečnostních xxxxxxxxx.
§14
Řízení kontinuity činností
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx x xxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxxx
x) xxxxx x xxxxxxxxxx xxxxxxx xxxxx, administrátorů a xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) xxxx řízení xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx, která xx xxxxxxxxxx xxx xxxxxxx, xxxxxx x xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
2. xxxx xxxxxxxx chodu, xxxxx xxxxx xxxx xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx obnovena xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x
3. xxxx xxxxxxxx xxx xxxx xxxxxxx, ke xxxxxxx xxxxx xxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu, x
x) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx, která obsahuje xxxxxxxx cílů podle xxxxxxx b).
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) a d) xxxxxx dále
a) xxxxxxxxx x dokumentuje xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a posoudí xxxxx xxxxxx související x xxxxxxxxx kontinuity xxxxxxxx,
x) xxxxxxx, aktualizuje x pravidelně testuje xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxx xxx zvýšení xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxx xxxxxxx xxx zajišťování xxxxxx xxxxxxxxxxx xxxxx §26 x
x) xxxxxxx x xxxxxxxxxxx postupy xxx provedení xxxxxxxx xxxxxxxx Xxxxxx xxxxx §13 x 14 xxxxxx, xx xxxxxxx xxxxxxxx
1. xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxx xxxxxxxx,
2. xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
3. xxxxxxxxxxx xxxxxxxxxx negativních dopadů xx xxxxxx a xxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikačního systému xxxxxxxx informační xxxxxxxxxxxxxx.
§15
Kontrola a audit xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona x xxxxx xxxxxxxx x xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačních xxxxxxx (xxxx xxx "audit xxxxxxxxxxxx xxxxxxxxxxx")
x) xxxxxxxx xxxxxx bezpečnostních xxxxxxxx x právními xxxxxxxx, xxxxxxxxx xxxxxxxx, jinými xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxxx xx x informačnímu xxxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx systému x určí opatření xxx xxxx xxxxxxxxxxx x
x) xxxxxxx a xxxxxxxxxxx pravidelné kontroly xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx xxxxxxx xxxxxxxx v xxxxx xxxxxxx bezpečnostního xxxxxxxx x xxxxx xxxxxxxx xxxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxxxxxxx provedení xxxxxx kybernetické bezpečnosti xxxxxx x xxxxxxxx xxxxxxxxxxx xxxxx §6 xxxx. 6, která xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx a xxxxx xxxxxxx x §3 písm. c) x x) xxxxxx xxxx xxx xxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x komunikační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx kontrolu xxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx automatizovaných nástrojů x xxxxxx xxxxxxx xxxxxxxxxxx x xxxxxxx xx xxxxxxxx xxxxxxxxxxxxx.
XXXXX XX
XXXXXXXXX OPATŘENÍ
§16
Fyzická xxxxxxxxxx
(1) Orgán a xxxxx xxxxxxx v §3 písm. x) xx x) zákona x xxxxx fyzické xxxxxxxxxxx
x) xxxxxx nezbytná xxxxxxxx x zamezení xxxxxxxxxxxxx xxxxxx xx xxxxxxxxxx prostor, xxx xxxx zpracovávány xxxxxxxxx x xxxxxxxx technická xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury nebo xxxxxxxxxx xxxxxxxxxxxx systému,
b) xxxxxx nezbytná xxxxxxxx x zamezení xxxxxxxxx x xxxxxxx xx xxxxxxxxxx xxxxxxx, xxx xxxx uchovány informace x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx, x
x) xxxxxxxxx xxxxxxxxx, xxxxxxx nebo xxxxxxxx xxxxx xxxx xxxxxxxxx xxxxxxxxxxx služeb informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační infrastruktury xxxx významného xxxxxxxxxxxx xxxxxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx xxxx xxxxxxxxx prostředky xxxxxxx xxxxxxxxxxx
x) xxx xxxxxxxxx ochrany xx xxxxxx objektů a
b) xxx xxxxxxxxx ochrany x xxxxx xxxxxxx xxxxxxxxxx zvýšené xxxxxxxxxxx xxxxxxxxxx prostor, xx xxxxxxx xxxx xxxxxxxx xxxxxxxxx aktiva informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
(3) Xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxx
x) xxxxxxxxxx zábranné prostředky,
b) xxxxxxxx elektrické xxxxxxxxxxxxx xxxxxxxxxxx,
x) prostředky xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxx událostí,
e) xxxxxxx xxx xxxxxxxx xxxxxx,
x) xxxxxxxx systémy,
g) zařízení xxx xxxxxxxxx xxxxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx provozních xxxxxxxx.
§17
Xxxxxxx xxx xxxxxxx xxxxxxxxx komunikačních sítí
(1) Xxxxx x osoba xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxx, xxxxx není xxx xxxxxxx orgánu xxxx xxxxx, a xxxxxxx xxxxxxxxxxx xxxx, xxxxx xx xxx správou xxxxxx xxxx osoby, xxxxxx
x) xxxxxx bezpečného xxxxxxxx xxxx xxxxxx x xxxxxxx sítí,
b) xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxxxxxx zón jako xxxxxxxxxxx typu xxxx xxxxxxxxxxx xx xxxxxxx xxxxxxxxxxx aplikací dostupných x xxxxxx sítě x k xxxxxxxx xxxxx xxxxxxxxxx vnitřní xxxx s xxxxxx xxxx,
x) kryptografické xxxxxxxxxx (§25) xxx vzdálený xxxxxxx, vzdálenou xxxxxx xxxx pro xxxxxxx xxxxxx bezdrátových xxxxxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxxx xxxx blokování xxxxxxxxxxx xxx, které xxxxxxxxxxxx požadavkům na xxxxxxx integrity komunikační xxxx.
(2) Orgán a xxxxx uvedená x §3 xxxx. x) x d) zákona xxxx xxxxxxx nástroje xxx ochranu xxxxxxxxx xxxxxxx xxxxxxxxxxx sítě, xxxxx xxxxxxx xxxx xxxxxxxxxx.
§18
Xxxxxxx xxx xxxxxxxxx xxxxxxxx uživatelů
(1) Orgán x osoba uvedená x §3 písm. x) až e) xxxxxx používá nástroje xxx ověření xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxx xxx ověřování identity xxxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxx xxxxxxxxx xxxxxx xxxxxxx v xxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxx xxxxxxxxxxx xxxxxxx.
