Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
XXXXXXXX
xx dne 15. xxxxxxxx 2014
x xxxxxxxxxxxxxx xxxxxxxxxx, kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x o xxxxxxxxx xxxxxxxxxxx podání x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx bezpečnostní úřad xxxxxxx podle §28 xxxx. 2 xxxxxx x. 181/2014 Sb., x xxxxxxxxxxxx xxxxxxxxxxx x x xxxxx xxxxxxxxxxxxx xxxxxx (xxxxx x xxxxxxxxxxxx bezpečnosti), (xxxx xxx "xxxxx") x provedení §6 xxxx. x) až x), §8 xxxx. 4, §13 odst. 4 x §16 xxxx. 6 xxxxxx.
ČÁST XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxxx xxxxxxxxx se xxxxxxx xxxxx x xxxxxxxxx xxxxxxxxxxxx dokumentace xxx xxxxxxxxxx xxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxx xxxxxx kritické xxxxxxxxxx infrastruktury xxxx xxxxxxxx xxxxxxxxxx xxxxxx, xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxx zavedení, xxxx x kategorie xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx x způsob xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx, náležitosti oznámení x provedení xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx a xxxx xxxxxxxx xxxxxxxxxxx údajů x xxxx xxxxx.
§2
Xxxxxxxx pojmů
V této xxxxxxxx xx rozumí
a) xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx systému xxxxxx xxxxxx x xxxxx uvedené x §3 písm. c) xx e) zákona xxxxxxxx xx xxxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, která stanoví xxxxxx ustavení, xxxxxxxx, xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxx,
x) primárním xxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxxx xxxx poskytuje xxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx systém xxxxxxxx informační infrastruktury xxxx xxxxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xx xx xxxxxxx, xxxxxxx, správě xxxx xxxxxxxxxxx informačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx, komunikační xxxxxxxxxx x programové xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx, ve xxxxxxx xxxx xxxx xxxxxxx xxxxxxxx,
x) xxxxxxx možnost, xx xxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx informačního xxxxxxx a xxxxxxx xxxxxxxxx aktiva,
g) xxxxxxxxxx xxxxx xxxxxx, xxx xxxx xx xxxxxxxx xxxxxxxxxx rizik a xxxxxx přijatelná xxxxxx,
x) xxxxxxx xxxxx xxxxxxx xxxxxxxxxx xxxxxxxxx rizik, xxxxx x xxxxxxxx xxxxxxxx xx xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx x xxxxxx x xxxxxxxxx a xxxxxxxxxxx xxxxx,
x) hrozbou xxxxxxxxxxxxx xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu, xxxxxx xxxxxxxxx xxxx být xxxxxxxxx aktiva,
j) xxxxxxxxxxxxx xxxxx xxxxx xxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx může xxx xxxxxxxx xxxxxx nebo xxxx xxxxxxxx,
x) přijatelným xxxxxxx xxxxxx xxxxxxxxx xx uplatnění bezpečnostních xxxxxxxx, jehož xxxxxx xxxxxxxx xxxxxxxxx pro xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxx x xxxxxxxx, které xxxxxx xxxxxx xxxxxxxxx xxxxxxx aktiv xxxxxxx x osobou xxxxxxxx x §3 xxxx. x) až x) xxxxxx,
x) xxxxxxxx aktiva xxxxxxx osoba xxxxxxxx xxxxxxx nebo xxxxxx xxxxxxxx x §3 xxxx. c) až x) xxxxxx x xxxxxxxxx xxxxxxx, xxxxxxx x bezpečnosti aktiva,
n) xxxxxxxxxx xxxxxxx nebo xxxxxxxxx xxxxx anebo xxxxx xxxxxxx xxxx, xxxxx využívá xxxxxxxx xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxx xxxxx xxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx správu, xxxxxx, xxxxxxx, xxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxx.
ČÁST XXXXX
XXXXXXXXXXXX OPATŘENÍ
HLAVA X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx řízení xxxxxxxxxxx informací
(1) Xxxxx x xxxxx uvedená x §3 písm. x) x d) xxxxxx x xxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx x xxxxxxx xx aktiva x xxxxxxxxxxx xxxxxxxxxx xxxxxx x hranice xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xx xxxxxx xxxx, xxxxxxx xxxxxxxxxxxxx xxxxx x technických xxxxx xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx,
x) řídí xxxxxx xxxxx §4 odst. 1,
x) vytvoří x xxxxxxx xxxxxxxxxxxx politiku x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, xxxxx xxxxxxxx xxxxxx xxxxxx, cíle, xxxxxxxxxxxx xxxxxxx, xxxxx a xxxxxxxxxx xx vztahu x xxxxxx xxxxxxxxxxx xxxxxxxxx a xx xxxxxxx xxxxxxxxxxxxxx potřeb x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx bezpečnostní xxxxxxxx x xxxxxxx xxxxxxxxx podle §5 x zavede xxxxxxxxx xxxxxxxxxxxx opatření,
d) xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx vhodnost x xxxxxxxx bezpečnostní xxxxxxxx xxxxx §5,
x) zajistí xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx podle §15, x xx nejméně xxxxxx ročně,
g) xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx obsahuje xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxx, xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx a xxxxxx xxxxxxxxxxxx bezpečnosti a xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xx systém xxxxxx bezpečnosti informací, x to nejméně xxxxxx ročně,
h) aktualizuje xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xx základě xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x x souvislosti x xxxxxxxxxxx xxxx plánovanými xxxxxxx a
i) řídí xxxxxx a xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, zaznamenává činnosti xxxxxxx se xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x řízením xxxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) zákona x rámci systému xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxx rizika podle §4 xxxx. 2,
x) xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxx xxxxxxx řízení xxxxxxxxxxx informací, která xxxxxxxx xxxxxx xxxxxx, xxxx, bezpečnostní xxxxxxx, xxxxx x povinnosti xx xxxxxx x xxxxxx xxxxxxxxxxx informací x xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx politiku x dalších xxxxxxxxx xxxxx §5, a xxxxxx příslušná xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxx xxxxxxxxxxx xxxxxx o xxxxxxxxx xxxxx x xxxxx, xxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, a xx nejméně xxxxxx xx xxx roky xxxx x xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx.