(3) Xxxxxxx xxx xxxxxxxxx identity xxxxxxxxx, xxxxx používá xxxxxxxxxxx xxxxx heslem, zajišťuje
a) xxxxxxxxx délku hesla xxx znaků,
b) xxxxxxxxx xxxxxxxxx hesla xxx, xx xxxxx xxxx xxxxxxxxx xxxxxxx 3 x následujících xxxx xxxxxxxxx
1. xxxxxxx xxxxx xxxxx xxxxxxx,
2. nejméně xxxxx xxxx písmeno,
3. xxxxxxx xxxxx xxxxxxx, xxxx
4. xxxxxxx xxxxx xxxxxxxxx xxxx xxxxxxx xx xxxxxxxxx uvedených x xxxxxx 1 xx 3,
x) maximální xxxx xxx povinnou xxxxxx xxxxx xxxxxxxxxxxxx xxx xxx; tento xxxxxxxxx xxxx vyžadován xxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(4) Orgán x xxxxx xxxxxxx v §3 xxxx. c) x x) xxxxxx xxxx
x) xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxx, xxxxx
1. zamezí xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxx a xxxxxxxx xxxx xxxx hesla xxxxxxx uživatele xxxxx xxxxxxxxxxx období, xxxxx xxxx být xxxxxxx 24 hodin, a
2. xxxxxxx xxxxxxxx xxxxxxx xxxxxxxx po xxxxxx xxxx xxxxxxxxxx x
x) xxxxxxx xxxxxxx pro xxxxxxxxx identity xxxxxxxxxxxxxx. X případě, že xxxxx nástroj xxxxxxx xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxx xxxxx xxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx. x) x x).
(5) Xxxxxxx xxx xxxxxxxxx xxxxxxxx uživatelů xxxx xxx zajištěn x jinými způsoby, xxx jaké xxxx xxxxxxxxx x xxxxxxxxxx 3 až 5, xxxxx xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx e) xxxxxx xxxxxxxxx, že xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx vyšší xxxxxx xxxxxxxxx xxxxx.
§19
Xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) až x) xxxxxx používá xxxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxx, kterým zajistí xxxxxx xxxxxxxxx
x) xxx xxxxxxx x xxxxxxxxxxx xxxxxxxxx x xxxxx x
x) pro xxxxx xxx, pro xxxxx xxx a pro xxxxx xxxxxxxxx.
(2) Orgán x osoba xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxx xxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxxxxx použití xxxxxxxxxxxx xxxxxxxxx x xxxxxxx x bezpečnostními xxxxxxxxx x výsledky hodnocení xxxxx.
§20
Xxxxxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxx řízení xxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxx pro xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx škodlivým kódem, xxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxx
x) xxxxxxxxxx xxxx xxxxxxx xxxx a xxxxxx xxxx,
x) xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxx x
x) pracovních xxxxxx,
xxxxxxx xxxxxxx xxxxxxxxxxx a xxxxxxx xxxxxxxxxxx nástroje xxx ochranu před xxxxxxxxx kódem, jeho xxxxxxx a signatur.
§21
Xxxxxxx pro xxxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxxx xxxxxxxxx x administrátorů
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx používá xxxxxxx xxx zaznamenávání xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačního systému, xxxxx zajistí
a) xxxx xxxxxxxxx o provozních x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx typ činnosti, xxxxx x xxx, xxxxxxxxxxxx xxxxxxxxxxx aktiva, xxxxx xxxxxxx xxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx a xxxxx xxxxxxxx x xxxxxxxxx nebo xxxxxxxxxxx xxxxxxxx x
x) ochranu xxxxxxxxx xxxxxxxxx před xxxxxxxxxxxx čtením xxxx xxxxxx.
(2) Orgán a xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona xxxx xxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a významného xxxxxxxxxxxx xxxxxxx zaznamenává
a) xxxxxxxxxx x odhlášení xxxxxxxxx x administrátorů,
b) xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxx ke xxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx činností x xxxxxxxx nedostatku xxxxxxxxxxxx xxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxx a xxxxxxxx xxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému,
f) xxxxxxxxxxx xxxxxxx xxxx xxxxxxx xxxxxxx xxxxxxxxxxx aktiv,
g) xxxxxxxx x záznamům x xxxxxxxxxx, xxxxxx x xxxxxxxxxx xx xxxxxxx o xxxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx x
x) použití xxxxxxxxxx identifikace x xxxxxxxxxxx xxxxxx změny xxxxx, které xxxxxx x xxxxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 2 uchovává xxxxxxx xx xxxx 3 xxxxxx.
(4) Orgán a xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxxxxxx nejméně xxxxxx xx 24 hodin xxxxxxxxxxxxx xxxxxxxxxx systémového xxxx xxxxxxxxxxx xxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
§22
Xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx používá xxxxxxx xxx detekci xxxxxxxxxxxxxx bezpečnostních událostí, xxxxx xxxxxxx xx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxx x výsledků hodnocení xxxxx x xxxxx xxxxxxx xxxxxxx, xxxxxxxx x případně xxxxxxxxxxx xxxxxxxxxx mezi vnitřní xxxxxxxxxxx xxxx x xxxxxx xxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx dále xxxxxxx xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx zajistí xxxxxxx, xxxxxxxx x případně xxxxxxxxxxx komunikace
a) x xxxxx vnitřní xxxxxxxxxxx xxxx x
x) xxxxxxx xxxxxxxxx do xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§23
Xxxxxxx xxx sběr x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxxxxx xxxxxxx xxx sběr x xxxxxxxx xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx, xxxxx x souladu x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx hodnocení rizik xxxxxxx
x) integrovaný xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx z xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx pro xxxxxx xxxxxxxxxxxx role x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx xxxx x xxxxxxxxxx xxxxxxxxxxxxxx a
c) xxxxxxxxxxx vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx s xxxxx identifikace xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxx.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxx zajistí
a) xxxxxxxxxxx xxxxxxxxxxx nastavení xxxxxxxx pro vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxx varování, xxx xxxx xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx nebo xxxxxxx xxxxxxxxx varování, x
x) xxxxxxxxx xxxxxxxxx, které xxxx připraveny xxxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, pro xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury.
§24
Xxxxxxxxx xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxx jsou přístupné x vnější xxxx, x xx xxxx xxxxxx xxxxxxxx do xxxxxxx x xx xxxxx xxxxxxx xxxxx xxxxxxxxxxxxxx xxxxxxxxxx.
(2) Xxxxx x osoba uvedená x §3 xxxx. x) x x) xxxxxx xxxx x xxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx
x) xxxxxxxx x informací xxxxxxxxxx x xxxxxx xxxx xxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxxxxxxx nebo xxxxxxxxxxxxxxx xxxxxx x
x) xxxxxxxxx xxxx jejich xxxxxxxxxxxx, xxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxx předávaného xxxxxxxx xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxx.
§25
Xxxxxxxxxxxxxx prostředky
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx
x) pro používání xxxxxxxxxxxxxx xxxxxxx stanoví
1. xxxxxx xxxxxxx x xxxxxxx xx xxx x xxxx kryptografického xxxxxxxxx a
2. xxxxxxxx xxxxxxxxxxxxxx ochrany xxxxxxxxx xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx xxxx xxx xxxxxxx xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxx x
x) x xxxxxxx s bezpečnostními xxxxxxxxx a xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx prostředky, xxxxx xxxxxxx ochranu xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx ukládaných xxx x průkaznou xxxxxxxxxxxx xxxxx xx xxxxxxxxx xxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx xxxx
x) stanoví xxx xxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxx klíčů, xxxxx xxxxxxx xxxxxxxxxx, xxxxxxxxxx, ukládání, xxxxxxxxx, xxxxx, xxxxxx, kontrolu x xxxxx xxxxx, x
x) xxxxxxx odolné xxxxxxxxxxxxxx algoritmy x xxxxxxxxxxxxxx xxxxx; x xxxxxxx nesouladu x xxxxxxxxxxx požadavky xx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxx x příloze č. 3 k xxxx xxxxxxxx xxxx xxxxxx xxxxxxx x xxxxx nesouladem.