§4
Xxxxxx xxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx v xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x hodnocení aktiv x xxx xxxxxxxxxxxx x xxxxxxxxx rizik xxxxxx stanovení kritérií xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx a hodnotí xxxxxxxxxx xxxxx, xxxxx xxxxx xx rozsahu xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, podle §8 x rozsahu přílohy č. 1 x xxxx xxxxxxxx x výstupy xxxxxxxxx xx zprávy o xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxxxxx, xxxxxxx možné xxxxxx xx xxxxxx, xxxxxxx xxxx rizika xxxxxxxxx x xxxxxxx podle přílohy č. 2 k této xxxxxxxx, určí x xxxxxxx přijatelná xxxxxx x zpracuje xxxxxx x hodnocení xxxxx x rizik,
d) zpracuje xx základě xxxxxxxxxxxxxx xxxxxx a výsledků xxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx vybraných x zavedených xxxxxxxxxxxxxx xxxxxxxx,
x) zpracuje x xxxxxx xxxx xxxxxxxx xxxxx, xxxxx xxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx rizik, určení xxxxx zajišťující xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik, xxxxxxxx xxxxxxxx, technické, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxx xxxxxx xxxxxxxx x xxxxx xxxxx xxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxxx odkladu xxxxxxxxx x ochranná opatření xxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx (xxxx xxx "Xxxx") x hodnocení xxxxx x x xxxxxxx, xx xxxxxxxxx xxxxx aktualizované o xxxx xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx reaktivního xxxx ochranného xxxxxxxx xxxxxxxx stanovená xxxxxxxx xxx přijatelnost rizik, xxxxxx xxxx xxxxxxxx xxxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) xxxxxx x rámci xxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx kritérií xxx přijatelnost xxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxx, xxxxx xxxxx do xxxxxxx systému xxxxxx xxxxxxxxxxx informací, xxxxx §8 xxxxxxxxx x xxxxxxx přílohy č. 1 x xxxx xxxxxxxx x xxxxxxx xxxxxxxxx xx xxxxxx o xxxxxxxxx xxxxx a xxxxx,
x) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx xxxxxxxx hrozby x zranitelnosti, posoudí xxxxx xxxxxx xx xxxxxxxx xxxxxx, xxxxxxx xxxx rizika minimálně x xxxxxxx xxxxx přílohy č. 2 k této xxxxxxxx x xxxxxxxx xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx potřeb x xxxxxxxx hodnocení rizik xxxxxxxxxx o xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx přehled xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxxxx opatření,
e) xxxxxxxx x xxxxxx xxxx xxxxxxxx rizik, který xxxxxxxx xxxx a xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxx xxxxx zajišťující xxxxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx a informační xxxxxx, xxxxxxx xxxxxx xxxxxxxx a xxxxx xxxxx xxxx xxxxxxxxxxxxxxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx opatřeními x
x) xxxxxxxx xxx zbytečného xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxx xxxxxx Xxxxxx x xxxxxxxxx xxxxx x x xxxxxxx, že xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxx zranitelnosti xxxxxxx x xxxxxxxxx reaktivního xxxx ochranného xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx xxx přijatelnost xxxxx, xxxxxx xxxx zvládání xxxxx.
(3) Řízení xxxxx xxxx xxx xxxxxxxxx x xxxxxx xxxxxxx, xxx xxx je xxxxxxxxx x odstavcích 1 x 2, xxxxx xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxxxx, že xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxxxx xxxxxx xxxxxx xxxxx.
(4) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až e) xxxxxx xxx xxxxxxxxx xxxxx zvažuje xxxxxxx xxxx hrozby
a) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, zneužití xxxxxxxxx xx strany xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxx nebo xxxxxxx xxxxxxxxxxx xxxxx programového xxxxxxxx,
x) zneužití identity xxxxxxx osoby,
d) xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx s xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx xxxx x xxxxxxxxxxx xxxx,
x) xxxxxxxx xxx (například xxxx, spyware, xxxxxxx xxxx),
x) nedostatky při xxxxxxxxxxx služeb xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxxxx,
x) přerušení poskytování xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxx xxxxxxx,
x) zneužití nebo xxxxxxxxxxx xxxxxxxxxx údajů,
k) xxxxxx působící xxxxxx x
x) xxxxxxxx nebo xxxxxxxxx xxxxxx.
(5) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxx xxxxxxxxx xxxxx xxxxxxx zejména xxxx zranitelnosti
a) xxxxxxxxxxxx xxxxxxx xxxxxxxx perimetru,
b) xxxxxxxxxxxx bezpečnostní povědomí xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx významného xxxxxxxxxxxx xxxxxxx,
x) nevhodné nastavení xxxxxxxxxxxx xxxxxxxxx,
x) nedostatečné xxxxxxx xxx identifikování x xxxxxxxx negativních xxxxxxxxxxxxxx jevů, kybernetických xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x administrátorů x xxxxxxxxxxx odhalit xxxxxx nevhodné xxxx xxxxxxx způsoby xxxxxxx x
x) nedostatečné xxxxxxxxx xxxxxxxxxxxxxx pravidel, nepřesné xxxx xxxxxxxxxxxxx xxxxxxxx xxxx x xxxxxxxxxx xxxxxxxxx, administrátorů x xxxxxxxxxxxxxx xxxx.