§26
Nástroj xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx x xxxxxxx x bezpečnostními potřebami x výsledky xxxxxxxxx xxxxx xxxxxxx nástroj xxx xxxxxxxxxxx úrovně xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx používá nástroj xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, který xxxxxxx
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxx splnění xxxx xxxxxx kontinuity xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx kybernetickým xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx xxxxx xxxxxx xxxxxxxxxx, x
x) zálohování xxxxxxxxxx technických xxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury
1. využitím xxxxxxxxxx v xxxxxx xxxxxx x
2. zajištěním xxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxx čase.
§27
Xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx
Xxxxx x xxxxx xxxxxxx v §3 písm. x) x x) xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx x řídicích systémů, xxxxx xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxxx xxxx xxxxxx xxxxxxxx, xxxxxxx xxxxxxxx, které xxxxxxx
x) xxxxxxx fyzického xxxxxxxx x síti a xxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxx x xxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx x xxxxxxxx xxxxxxx xxxx využitím známých xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx xxxxxxxxxxxx a xxxxxxxx systémů xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
HLAVA XXX
XXXXXXXXXXXX XXXXXXXXXXX
§28
Xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx xxxx x aktualizuje xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxx xxxxx §5 xxxx. 1,
x) xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §3 odst. 1 písm. x),
x) xxxxxx z xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx podle §3 xxxx. 1 písm. x),
x) xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx,
x) xxxxxx o xxxxxxxxx xxxxx a xxxxx,
x) prohlášení x xxxxxxxxxxxxxxxx,
x) xxxx xxxxxxxx xxxxx,
x) plán rozvoje xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 odst. 1 xxxx. a),
i) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. x),
x) strategii xxxxxx xxxxxxxxxx xxxxxxxx podle §14 xxxx. 1 xxxx. c) x
x) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxx §15 xxxx. 1 xxxx. a).
(2) Xxxxx x osoba uvedená x §3 xxxx. x) xxxxxx xxxx x aktualizuje xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxx xxxxx §5 xxxx. 2,
b) xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx aktiv x pro xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxx §4 xxxx. 2 xxxx. a),
c) xxxxxx x xxxxxxxxx xxxxx a xxxxx xxxxx §4 odst. 2 xxxx. x) x c),
d) xxxxxxxxxx x xxxxxxxxxxxxxxxx podle §4 odst. 2 xxxx. x),
x) xxxx xxxxxxxx rizik podle §4 odst. 2 xxxx. e),
f) xxxx xxxxxxx bezpečnostního xxxxxxxx xxxxx §9 xxxx. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xxxxx §13 xxxx. x),
x) xxxxxxxxx xxxxxx kontinuity činností xxxxx §14 odst. 1 xxxx. x) x
x) xxxxxxx xxxxxxxx xxxxxxxx, vnitřních xxxxxxxx x jiných xxxxxxxx x xxxxxxxxx závazků xxxxx §15 xxxx. 1 písm. x).
(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx tak, xxx xxxxxxx x xxxxxxxxxxx činnostech xxxx xxxxx, čitelné, snadno xxxxxxxxxxxxxxxxx a xxx xx xxxx snadno xxxxxxxx. Opatření xxxxxxxx x identifikaci, xxxxxxx, xxxxxxx, xxxxxxxxx, xxxx xxxxxxxxx x uspořádání xxxxxxx o xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx stanovena x příloze č. 4 x této xxxxxxxx.
§29
Xxxxxxxxx xxxxxxxxxxx
Xxxxx x xxxxx xxxxxxx v §3 písm. c) xx x) xxxxxx, xxxxx xxxxxxxxxx systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx xx zcela xxxxxxx xx rozsahu xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx xxxxx1) akreditovaným certifikačním xxxxxxx, x xxxxx xxxx xxxxxxxxx xxxxxxxxxx
x) xxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx x xxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) popis xxxxxxx xxxxxx hodnocení xxxxx x xxxxxx x xxxxxxxxx xxxxx,
x) xxxxxxxxxx o xxxxxxxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx splňující xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx zabývající xx xxxxxxxxxxx xxxxxxxxx1),
x) xxxxxx x přezkoumání xxxxxxx xxxxxx bezpečnosti informací xxxxxx xxxxxxxxxxxxx xxxxxx x výstupů xxxxxxxxxxx x
x) xxxxxx x xxxxxx provedených certifikačním xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx x nápravě xxxxxxxxxx xxxxxx x xxxxxxxxxx xxxxxx,
xxxxxxx xxxxxxxxx xx zavedení xxxxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx x xxxx xxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX BEZPEČNOSTNÍ XXXXXXXX
§30
Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Podle xxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx událostí vedoucí x xxxxxxx xx xxxxxxx nebo x xxxxxxx dostupnosti služeb,
b) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx porušením xxxxxxxxxxxxx xxxxxxxx,
x) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxx xxxxxx a
f) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx způsobené xxxxxxxxxxxxx xxxxxx.
(2) Xxxxx xxxxxx xxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx rozděleny xx xxxxxxxxxxxxx xxxx
x) kybernetický xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx narušení xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, nebo
d) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxx x) xx c).
§31
Kategorie xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxx potřeby xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx se podle xxxxxxxx x negativních xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx do xxxxxxxxxxxxx kategorií
a) Xxxxxxxxx XXX - xxxxx xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx xxxxxx xx přímo a xxxxxxxx narušena bezpečnost xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx řešení xxxxxxxx neprodlené xxxxxx xxxxxxx s tím, xx xxxx xxx xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx dalšímu xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace xxxxxxxxx x xxxxxxxxxxxxx xxxx.
x) Xxxxxxxxx XX - xxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx xxxxxxxx bezpečnost xxxxxxxxxxxxx služeb nebo xxxxx. Jeho xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx s xxx, xx musí xxx xxxxxxxx prostředky zabráněno xxxxxxx xxxxxx kybernetického xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
x) Kategorie X - xxxx xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, při xxxxxx xxxxxxx k méně xxxxxxxxxx narušení xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho xxxxxx xxxxxxxx xxxxxx xxxxxxx x tím, že xxxx xxx xxxxxxxx xxxxxxxxxx omezeno další xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace xxxxxxxxx škod.
(2) Orgán x osoba xxxxxxx x §3 xxxx. x) až x) xxxxxx při kategorizaci xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx odstavce 1 xxxxxxxx
x) důležitost xxxxxxxxx aktiv xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxx významného xxxxxxxxxxxx xxxxxxx,
x) xxxxxx na xxxxxx xxxxxxxxxxx jinými xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x
x) xxxxxxxxxxxxx xxxxx x xxxxx dopady.