(6) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx při xxxxxxxxx xxxxx dále xxxxxxx xxxx hrozby
a) porušení xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx činností, zneužití xxxxxxxxx xx strany xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xx xxxxxx xxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx prostředků, xxxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx elektronických xxxxxxxxxx, xxxxxxx xxxxxxxxxx energie xxxx jiných xxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
x) cílený kybernetický xxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxx x
x) xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx nosičů xxx.
(7) Xxxxx x xxxxx xxxxxxx v §3 písm. c) x d) xxxxxx xxx hodnocení xxxxx xxxx xxxxxxx xxxx xxxxxxxxxxxxx
x) xxxxxxxxxxxx ochrana xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx bezpečnostní xxxxxxxxxxxx,
x) xxxxxxxxxxxx míra xxxxxxxxx xxxxxxxx a
d) xxxxxxxxxxx včasného xxxxxxxx xxxxxxxxx xx strany xxxxxxxxxxx.
§5
Bezpečnostní xxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxxxxx bezpečnostní xxxxxxxx x xxxxxxxxx
x) xxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) organizační xxxxxxxxxx,
x) xxxxxx vztahů x xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx xxxxxxxx zdrojů,
f) xxxxxx xxxxxxx x xxxxxxxxxx,
x) xxxxxx přístupu,
h) xxxxxxxx xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x obnova,
j) xxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx mobilních zařízení,
m) xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx a xxxxxxxxx xxxxxxxxx,
x) xxxxxxx osobních xxxxx,
x) fyzická xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxxx xxxxxxxxx xxxxx,
x) xxxxxxxx x xxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) využití a xxxxxx xxxxxxxx xxx xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x
x) používání xxxxxxxxxxxxxx xxxxxxx.
(2) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x oblastech
a) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx bezpečnost,
c) xxxxxx xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx lidských xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxxx,
x) xxxxxx xxxxxxxx,
x) xxxxxxxx chování xxxxxxxxx,
x) xxxxxxxxxx x xxxxxx,
x) xxxxxxxxxxx x xxxxxxxx xxxxxxx programového xxxxxxxx a informací,
k) xxxxxxx xxxxxxxx xxxxx,
x) xxxxxxxxx kryptografické ochrany,
m) xxxxxxx xxxx xxxxxxxxx xxxxx x
x) xxxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
(3) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxxxxx xxxxxxx xxxxxxxx bezpečnostní xxxxxxxx x xxxxxxxxxxx ji.
§6
Organizační bezpečnost
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx zavede xxxxxxxxxx xxxxxx bezpečnosti informací, x rámci xxxxx xxxx xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx role x xxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxxx x informačním systémem xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx.
(2) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) a x) xxxxxx xxxx xxxxxxxxxxxx role
a) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx bezpečnosti a
d) xxxxxx xxxxxx xxxxx §2 xxxx. x).
(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. e) xxxx xxxxxxxxxxxx xxxx přiměřeně xxxxx xxxxxxxx 2.
(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx, odpovědná xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxx xx pro xxxx xxxxxxx xxxxxxxxx x xxxxxxx odbornou způsobilost xxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxx nejméně xxx xxx.
(5) Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx osoba xxxxxxxxxxx návrh a xxxxxxxxxxxx xxxxxxxxxxxxxx opatření, xxxxx je xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx odbornou xxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxxxxx architektury xx dobu nejméně xxx xxx.
(6) Xxxxxxx xxxxxxxxxxxx bezpečnosti je xxxxx xxxxxxxxxxx audit xxxxxxxxxxxx xxxxxxxxxxx, která xx pro tuto xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx způsobilost xxxxx x prováděním xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxx xxxxxxx xxx xxx. Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxxxxx x výkon xxxx xxxx je oddělen xx xxxxxx xxxx xxxxxxxxx v odstavci 2 xxxx. x), x) xxxx x).
(7) Xxxxx pro xxxxxx xxxxxxxxxxxx bezpečnosti xx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx, xxxxx xxxx xxxxxxxx xxxxxxxx řízením x xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, anebo xx xxxxxxxx podílejí na xxxxxx a koordinaci xxxxxxxx spojených x xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx.
(8) Xxxxx x xxxxx uvedená x §3 xxxx. c) xx x) xxxxxx xxxxxxx xxxxxxx školení xxxx, xxxxx xxxxxxxxx xxxxxxxxxxxx role x xxxxxxx x xxxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxx §9 xxxx. 1 xxxx. b).
§7
Xxxxxxxxx bezpečnostních požadavků xxx xxxxxxxxxx
(1) Orgán x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx zavede xxxxxxxx xxx dodavatele, xxxxx xxxxxxxxxx potřeby xxxxxx xxxxxxxxxxx informací, x xxxxxxxx je u xxxxxxxxxx xxxx jiných xxxx, které xx xxxxxxxx xx rozvoji, xxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního systému. Xxxxxx xxxxxxxx xxxxxxxxxx xx xxxxxxx, provozu xxxx xxxxxxxxx bezpečnosti xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo významného xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx orgán x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxxxxx, xxxxx součástí xx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx x xxxxxxxxxx xxxxxxxxx x xxxxxxxx 1 dále
a) xxxx xxxxxxxxx smlouvy xxxxxxx xxxxxxxxx rizik xxxxx přílohy č. 2 k xxxx xxxxxxxx, která xxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxx x xxxxxx xxxxxx, xxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xx xxxxxxxx a kontrolu xxxxxxxxxxxxxx opatření, x
x) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx a xxxxxxxxxxx xxxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxxx xxxxxxxxxx nebo xx dohodě x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxx.
§8
Xxxxxx xxxxx
(1) Orgán x osoba xxxxxxx x §3 xxxx. x) xx e) xxxxxx v xxxxx xxxxxx xxxxx
x) xxxxxxxxxxxx x xxxxxxx primární xxxxxx,
x) xxxx garanty xxxxx, xxxxx jsou xxxxxxxxx xx xxxxxxxx xxxxxx, a
c) xxxxxxx xxxxxxxxxx primárních xxxxx x hlediska xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx x zařadí xx xx xxxxxxxxxxxx úrovní xxxxxxxxx x xxxxxxx xxxxx přílohy č. 1 x xxxx xxxxxxxx.
(2) Při xxxxxxxxx důležitosti xxxxxxxxxx xxxxx xx xxxxx xxxxxxxxx posoudit
a) xxxxxx x xxxxxxxxxx xxxxxxxx xxxxx nebo obchodního xxxxxxxxx,
x) xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx nebo xxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx x kontrolních xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, xxxxxxxxxx xxxx ekonomických xxxxx,
x) xxxxx xxxxxxxx xxxxxx,
x) xxxxxx narušení xxxxxxx xxxxxxxx orgánu x xxxxx xxxxxxx v §3 xxxx. c) xx x) xxxxxx,
x) xxxxxx spojené x xxxxxxxxx xxxxxxxxxx, integrity x xxxxxxxxxxx x
x) xxxxxx na xxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx xxxxx xxxxxxx.
(3) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxx aktiva,
b) určí xxxxxxx xxxxx, kteří xxxx xxxxxxxxx za xxxxxxxx xxxxxx, a
c) xxxx xxxxx xxxx xxxxxxxxxx x podpůrnými xxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxx mezi xxxxxxxxxx x podpůrnými xxxxxx.
(4) Xxxxx x xxxxx xxxxxxx v §3 písm. x) xx e) xxxxxx xxxx
x) stanoví xxxxxxxx xxxxxxx, xxxxx pro xxxxxxxxxxx jednotlivých xxxxxx xxxxx tím, xx
1. xxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx úrovní aktiv,
2. xxxxxxx pravidla xxx xxxxxxxxxx x xxxxxxxx x xxxxxx xxxxx xxxxxx aktiv, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxx xxxxx x
3. xxxxxxx přípustné xxxxxxx xxxxxxxxx xxxxx,
x) xxxxxx xxxxxxxx ochrany xxxxxxxxxxxx xxxxxx aktiv x
x) xxxx xxxxxxx xxx xxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx dat s xxxxxxx xx úroveň xxxxx.
§9
Bezpečnost xxxxxxxx zdrojů
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxx řízení xxxxxxxxxxx xxxxxxxx zdrojů
a) stanoví xxxx xxxxxxx bezpečnostního xxxxxxxx, xxxxx obsahuje xxxxx, xxxxx a xxxxxx xxxxxxxxxx školení x xxxx osoby xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx jsou x xxxxx xxxxxxx,
x) x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx o xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx politice formou xxxxxxxxx x pravidelných xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní role x
x) xxxxxxx xxxxxxx xxxxxxxxx aktiv x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxx ukončení smluvního xxxxxx x xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Xxxxx x osoba xxxxxxx v §3 xxxx. x) až x) xxxxxx xxxx x školení xxxxx xxxxxxxx 1 xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxx, které xxxxxxx xxxxxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx xxxx
x) xxxxxxx xxxxxxxx xxx xxxxxx xxxx, xxxxx budou zastávat xxxxxxxxxxxx xxxx, xxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx povědomí, xxxxxxxxxxx školení x xxxxxxx xxxxxxxx spojených x xxxxxxxxxxxxx bezpečnostního xxxxxxxx,
x) určí xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx pravidel xx xxxxxx uživatelů, xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx bezpečnostní xxxx.
§10
Řízení xxxxxxx a xxxxxxxxxx
(1) Orgán a xxxxx xxxxxxx x §3 písm. x) xx e) zákona x xxxxx xxxxxx xxxxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx nástrojů xxxxxxxxx x §21 xx 23 xxxxxxxx xxxxxxxxxxxx bezpečnostní události, xxxxxxxxxx xxxxxxxxxxx získané xxxxxxxxx x xx xxxxxxxx nedostatky xxxxxxx x xxxxxxx s §13.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx x xxxxx xxxxxx xxxxxxx x komunikací xxxx zajišťuje xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému. Xx xxxxx účelem xxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx.
(3) Xxxxxxxx xxxxxxxx x xxxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx xxxxxxxx
x) xxxxx x xxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx a xxxxxxxxx,
x) xxxxxxx xxx xxxxxxxx x ukončení xxxxx systému, pro xxxxxxx xxxx xxxxxxxx xxxxx xxxxxxx po xxxxxxx a xxx xxxxxxxx chybových stavů xxxx xxxxxxxxxxx jevů,
c) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x pro xxxxxxx xxxxxxxx k záznamům x těchto činnostech,
d) xxxxxxx na xxxxxxxxx xxxxx, které xxxx xxxxxx jako xxxxxxx xxx řešení xxxxxxxxxxxxx xxxxxxxxxxx xxxx technických xxxxxx,
x) postupy xxxxxx x schvalování xxxxxxxxxx xxxx a
f) xxxxxxx xxx sledování, plánování x xxxxxx kapacity xxxxxxxx a xxxxxxxxxxx xxxxxx.
(4) Xxxxxx xxxxxxx xxxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx spočívá x xxxxxxxxx pravidelného xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx provedených xxxxx.