§32
Xxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx
x) x xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxx
1. xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Úřadu,
2. xxxxxx xx xxxxxx xxxxxxxxxxxx pošty Xxxxx xxxxxx pro xxxxxx xxxxxxx kybernetických bezpečnostních xxxxxxxxx, xxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Úřadu,
3. xxxxxx xxxxxx xx xxxxxx schránky Úřadu, xxxx
4. prostřednictvím xxxxxxxx xxxxxxxx rozhraní, jehož xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx, xxxxx
x) x xxxxxxxx podobě na xxxxxx Národního centra xxxxxxxxxxxx bezpečnosti, xxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxx x xxxxxxxx podobě xx xxxxxx xxxxx x xxxxxxxxx, xxx xxxxx xxxxxx xxxxx ze xxxxxxx uvedených v xxxxxxxx 1 písm. x).
(3) Xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxx xxxxxxx x příloze č. 5 x xxxx xxxxxxxx.
ČÁST XXXXXX
XXXXXXXXX OPATŘENÍ X XXXXXXXXX ÚDAJE
§33
Reaktivní xxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx xx xxxxxxxxx, jehož xxxx je xxxxxx x příloze č. 6 x xxxx vyhlášce.
§34
Kontaktní údaje
Orgán x xxxxx uvedená v §3 zákona xxxxxxxx xxxxxxxxx xxxxx na xxxxxxxxx, xxxxx vzor xx xxxxxx x příloze č. 7 k této xxxxxxxx. Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxxxxxxx kontaktní xxxxx xxxxxx uvedenou x §32 xxxx. 1 xxxx. a).
XXXX XXXX
XXXXXXXX
§35
Xxxx xxxxxxxx xxxxxx xxxxxxxxx xxxx 1. ledna 2015.
Xxxxxxx:
Xxx. Xxxxxxxx x. x.
Příloha č. 1 x xxxxxxxx č. 316/2014 Sb.
Hodnocení a xxxxxx xxxxxxxxxxx xxxxx
Xxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxx xxxxxxx stupnice x čtyřech xxxxxxxx. Xxxxx xxxx xxxxx xxxxxxx v §3 xxxx. c) xx x) zákona může xxxxxxxx xxxxxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxxxxxxx aktiv, xxx xxxx xx xxxxxx x xxxx příloze, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx xx používaným xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx x xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx xxxx xxxxxxx x xxxx xxxxxxx.
X xxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxx důležitosti xxxxx xx xxxxxxxxx xxxxxxx buď xxxxxx xxxxx a xxxxxxx, xxxx úrovně xxxxxx x xxxxxxxx.
Xxxxxxxx pro xxxxxxxxx důvěrnosti
|
Úroveň |
Popis |
Ochrana |
|
Nízká |
Aktiva xxxx xxxxxxx xxxxxxxxx xxxx xxxx xxxxxx xx xxxxxxxxxx (xxxx. na xxxxxxx xxxxxx č. 106/1999 Sb., x svobodném xxxxxxxx x informacím, xx xxxxx pozdějších předpisů). Xxxxxxxx xxxxxxxxxx aktiv xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx v §3 xxxx. c) xx x) xxxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxx know-how xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx, xxxxxxx aktiv xxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxxxxx. |
Xxx ochranu xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxx xxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx a xxxxxx xxxxxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxx, jinými xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx (xxxx. obchodní xxxxxxxxx xxxxx xxxxxx č. 89/2012 Sb., občanský xxxxxxx, xxxxxx xxxxx podle xxxxxx č. 101/2000 Sb., o xxxxxxx osobních údajů, xx xxxxx pozdějších xxxxxxxx). |
Xxx xxxxxxx důvěrnosti xxxx xxxxxxxxx prostředky, xxxxx zajistí xxxxxx x xxxxxxxxxxxxx přístupu. Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxx xxxx xxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx a vyžadují xxxxxxxxxxxxx xxxx xxxxxxx xxx xxxxx předchozí xxxxxxxxx (např. xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxx údaje). |
Pro xxxxxxx xxxxxxxxxx xx xxxxxxxxxx xxxxxxxx osob, xxxxx x aktivům přistoupily, x xxxxxx ochrany xxxxxxxxxxx xxxxxxxx aktiv xx strany xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx x hlediska xxxxxxxxx. Xxxxxxxx integrity xxxxxx xxxxxxxxxx oprávněné zájmy xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona. |
Není xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx xxxxxxxxx xxxxxxx z xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx aktiva xxxx xxxx k xxxxxxxxx xxxxxxxxxxx xxxxx orgánu x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxx xx xxxxxxxx xxxx závažnými xxxxxx na primární xxxxxx. |
Xxx xxxxxxx integrity xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx (např. xxxxxxx xxxxxxxxxxxx xxxx xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx aktiva xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx x osoby uvedené x §3 xxxx. x) xx x) xxxxxx s xxxxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx a xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx informací xxxxxxxxxxx vnějšími komunikačními xxxxxx xx xxxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx vyžaduje xxxxxxx z xxxxxxxx xxxxxxxxx. Narušení integrity xxxx x xxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx orgánu x xxxxx uvedené v §3 písm. x) xx x) zákona x přímými x xxxxx xxxxxxx dopady na xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx jsou xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (xxxx. pomocí xxxxxxxxxxx xxxxxxxxxxx xxxxxxx). |
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xxxx xxxxxxxx x x xxxxxxx výpadku je xxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx pro xxxxxxx (cca xx 1 xxxxx). |
Xxx xxxxxxx xxxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx xxxx xxxxxxxxxx xxx, dlouhodobější výpadek xxxx x možnému xxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx využívány xxxxx xxxxxx xxxxxxxxxx x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx xxxx xxxxxxxx hodin. Xxxxxxxx xxxxxxx je xxxxx xxxxx neprodleně, xxxxxxx xxxx k xxxxxxx xxxxxxxx zájmů xxxxxx x osoby uvedené x §3 písm. x) xx e) xxxxxx. Xxxxxx jsou xxxxxxxxxx xxxx xxxxx xxxxxxxx. |
Xxx xxxxxxx dostupnosti xxxx xxxxxxxxx xxxxxxx systémy x xxxxxx poskytování xxxxxx může xxx xxxxxxxxx xxxxxx xxxxxxx xxxx výměnou xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx dostupnosti aktiva xxxx xxxxxxxxx x x xxxxxxxxxx xxxxxxxxxxxx (x řádu xxxxxxxx xxxxx) vede k xxxxxxx xxxxxxxx xxxxx xxxxxx x xxxxx uvedené x §3 xxxx. x) xx e) xxxxxx. Xxxxxx jsou xxxxxxxxxx xxxx kritická. |
Pro xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx záložní systémy x obnova poskytování xxxxxx je xxxxxxxxxx x automatizovaná. |
Příloha x. 2 x vyhlášce č. 316/2014 Xx.
Xxxxxxxxx xxxxx
Xxxxxxxxx xxxxx xx xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxx dopad, xxxxxx x xxxxxxxxxxxx.
Xxx xxxxxxxxx xxxxx lze xxxxxx xxxxxxx tuto xxxxxx
xxxxxx = xxxxx x xxxxxx x xxxxxxxxxxxx.
Xxxxxxxxxxx xxxxxx funkce xxx xxxxxx xxxxxx je xxxxxxxxx součástí metodiky xxx xxxxxxxxxxxx x xxxxxxxxx rizika
|
Stupnice pro xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxx je x omezeném časovém xxxxxx a malého xxxxxxx a xxxxx xxx katastrofický. Rozsah xxxxxxxxxx xxxx xxxxxxxxxxx x) 10 xxxxxxxxx xxxx x xxxxxxxxx hospitalizací xx xxxx xxxxx než 24 xxxxx xxxx x) xxxxxxxx nebo xxxxxxxxxx xxxxxx do 5&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx na xxxxxxxxx x xxxxxxxxx omezením xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx zásahu xx xxxxxxxxxxxx života xxxxxxxxxxxxx xxxxxxx 250 xxxx. |
|
Xxxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx a x xxxxxxxx xxxxxxx období. Rozsah xxxxxxxxxx škod xx xxxxxxxx x xxxxxxx x) xx 10 xxxxxxx xxxx xx 11 xx 100 osob x xxxxxxxxx xxxxxxxxxxxxx xx dobu xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xx 5&xxxx;000&xxxx;000 Kč xx 50&xxxx;000&xxxx;000 Xx anebo c) xxxxxxxxxxx xxxxx xx xxxxxxxxx s xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx každodenního xxxxxx xxxxxxxxxxxxx od 251 xx 2&xxxx;500 xxxx. |
|
Xxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx, xxx xxxxxx xxxx katastrofický. Rozsah xxxxxxxxxx xxxx xx xxxxxxxx x rozmezí a) xx 11 do 100 xxxxxxx nebo xx 101 do 1 000 osob x xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xx 50&xxxx;000&xxxx;000 Xx xx 500&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx omezením xxxxxxxxxx xxxxxx nebo xxxxxx závažného xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xx 2 501 xx 25 000 xxxx. |
|
Xxxxxxxx |
Xxxxx xx xxxxxx xxxxxxxx, xxxxxx x xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx škod se xxxxxxxx v xxxxxxx x) 10 a xxxx xxxxxxx x 1 001 x xxxx xxxx x xxxxxxxxx xxxxxxxxxxxxx po xxxx xxxxx xxx 24 xxxxx nebo b) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxxxxxx 500 000 000 Xx xxxxx x) představuje xxxxx xx xxxxxxxxx x xxxxxxxxx xxxxxxxx nezbytných xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxx než 25&xxxx;000 xxxx. |
|
Xxxxxxxx pro hodnocení xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx xxxx xx málo pravděpodobná. Xxxxxxxxxxxxx xxxxxxxxx hrozby xxxx častější než xxxxxx xx 5 xxx. |
|
Xxxxxxx |
Xxxxxx xx xxxx xxxxxxxxxxxxx až xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx hrozby xx x rozpětí xx 1 xxxx xx 5 let. |
|
Vysoká |
Hrozba xx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Předpokládaná xxxxxxxxx xxxxxx xx x xxxxxxx xx 1 měsíce xx 1 xxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx xxxxxxxxxxxxx až xxxxxxxx xxxxx. Xxxxxxxxxxxxx xxxxxxxxx hrozby xx xxxxxxxx xxx jednou xx měsíc. |
|
Stupnice pro xxxxxxxxx xxxxxxxxxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx xxxx je zneužití xxxxxxxxxxxxx xxxx pravděpodobné. Xxxxxxxx kvalitní bezpečnostní xxxxxxxx, xxxxx xxxx xxxxxxx včas xxxxxxxxx xxxxx xxxxxxx nebo xxxxxxxx xxxxxx x xxxxxxxxx opatření. |
|
Střední |
Zranitelnost je xxxx xxxxxxxxxxxxx až xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx. Schopnost xxxxxxxxxxxxxx xxxxxxxx xxxx detekovat xxxxx xxxxxxx nebo xxxxxxxx pokusy x xxxxxxxxx opatření xx xxxxxxx. Xxxxxx xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx je xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx x xxxx xxxxxxxxxx xxxxxxxxxxxx. Jsou xxxxx xxxxx xxxxxxx xxxxxx o xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxxxxxx je xxxxx xxxxxxxxxxxxx až xx xxxxxxxx jisté xxxxxxxx. Bezpečnostní xxxxxxxx xxxxxx xxxxxxxxxxx xxxxx xx xxxxxx xxxxxxxx xxxxxx xxxxxxx. Neprobíhá xxxxxxxx účinnosti xxxxxxxxxxxxxx xxxxxxxx. Xxxx známé xxxxxxx pokusy překonání xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx pro xxxxxxxxx xxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx xx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx být xxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxx x xxxxxxx xxxxx xxxxxxxxxx opatření xx xxxxxx xxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxx nepřípustné x musí být xxxxxxxx systematické xxxxx x xxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx nepřípustné x xxxx xxx neprodleně xxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
X xxxxxxx, xx xxxxx xxxx xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxxxxx metodu xxx xxxxxxxxxxxx x hodnocení xxxxx, xxxxx nerozlišuje xxxxxxxxx hrozby x xxxxxxxxxxxxx, xx xxxxx xxxxxxxx xxx hodnocení xxxxxx x zranitelností xxxxxxx. Xxxxxxxx xxxxxxx xx xxxxxx xxxx xx ztrátě schopnosti xxxxxxxxx míry hrozby x zranitelnosti. Xx xxxxx xxxxxx xxx xxxxxx xxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxx úroveň xxxxxx, xxx x úroveň xxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx x orgán xxxx xxxxx xxxxxxx x §3 písm. x) xx x) zákona, xxxxx xxxxxxx xxxx xxxxx xxxxxx pro xxxxxxxxx xxxxxx, xxxxxx, xxxxxxxxxxxxx a xxxxx.
Xxxxxxx x. 3 x xxxxxxxx x. 316/2014 Sb.
Minimální xxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxx
x) Xxxxxxx x xxxxxxxx xxxxx xxx ochranu xxxxxxxxxx x integrity
1. Xxxxxxxx Xxxxxxxxxx Standard (AES) x xxxxxxxx xxxxx xxxxx 128, 192 x 256 xxxx Xxxxxx Xxxx Encryption Xxxxxxxx (3XXX) x xxxxxxxx xxxxx klíčů 168 xxxx, omezené xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX, xxxxxxxx přecházet na XXX.
2. Xxxxxx Xxxx Xxxxxxxxxx Xxxxxxxx (3XXX) x využitím délky xxxxx 112 xxxx, xxxxxxx použití xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX, postupně xxxxxxxxx xx AES. Xxxxxxxxxx xxxxxxx jedinečného xxxxx xxx xxxxxx xxxxxx.