(5) Xxxxxx xxxxxxx orgánu x xxxxx uvedené x §3 xxxx. x) x x) xxxxxx spočívá x
x) xxxxxxxxx xxxxxxxx vývojového, xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) řešení reaktivních xxxxxxxx vydaných Úřadem xxx, xx xxxxx x xxxxx uvedená x §3 xxxx. x) a x) xxxxxx
1. posoudí xxxxxxxxx xxxxxx reaktivního xxxxxxxx xx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxxx systém xxxxxxxx xxxxxxxxxx infrastruktury x xx zavedená xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxx negativní xxxxxx x xxx xxxxxxxxxx xxxxxxx je oznámí Xxxxx x
2. xxxxxxx xxxxxx rychlého xxxxxxxxx xxxxxxxxxxx opatření, xxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxx, x xxxx xxxxxx plán xxxx xxxxxxxxx.
(6) Xxxxx x xxxxx xxxxxxx x §3 písm. c) x x) xxxxxx x xxxxx xxxxxx xxxxxxxxxx
x) xxxxxxxxx bezpečnost x xxxxxxxxx komunikačních xxxx x xxxxxxxxxx xxxxxxxxxxxxx služeb podle §17,
x) určí xxxxxxxx x postupy xxx xxxxxxx informací, xxxxx xxxx přenášeny xxxxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxx x předávání informací xx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx xx současného zajištění xxxxxxxxxxx informací a xxxx pravidla dokumentuje x
x) s ohledem xx klasifikaci xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxx xxxxx, xxxxxxx xxxxxxxx xx xxxxxxxxxx o xxxxxxxxxxx xxxxxxxxx.
§11
Xxxxxx přístupu a xxxxxxxx chování uživatelů
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xx xxxxxxx xxxxxxxxxx a xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxx k informačnímu xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx a přidělí xxxxxxx uživateli xxxxxxxxxxx xxxxxxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx xxxxxx xxxxxxxx, xxxxx xxxxxx k xxxxxxxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačního xxxxxxx xxxxx §18 x 19, x xxxxx xxxxx xx zneužití xxxxxx xxxxx neoprávněnou xxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx xxxx x xxxxx xxxxxx přístupu
a) xxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx,
x) omezí přidělování xxxxxxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx x odebírá xxxxxxxxxx xxxxxxxxx v souladu x xxxxxxxxx řízení xxxxxxxx,
x) xxxxxxx pravidelné xxxxxxxxxxx nastavení xxxxxxxxxxxx xxxxxxxxx včetně rozdělení xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx nebo xxxxxx,
x) xxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx podle §18 x xxxxxxx xxx xxxxxx přístupových xxxxxxxxx xxxxx §19 x
x) xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx pro xxxxxxxx xxxxxxxxx mobilních xxxxxxxx, xxxxxxxx x bezpečnostní xxxxxxxx xxxxxxx s xxxxxxxx technických xxxxxxxx, xxxxxxx xxxxx a xxxxx uvedená x §3 xxxx. x) x d) xxxxxx xxxxxxxxxxx.
§12
Xxxxxxxx, xxxxx x xxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. c) xx x) zákona xxxxxxx bezpečnostní požadavky xx xxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx významného xxxxxxxxxxxx xxxxxxx spojené x xxxxxx xxxxxxxx, xxxxxxx x xxxxxxx x xxxxxx xx xx xxxxxxxx xxxxxxxx, xxxxxx x xxxxxx xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx dále
a) xxxxxxxxxxxx, xxxxxxx x xxxx xxxxxx xxxxxxxxxxx x xxxxxxxx, xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx; xxx xxxxxxx xxxxxxxxx a xxxxxx xxxxx xx metodiky xxxxx §4 xxxx. 1 xxxx. x) xxxxxxx obdobně,
b) zajistí xxxxxxxxxx xxxxxxxxxx xxxxxxxxx x zajistí ochranu xxxxxxxxxxx testovacích xxx x
x) provádí bezpečnostní xxxxxxxxx xxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx jejich xxxxxxxxx xx provozu.
§13
Xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) přijme xxxxxxxx xxxxxxxx, která xxxxxxx xxxxxxxxxx kybernetických bezpečnostních xxxxxxxx x informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx ze xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx zastávajících bezpečnostní xxxx x o xxxxxxxxxx xxxx xxxxxxx,
x) xxxxxxxx xxxxxxxxx pro xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx technickými nástroji xxxxx §21 až 23, xxxxxxx xxxxxx xxxxxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx klasifikaci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxx pro xxxxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle §32 x xxxxxxx xxxx xxxxxxxxxxx podkladů xxxxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx,
x) xxxxxxxx x xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xx xxxxxxx xxxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxx opatření x xxxxxxxx xxxxxxxxx xxxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxx kybernetických bezpečnostních xxxxxxxxx.
§14
Xxxxxx kontinuity činností
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) až x) zákona x xxxxx xxxxxx xxxxxxxxxx xxxxxxxx stanoví
a) xxxxx x xxxxxxxxxx garantů xxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx úrovně xxxxxxxxxxxxx xxxxxx, xxxxx xx přijatelná xxx xxxxxxx, xxxxxx x xxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
2. xxxx obnovení chodu, xxxxx xxxxx bude xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx obnovena xxxxxxxxx xxxxxx poskytovaných služeb xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx kritické informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x
3. xxxx xxxxxxxx dat xxxx xxxxxxx, xx xxxxxxx budou xxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx, x
x) xxxxxxxxx řízení xxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx cílů xxxxx xxxxxxx x).