3. Xxxxxxxx x využitím xxxxxxxxx délky xxxxx 128 bitů, omezené xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX.
4. Xxxxxx x xxxxxxxx xxxxx xxxxx 128 xxxx, omezené xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX.
5. Twofish x xxxxxxxx xxxxx xxxxx 128 až 256 bitů.
6. Xxxxxxx x xxxxxxxx xxxxx xxxxx 128, 192, 256 bitů.
7. Camellia x xxxxxxxx délky xxxxx 128, 192 x 256 xxxx.
8. XXXX 2.0, SNOW 3X s xxxxxxxx xxxxx xxxxx 128, 256 xxxx.
x) Módy xxxxxxxxx x xxxxxxxx xxxxxxxxx
1. CCM,
2. EAX,
3. XXX,
4. Xxxxxxx xxxxxxxx xxxx "Xxxxxxx-xxxx-XXX".
Xxxxxxxx:
Xxxxxxxx typu "Xxxxxxx-xxxx-XXX",xxxx xxxxxxxx k xxxxxxxxx xxxxx uvedené xxxxxxxxx xxxx a x xxxxxxx MAC xxxxx xxxxxxx módy xxx xxxxxxx xxxxxxxxx.
x) Xxxx xxxxxxxxx
1. XXX,
2. XXX,
3. CBC,
4. XXX,
Xxxxxxxx:
Xxxx XXX a XXX xxxx xxx použity x xxxxxxxx, xxx xxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx použití xxxx XXX xx xxx xxxx xxxx xxxxx xxxxxxxx hodnota xxxxxxxxxxxxxxx vektoru, xxx xxxxxxx xxxx CTR xx pro daný xxxx xxxxx xxxxxxxx xxxxxxx xxxxxx, x xxxxxxx použití XXX xxxx k xxxxxxxxx xxx xxxxxxx xxxxxxxxx xx třeba ověřit xxxxxxxx xxxxx útoku xx xxxxxxx XXX xxxx.
x) Xxxx xxx xxxxxxx integrity
1. XXXX,
2. XXX-XXX-X9.19, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxxx xxx 109 XXX,
3. XXX-XXX-XXXX,
4. CMAC.
(2) Xxxxxxxxxxx algoritmy
a) Xxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx
1. Xxxxxxx Signature Xxxxxxxxx (XXX) x využitím xxxxx klíčů 2048 xxxx x více, xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx 224 bitů x xxxx.
2. Xxxxxxxx Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxxxxx (EC-DSA) x xxxxxxxx délky klíčů 224 xxxx x xxxx.
3. Xxxxxx-Xxxxxx-Xxxxxxx Probablistic Xxxxxxxxx Scheme (XXX-XXX) x xxxxxxxx xxxxx xxxxx 2048 xxxx x xxxx.
x) Xxx xxxxxxx xxxxx na xxxxx a šifrování xxxxx
1. Xxxxxx-Xxxxxxx (XX) x využitím xxxxx xxxxx 2048 xxxx x xxxx, xxxxx xxxxxxxxx xxxxxxx xxxxxxxx 224 xxxx x xxxx.
2. Elliptic Curve Xxxxxx-Xxxxxxx (XXXX) s xxxxxxxx xxxxx xxxxx 224 xxxx a xxxx.
3. Xxxxxxxx Curve Xxxxxxxxxx Encryption Xxxxxx - Key Xxxxxxxxxxxxx Xxxxxxxxx (XXXXX-XXX) x xxxxxxxx délky xxxxx 256 bitů x xxxx.
4. Xxxxxxxx Secure Xxxxxxxx Xxxxx - Xxx Xxxxxxxxxxxxx Mechanism (XXXX-XXX) s využitím xxxxx xxxxx 256 xxxx více.
5. Asymetrie Xxxxxxx xxx Xxx Xxxxxxxxxxxxx Mechanism (ACE-KEM) x využitím délky xxxxx 256 xxxx x xxxx.
6. Rivest Xxxxxx Xxxxxxx - Xxxxxxx Asymetrie Encryption Xxxxxxx (XXX-XXXX) s xxxxxxxx délky xxxxx 2048 a více.
7. Xxxxxx Shamir Xxxxxxx - Xxx Encapculation Xxxxxxxxx (XXX-XXX) s xxxxxxxx xxxxx klíčů 2048 x více.
(3) Xxxxxxxxx hash xxxxxx
x) XXX-2
1. SHA-224,
2. XXX-256,
3. XXX-384,
4. XXX-512,
5. SHA-512/224,
6. XXX-512/256.
x) SHA-3
1. XXX3-224,
2. XXX3-256,
3. XXX3-384,
4. XXX3-512,
5. XXXXX-128,
6. SHAKE-256.
c) Xxxxxxx xxxxxxxx funkce
1. Xxxxxxxx,
2. XXXXXX-160,
3. SHA 1 x xxxxxxxx xxxxxxxx.
Xxxxxxxx x. 1:
SHA-1 xx xxxxx používat xxx xxxxxxxxxx xxxxxx digitálních xxxxxxx, xxxxxxxx xxxxxxx, xxxxxxxxx jiné aplikace xxxxxxxxxx nekolizní XXX-1.
Xxxxxxxx x. 2:
SHA-1 xxx xxxxxxxx xxxxx xxx xxxxxxxxx xxx existujících xxxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxx, xxxxxxxxxx x xxxxxxxxx HMAC-SHA1, xxxxxx xxx xxxxxxxxxx xxxxx x xxxxxxxxxxxxx xxxxxxxxxx.
Xxxxxxx x. 4 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx bezpečnostní xxxxxxxxxxx
Xxxx xxxxxxx obsahuje xxxxxxxxxx obsah bezpečnostní xxxxxxxxxxx. Navrhované xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx, xxxxx xxxxxxxxxx xxxxxxxxx podle xxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxx dokumentů xxxxxx závazné a xx xx xxxxxx xxxx osobě xxxxxxx x §3 písm. x) xx e) xxxxxx, jaký xxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx použije. Xxxxxxxxx xx x změna xxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxx více xxxxx do xxxxxxx xxxxxxxxx.
X. Struktura xxxxxxxxxxxx xxxxxxxx
(1) Politika systému xxxxxx xxxxxxxxxxx informací*
[§5 xxxx. 1 písm. x), §5 odst. 2 písm. a)]
a) Xxxx, principy x xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx x xxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxx dokumentace.
d) Pravidla x xxxxxxx pro xxxxxx xxxxxx a xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Pravidla x xxxxxxx pro xxxxxxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro nápravná xxxxxxxx a xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxxx organizační xxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx bezpečnostních xxxx a xxxxxx xxxx a povinností,
1. xxxxx x xxxxxxxxxx xxxxxxxx kybernetické xxxxxxxxxxx,
2. xxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
3. xxxxx x povinnosti xxxxxxxx xxxxxxxxxxxx bezpečnosti,
4. xxxxx x povinnosti xxxxxxx aktiv,
5. xxxxx x povinnosti xxxxxx xxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxx.
(3) Xxxxxxxx řízení xxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxx a principy xxx výběr dodavatelů.
b) Xxxxxxxx xxx xxxxxxxxx xxxxx dodavatelů.
c) Náležitosti xxxxxxx o xxxxxx xxxxxx x způsobů x xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx a x xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx pro hodnocení xxxxxxxxxx.
(4) Xxxxxxxx xxxxxxxxxxx xxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Identifikace, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. určení a xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxxxxx xxxxxxxxxxx primárních xxxxx x hlediska xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx a evidence xxxxxxxxxxxx podpůrných xxxxx xxxxxx xxxxxx jejich xxxxxxx,
2. xxxxxx xxxxx xxxx primárními a xxxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxxx jednotlivých xxxxxx xxxxx
1. způsoby xxxxxxxxxxx xxxxxxxxxxxx xxxxxx aktiv,
2. xxxxxxxx xxx manipulaci x xxxxxxxx xxxxx xxxxx xxxxxx xxxxx,
3. xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxxx nosičů dat.
(5) Xxxxxxxx bezpečnosti lidských xxxxxx**
[§5 xxxx. 1 xxxx. e), §5 xxxx. 2 xxxx. x)]
x) Pravidla xxxxxxx xxxxxxxxxxxxxx povědomí x xxxxxxx xxxx xxxxxxxxx
1. xxxxxxx x xxxxx xxxxxxx xxxxxxxxx,
2. xxxxxxx x xxxxx poučení xxxxxxx aktiv,
3. způsoby x xxxxx xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx a xxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Bezpečnostní školení xxxxxx xxxxxxxxxxx.
x) Pravidla xxx xxxxxx xxxxxxx xxxxxxxx bezpečnostní xxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Pravidla pro xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxx xxxxxxxx xxxxxx.
1. vrácení svěřených xxxxx x xxxxxxxx xxxx xxx xxxxxxxx xxxxxxxxxx vztahu,
2. změna xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxx pozice.
(6) Xxxxxxxx řízení xxxxxxx x xxxxxxxxxx**
[§5 odst. 1 písm. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxx x xxxxxxxxxxxx spojené x bezpečným provozem.
b) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx.
x) Xxxxxxxx x omezení xxx xxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx.
(7) Xxxxxxxx xxxxxx xxxxxxxx**
[§5 odst. 1 xxxx. g), §5 xxxx. 2 xxxx. x)]
x) Princip xxxxxxxxxxx xxxxxxxxx/xxxxxxx znát (xxxx xx know).
b) Xxxxxxxxx xx xxxxxx přístupu.
c) Xxxxxxx xxxxxx řízení xxxxxxxx.
x) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.
x) Řízení xxxxxxxx xxx xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx přístupových xxxxxxxxx včetně xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx.
(8) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxx*
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. h)]
a) Xxxxxxxx xxx xxxxxxxx xxxxxxxxx s xxxxxx.
x) Xxxxxxxx xxxxxxx přístupového xxxxx.
x) Bezpečné xxxxxxx xxxxxxxxxxxx xxxxx a xxxxxxxx na internet.
d) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx xxxxxxx na xxxxxxxxxx sítích.
f) Xxxxxxxxxx xx vztahu x xxxxxxxx xxxxxxxxx.
(9) Politika xxxxxxxxxx a xxxxxx**
[§5 xxxx. 1 písm. x), §5 odst. 2 písm. i)]
a) Xxxxxxxxx xx xxxxxxxxxx x xxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx uložení xxxxx.
x) Xxxxxxxx a xxxxxxx obnovy.
e) Pravidla x xxxxxxx xxxxxxxxx xxxxxxxxxx x xxxxxx.
(10) Xxxxxxxx xxxxxxxxxx předávání x výměny xxxxxxxxx**
[§5 xxxx. 1 písm. x)]
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxxx informací.
b) Xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx.
x) Pravidla xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(11) Xxxxxxxx řízení technických xxxxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla xxx xxxxxxx instalace xxxxxxxxxxxx vybavení,
b) Pravidla x xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) Xxxxxxxx x postupy xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx a xxxxxxx nasazení oprav xxxxxxxxxxxx xxxxxxxx.
(12) Politika xxxxxxxxxx používání xxxxxxxxx xxxxxxxx*
[§5 xxxx. 1 xxxx. 1)]
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx pro zajištění xxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx nedisponuje.
(13) Xxxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. j)]
a) Xxxxxxxx x postupy xxxxxxxx xxxxxxxxxxxx xxxxxxxx x jeho xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx kontrolu xxxxxxxxxx xxxxxxxxxx podmínek.
(14) Politika xxxxxxxxxxxx ukládání a xxxxxxxxx xxxxxxxxx*
[§5 xxxx. x písm. n)]
a) Xxxxxxxx x postupy xxxxxxxxx xxxxxxxxx x xxxxxxx.
x) Ochrana xxxxxxxxxxxxx xxxxxxxxx x xxxxxxx.
x) Xxxxxxxx xxxxxxxx k xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx.
(15) Xxxxxxxx xxxxxxx xxxxxxxx xxxxx*
[§5 xxxx. x xxxx. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx osobních xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx ochranu xxxxxxxx údajů.
(16) Xxxxxxxx xxxxxxx bezpečnosti**
[§5 xxxx. x písm. x)]
x) Xxxxxxxx xxx ochranu xxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx vstupu xxxx.
x) Xxxxxxxx xxx ochranu xxxxxxxx.
x) Detekce xxxxxxxx xxxxxxx bezpečnosti.
(17) Politika xxxxxxxxxxx xxxxxxxxxxx xxxx**
[§5 xxxx. 1 písm. x)]
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx sítě.
b) Určení xxxx a xxxxxxxxxx xx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxxx x xxxxx xxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxxxxxx xxxxxxxx k xxxx.
x) Pravidla x xxxxxxx pro monitorování xxxx a vyhodnocování xxxxxxxxxx záznamů.
(18) Xxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx*
[§5 xxxx. l xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxx ochranu xxxxxxxxxx mezi vnitřní x vnější xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxx.
x) Pravidla a xxxxxxx pro xxxxxxx xxxxxxxxxx stanic.
(19) Politika xxxxxxxx x xxxxxxxxx xxxxxxxx xxx detekci xxxxxxxxxxxxxx bezpečnostních xxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 odst. 2 písm. n)]
a) Xxxxxxxx x xxxxxxx xxxxxxxx nástroje pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx vyhodnocování x xxxxxxxxx na xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a postupy xxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx pro detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(20) Xxxxxxxx využití x xxxxxx xxxxxxxx pro xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx**
[§5 xxxx. 1 písm. x)]
x) Xxxxxxxx x xxxxxxx xxx evidenci x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
b) Xxxxxxxx x postupy xxxxxxxxxx xxxxxxxxxxx pravidel xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Pravidla a xxxxxxx pro xxxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxxxx xxxxxxxx xxx xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(21) Politika xxxxxxxxxx používání kryptografické xxxxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxx ochrany x xxxxxxx xx xxx a xxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla xxxxxxxxxxxxxx ochrany xxxxxxxxx
1. xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx,
2. při xxxxxxx xx mobilní xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxx xxx,
x) Xxxxxx xxxxxx klíčů.