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx dále
a) vyhodnotí x xxxxxxxxxxx možné xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx rizika související x xxxxxxxxx kontinuity xxxxxxxx,
x) stanoví, aktualizuje x xxxxxxxxxx xxxxxxx xxxxx kontinuity činností xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a využívá xxxxxxx pro xxxxxxxxxxx xxxxxx xxxxxxxxxxx podle §26 x
x) stanoví x xxxxxxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Úřadem xxxxx §13 x 14 xxxxxx, xx xxxxxxx xxxxxxxx
1. výsledky hodnocení xxxxx provedení xxxxxxxx,
2. xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
3. xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury xxxx komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§15
Xxxxxxxx a xxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxx informačních xxxxxxx
(1) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx x rámci xxxxxxxx x auditu xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx (xxxx xxx "audit xxxxxxxxxxxx bezpečnosti")
a) xxxxxxxx xxxxxx xxxxxxxxxxxxxx opatření x xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx a smluvními xxxxxxx vztahujícími xx x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx informačnímu systému x určí opatření xxx xxxx xxxxxxxxxxx x
x) xxxxxxx x xxxxxxxxxxx xxxxxxxxxx kontroly xxxxxxxxxx bezpečnostní politiky x xxxxxxxx těchto xxxxxxx zohlední x xxxxx xxxxxxx bezpečnostního xxxxxxxx x xxxxx xxxxxxxx rizik.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti xxxxxx x xxxxxxxx xxxxxxxxxxx podle §6 xxxx. 6, xxxxx xxxxxxx správnost a xxxxxxxx xxxxxxxxxx bezpečnostních xxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx xxx xxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxx kritické informační xxxxxxxxxxxxxx xxxxxxx kontrolu xxxxxxxxxxxxx technických prostředků xxxxxx xxxxxxxxxxxxxxxx xxxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxx x xxxxxxx xx zjištěné xxxxxxxxxxxxx.
HLAVA XX
XXXXXXXXX OPATŘENÍ
§16
Fyzická xxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxx nezbytná xxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxxxx xx xxxxxxxxxx prostor, xxx xxxx zpracovávány informace x xxxxxxxx technická xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému,
b) xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx x xxxxxxx xx xxxxxxxxxx xxxxxxx, kde xxxx xxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx systému, x
x) xxxxxxxxx poškození, xxxxxxx xxxx xxxxxxxx xxxxx xxxx přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) zákona xxxx xxxxxxxxx xxxxxxxxxx xxxxxxx bezpečnosti
a) pro xxxxxxxxx ochrany xx xxxxxx xxxxxxx a
b) xxx xxxxxxxxx xxxxxxx x xxxxx xxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxx, xx xxxxxxx xxxx umístěna xxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.
(3) Prostředky xxxxxxx xxxxxxxxxxx xxxx zejména
a) xxxxxxxxxx xxxxxxxx xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx,
x) prostředky xxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxx kontrolu vstupu,
f) xxxxxxxx systémy,
g) xxxxxxxx xxx xxxxxxxxx ochrany xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx napájení a
h) xxxxxxxx xxx zajištění xxxxxxxxxxx xxxxxxxxxx xxxxxxxx.
§17
Nástroj xxx ochranu xxxxxxxxx xxxxxxxxxxxxx xxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) až x) zákona xxx xxxxxxx integrity xxxxxxxx xxxxxx xxxxxxxxxxx xxxx, xxxxx xxxx pod xxxxxxx xxxxxx nebo xxxxx, x xxxxxxx xxxxxxxxxxx sítě, xxxxx xx xxx xxxxxxx xxxxxx nebo osoby, xxxxxx
x) xxxxxx xxxxxxxxxx xxxxxxxx mezi xxxxxx x xxxxxxx xxxx,
x) xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxxxxxx zón xxxx xxxxxxxxxxx xxxx xxxx xxxxxxxxxxx xx zvýšení xxxxxxxxxxx xxxxxxxx xxxxxxxxxx x vnější xxxx x x xxxxxxxx xxxxx komunikace xxxxxxx xxxx x xxxxxx xxxx,
x) kryptografické xxxxxxxxxx (§25) xxx xxxxxxxx xxxxxxx, vzdálenou xxxxxx xxxx xxx xxxxxxx xxxxxx xxxxxxxxxxxx technologií x
x) xxxxxxxx xxx xxxxxxxxxx xxxx blokování xxxxxxxxxxx dat, xxxxx xxxxxxxxxxxx požadavkům xx xxxxxxx xxxxxxxxx komunikační xxxx.
(2) Xxxxx a xxxxx xxxxxxx v §3 písm. c) x x) zákona xxxx xxxxxxx xxxxxxxx xxx xxxxxxx integrity xxxxxxx komunikační xxxx, xxxxx xxxxxxx xxxx xxxxxxxxxx.
§18
Xxxxxxx pro xxxxxxxxx xxxxxxxx xxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxx xxx ověřování identity xxxxxxxxx x administrátorů xxxxxxxxx ověření xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx xxxx xxxxxxxxx xxxxxx xxxxxxx v informačním xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxx.
(3) Xxxxxxx pro xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxx používá xxxxxxxxxxx xxxxx heslem, xxxxxxxxx
x) xxxxxxxxx xxxxx hesla xxx xxxxx,
x) xxxxxxxxx xxxxxxxxx hesla tak, xx xxxxx xxxx xxxxxxxxx xxxxxxx 3 x následujících čtyř xxxxxxxxx
1. nejméně xxxxx xxxxx xxxxxxx,
2. xxxxxxx xxxxx xxxx xxxxxxx,
3. xxxxxxx xxxxx xxxxxxx, xxxx
4. xxxxxxx xxxxx xxxxxxxxx xxxx odlišný xx xxxxxxxxx xxxxxxxxx x xxxxxx 1 xx 3,
x) xxxxxxxxx xxxx pro xxxxxxxx xxxxxx hesla nepřesahující xxx xxx; xxxxx xxxxxxxxx není xxxxxxxxx xxx xxxxxxxxxx identifikátory xxxxxxxx.
(4) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx xxxx
x) xxxxxxx xxxxxxx xxx ověření xxxxxxxx, xxxxx
1. xxxxxx xxxxxxxxxx xxxxxxxxx xxxxx používaných xxxxx a neumožní xxxx xxxx xxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxx, xxxxx xxxx být xxxxxxx 24 xxxxx, a
2. xxxxxxx xxxxxxxx xxxxxxx xxxxxxxx xx xxxxxx xxxx xxxxxxxxxx x
x) xxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx. X xxxxxxx, xx xxxxx xxxxxxx využívá xxxxxxxxxxx heslem, xxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxx patnáct xxxxx xxx xxxxxxxx požadavků xxxxx xxxxxxxx 3 xxxx. x) x x).
(5) Xxxxxxx xxx xxxxxxxxx identity xxxxxxxxx xxxx xxx zajištěn x jinými xxxxxxx, xxx jaké xxxx xxxxxxxxx x xxxxxxxxxx 3 až 5, xxxxx xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxxxxxxx, xx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx vyšší úroveň xxxxxxxxx xxxxx.
§19
Nástroj xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, kterým xxxxxxx xxxxxx xxxxxxxxx
x) pro xxxxxxx k jednotlivým xxxxxxxxx a datům x
x) xxx xxxxx xxx, xxx xxxxx xxx x xxx xxxxx xxxxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 písm. x) x d) xxxxxx xxxx používá xxxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxxxxx použití xxxxxxxxxxxx xxxxxxxxx x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx.
§20
Nástroj xxx xxxxxxx xxxx xxxxxxxxx xxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až e) xxxxxx xxx xxxxxx xxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxxx kódu xxxxxxx xxxxxxx xxx xxxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx informačního xxxxxxx xxxx xxxxxxxxx xxxxx, xxxxx zajistí ověření x stálou xxxxxxxx
x) xxxxxxxxxx mezi xxxxxxx xxxx x vnější xxxx,
x) xxxxxxx a xxxxxxxxx datových úložišť x
x) xxxxxxxxxx stanic,
přičemž xxxxxxx xxxxxxxxxxx a xxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxx xxxxxxxxx kódem, xxxx xxxxxxx a signatur.
§21
Nástroj xxx zaznamenávání xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx systémů, xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxx pro xxxxxxxxxxxxx xxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxx
x) xxxx xxxxxxxxx x xxxxxxxxxx x xxxxxxxxxxxxxx činnostech, xxxxxxx typ činnosti, xxxxx x čas, xxxxxxxxxxxx technického aktiva, xxxxx xxxxxxx zaznamenalo, xxxxxxxxxxxx původce x xxxxx činnosti x xxxxxxxxx nebo xxxxxxxxxxx xxxxxxxx x
x) xxxxxxx xxxxxxxxx informací před xxxxxxxxxxxx xxxxxx xxxx xxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxx pomocí nástroje xxx zaznamenávání činnosti xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x významného xxxxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxxxxxx a odhlášení xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx vedoucí xx xxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx činností v xxxxxxxx nedostatku xxxxxxxxxxxx xxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx uživatelů,
e) xxxxxxxx a xxxxxxxx xxxxxxxx technických xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému,
f) xxxxxxxxxxx xxxxxxx xxxx xxxxxxx xxxxxxx xxxxxxxxxxx aktiv,
g) xxxxxxxx x xxxxxxxx x xxxxxxxxxx, pokusy x manipulaci xx xxxxxxx x xxxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx xxx zaznamenávání xxxxxxxx x
x) použití xxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxx včetně změny xxxxx, které xxxxxx x xxxxxxxxxx.
(3) Xxxxx x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx podle xxxxxxxx 2 xxxxxxxx xxxxxxx xx xxxx 3 xxxxxx.
(4) Orgán a xxxxx xxxxxxx x §3 xxxx. c) xx e) zákona xxxxxxxxx xxxxxxx xxxxxx xx 24 xxxxx xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxx xxxxxxxxx do xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx.
§22
Nástroj xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) až x) zákona xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx vychází xx xxxxxxxxxxx bezpečnostních potřeb x výsledků xxxxxxxxx xxxxx x xxxxx xxxxxxx xxxxxxx, xxxxxxxx x případně xxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx sítí a xxxxxx sítí.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) a d) xxxxxx xxxx xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx zajistí xxxxxxx, xxxxxxxx x případně xxxxxxxxxxx xxxxxxxxxx
x) x xxxxx xxxxxxx xxxxxxxxxxx xxxx a
b) xxxxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx.
§23
Xxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) a x) xxxxxx xxxxxxx xxxxxxx xxx xxxx a xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxxxx x xxxxxxx x xxxxxxxxxxxxxx potřebami a xxxxxxxx hodnocení xxxxx xxxxxxx
x) xxxxxxxxxxx sběr x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx z xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxx určené xxxxxxxxxxxx xxxx o xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x informačním xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxx krit é xxxxxxxxxx infrastruktury x
x) xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxx varování xxxxxxxx xxxxxxxxxxxxxx xxxx.