II. Xxxxxxxxx xxxxx dokumentace
(1) Xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx**
[§28 odst. 1 písm. b)]
a) Xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti.
c) Xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx týmu auditorů x xxxx, xxxxx xx xxxxxx kybernetické xxxxxxxxxxx xxxxxxxxxx.
x) Xxxxx x xxxxx, kde xxxx prováděny xxxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Zjištění x xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxx auditu kybernetické xxxxxxxxxxx.
(2) Xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 xxxx. x)]
x) Xxxxxxxxxxx xxxxxxxx z xxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) Xxxxxxxxxxxx změn a xxxxxxxxx, xxxxx mohou xxx xxxx xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxx xxxxx x výkonnosti řízení xxxxxxxxxxx informací
1. xxxxxxx x xxxxxxxx xxxxxxxx,
2. xxxxxxxx xxxxxxxxxxxx x xxxxxx,
3. xxxxxxxx xxxxxx,
4. xxxxxxxx xxxx bezpečnosti,
d) Xxxxxxxx xxxxxxxxx xxxxx x xxxx xxxxx xxxxxxxx rizik.
e) Identifikace xxxxxxxx xxx xxxxxxxx xxxxxxxxxx.
x) Xxxxxxxxxx potřebných xxxxxxxxxx, stanovení opatření x osob zajišťujících xxxxx jednotlivých xxxxxxxx.
(3) Xxxxxxxx xxx xxxxxxxxxxxx x hodnocení xxxxx x xxx identifikaci x xxxxxxxxx xxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. x)]
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx stupnice xxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxxxxxx aktiv,
3. určení xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.
x) Xxxxxx xxxxxxxx pro xxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx pro hodnocení xxxxxx xxxxxx,
2. určení xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxx,
3. určení xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxxxxx,
4. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxx,
x) Xxxxxx x přístupy xxx xxxxxxxx rizik.
b) Xxxxxxx xxxxxxxxxxx přijatelných xxxxx.
(4) Xxxxxx o xxxxxxxxx xxxxx x xxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. x)]
x) Xxxxxxx primárních aktiv
1. xxxxxxxxxxxx x popis xxxxxxxxxx xxxxx,
2. určení xxxxxxx xxxxxxxxxx aktiv,
3. xxxxxxxxx primárních xxxxx x hlediska xxxxxxxxxx, xxxxxxxxx x dostupnosti.
b) Xxxxxxx xxxxxxxxxx xxxxx (xxxxxxx pro xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx)
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. určení xxxxx xxxx primárními x podpůrnými xxxxxx,
x) Xxxxxxxxxxxxxx x xxxxxxxxx xxxxx
1. xxxxxxxxx xxxxxxx xxxxxx xx xxxxxx,
2. xxxxxxxxx existujících xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx existujících xxxxxxxx,
4. xxxxxxxxx úrovně rizika, xxxxxxxxx xxxx xxxxxx x kritérii pro xxxxxxxxxxxx xxxxx,
5. určení x schválení xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx rizik
1. xxxxx způsobu xxxxxxxx xxxxx,
2. xxxxx xxxxxxxx x xxxxxx xxxxxxxxx.
(5) Xxxxxxxxxx x xxxxxxxxxxxxxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxx xxxxxx a xxxxxx xxxxx na xxxxxxxxxxxxxx rizika.
b) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(6) Xxxx zvládání rizik**
[§28 xxxx. 1 písm. x), §28 odst. 2 xxxx. x)]
x) Xxxxx x xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxxx zdroje pro xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
c) Xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx opatření pro xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxx jednotlivých xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
x) Xxxxxxx hodnocení xxxxxxxxxx zavedení xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
(7) Xxxx xxxxxxx bezpečnostního xxxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx a xxxxxxx xxxxxxx uživatelů.
b) Xxxxx x xxxxxxx xxxxxxx xxxxxxx xxxxx (xxxxxxx xxx xxxxxx x xxxxx xxxxxxx v §3 písm. x) xxxxxx).
x) Xxxxx a xxxxxxx xxxxxxx administrátorů (xxxxxxx pro xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx).
x) Obsah x xxxxxxx poučení xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
e) Xxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Formy x xxxxxxx xxxxxxxxx xxxxx.
(8) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů**
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. g)]
a) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx evidenci x xxxxxxxx jednotlivých xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů x xxx xxxxxxxxxx xxxxxxxxxxxx bezpečnosti.
(9) Xxxxxxxxx xxxxxx kontinuity činností**
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. h)]
a) Xxxxx x povinnosti xxxxxxxxxxxx xxxx.
x) Cíle xxxxxx xxxxxxxxxx činností
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx,
2. doba obnovení xxxxx,
3. bod xxxxxxxx xxxxx.
x) Strategie xxxxxx xxxxxxxxxx xxxxxxxx xxx xxxxxxxx cílů kontinuity.
d) Xxxxxxx hodnocení xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx kontinuitu x xxxxxxxxxx xxxxxxxxxxxxx xxxxx.
x) Xxxxxx a obsah xxxxxxxxxx xxxxx kontinuity.
f) Xxxxxxx xxx realizaci xxxxxxxx xxxxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx.
(10) Přehled xxxxxx xxxxxxxxx právních xxxxxxxx, vnitřních předpisů x xxxxxx předpisů x xxxxxxxxx závazků*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx obecně xxxxxxxxx xxxxxxxx předpisů.
b) Xxxxxxx xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxx.
Xxxxxxxx:
* Xxxxxxxxx xxxxxxxxx dokumentu xx xx xxxxxx střední xxxxx xxxxxxxx uvedené x příloze č. 1: Hodnocení x xxxxxx xxxxx.
** Xxxxxxxxx xxxxxxxxx xxxxxxxxx xx na xxxxxx xxxxxx xxxxx stupnice xxxxxxx v příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.
Xxxxxxx č. 5 x xxxxxxxx č. 316/2014 Sb.
Formulář hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu
Vyplnitelný formulář ve formátu PDF
Příloha č. 6 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx oznámení x xxxxxxxxx reaktivního xxxxxxxx x xxxx xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Příloha x. 7 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxxxx
Xxxxxx xxxxxxx č. 316/2014 Xx. xxxxx xxxxxxxxx xxxx 1.1.2015.
Ke xxx xxxxxxxx xxxxxx xxxxxxx nebyl xxxxx xx xxxxxxxxx.
Xxxxxx předpis x. 316/2014 Xx. xxx zrušen xxxxxxx xxxxxxxxx č. 82/2018 Sb. s xxxxxxxxx od 28.5.2018.
Znění xxxxxxxxxxxx právních xxxxx xxxxxx právních xxxxxxxx x odkazech xxxx xxxxxxxxxxxxx, pokud se xxxx xxxxxx xxxxxxxxx xxxxx shora xxxxxxxxx xxxxxxxx předpisu.
1) XXX/XXX 27001:2013, xxxxxxxx ČSN XXX/XXX 27001:2014