(2) Xxxxx x xxxxx uvedená x §3 písm. x) x x) xxxxxx dále xxxxxxx
x) xxxxxxxxxxx aktualizaci nastavení xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx, xxx xxxx xxxxxxxxx xxxxxxx nesprávného xxxxxxxxxxx xxxxxxxx nebo případy xxxxxxxxx varování, x
x) xxxxxxxxx xxxxxxxxx, xxxxx xxxx připraveny nástrojem xxx xxxx x xxxxxxxxxxx kybernetických bezpečnostních xxxxxxxx, xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§24
Xxxxxxxxx bezpečnost
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx e) xxxxxx provádí xxxxxxxxxxxx xxxxx zranitelnosti xxxxxxxx, xxxxx xxxx xxxxxxxxx x vnější xxxx, x xx před xxxxxx xxxxxxxx xx xxxxxxx x po xxxxx xxxxxxx změně xxxxxxxxxxxxxx xxxxxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxx x xxxxx aplikační xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx
x) xxxxxxxx a xxxxxxxxx xxxxxxxxxx x xxxxxx xxxx před neoprávněnou xxxxxxxx, popřením xxxxxxxxxxx xxxxxxxx, xxxxxxxxxxxx xxxx xxxxxxxxxxxxxxx změnou x
x) xxxxxxxxx xxxx jejich xxxxxxxxxxxx, nesprávným xxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxx předávaného xxxxxxxx xxxxxx, kompromitací, xxxxxxxxxxxxxxx xxxxxxxxxxxx nebo xxxxxxxxxx.
§25
Xxxxxxxxxxxxxx prostředky
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až e) xxxxxx
x) pro xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx stanoví
1. xxxxxx xxxxxxx x xxxxxxx xx typ x sílu kryptografického xxxxxxxxx x
2. pravidla xxxxxxxxxxxxxx xxxxxxx informací xxx přenosu xx xxxxxxxxxxxxx xxxxxx nebo xxx uložení na xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxx x
x) x xxxxxxx x bezpečnostními xxxxxxxxx x výsledky xxxxxxxxx rizik používá xxxxxxxxxxxxxx xxxxxxxxxx, které xxxxxxx xxxxxxx důvěrnosti x xxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxx xxx x xxxxxxxxx xxxxxxxxxxxx xxxxx xx provedené xxxxxxxx.
(2) Xxxxx a xxxxx xxxxxxx v §3 písm. x) x d) xxxxxx xxxx
x) stanoví xxx xxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxx klíčů, xxxxx xxxxxxx xxxxxxxxxx, xxxxxxxxxx, xxxxxxxx, xxxxxxxxx, xxxxx, xxxxxx, kontrolu x xxxxx xxxxx, x
x) xxxxxxx odolné xxxxxxxxxxxxxx algoritmy a xxxxxxxxxxxxxx xxxxx; x xxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxx x příloze č. 3 x xxxx xxxxxxxx xxxx xxxxxx xxxxxxx x xxxxx xxxxxxxxxx.
§26
Nástroj pro xxxxxxxxxxx xxxxxx xxxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx x xxxxxxx x bezpečnostními xxxxxxxxx x xxxxxxxx hodnocení xxxxx xxxxxxx nástroj xxx zajišťování xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxx xxxxxxx xxx xxxxxxxxxxx úrovně xxxxxxxxxxx xxxxxxxxx, který xxxxxxx
x) xxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxx splnění xxxx xxxxxx xxxxxxxxxx xxxxxxxx,
x) odolnost xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx mohly xxxxxx xxxxxxxxxx, a
c) zálohování xxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury
1. xxxxxxxx xxxxxxxxxx x xxxxxx xxxxxx x
2. xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxx xxxx.
§27
Xxxxxxxxxx průmyslových x xxxxxxxx systémů
Orgán a xxxxx uvedená x §3 xxxx. x) x d) zákona xxx xxxxxxxxxx průmyslových x xxxxxxxx xxxxxxx, xxxxx xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx anebo jsou xxxxxx xxxxxxxx, xxxxxxx xxxxxxxx, xxxxx zajistí
a) xxxxxxx fyzického xxxxxxxx x xxxx x xxxxxxxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxx a xxxxxxxxxx xxxxxxxx x síti xxxxxxxxxxxx a xxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx x xxxxxxxx xxxxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxx x
x) obnovení xxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx xx xxxxxxxxxxxxx bezpečnostním xxxxxxxxx.
XXXXX III
BEZPEČNOSTNÍ DOKUMENTACE
§28
Bezpečnostní xxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. c) x x) xxxxxx xxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, která xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxx xxxxx §5 xxxx. 1,
x) xxxxxx x xxxxxx xxxxxxxxxxxx bezpečnosti xxxxx §3 xxxx. 1 xxxx. x),
x) xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxx §3 xxxx. 1 xxxx. x),
x) metodiku pro xxxxxxxxxxxx a xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x hodnocení xxxxx,
x) zprávu o xxxxxxxxx aktiv x xxxxx,
x) prohlášení o xxxxxxxxxxxxxxxx,
x) xxxx zvládání xxxxx,
x) xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xxxxx §13 xxxx. x),
x) xxxxxxxxx řízení xxxxxxxxxx xxxxxxxx xxxxx §14 odst. 1 xxxx. x) a
k) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx a xxxxxx xxxxxxxx x xxxxxxxxx závazků xxxxx §15 xxxx. 1 xxxx. a).
(2) Orgán x osoba xxxxxxx x §3 písm. x) xxxxxx xxxx x xxxxxxxxxxx bezpečnostní xxxxxxxxxxx, xxxxx xxxxxxxx
x) xxxxxxxxxxxx politiku xxxxx §5 odst. 2,
x) xxxxxxxx xxx identifikaci x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx rizik xxxxx §4 odst. 2 xxxx. x),
x) xxxxxx x xxxxxxxxx xxxxx x xxxxx xxxxx §4 xxxx. 2 xxxx. x) x x),
x) prohlášení x xxxxxxxxxxxxxxxx podle §4 xxxx. 2 xxxx. d),
e) plán xxxxxxxx xxxxx xxxxx §4 xxxx. 2 xxxx. e),
f) xxxx xxxxxxx bezpečnostního xxxxxxxx xxxxx §9 xxxx. 1 xxxx. a),
g) xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx podle §13 xxxx. x),
x) strategii xxxxxx xxxxxxxxxx činností xxxxx §14 xxxx. 1 písm. x) x
x) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx předpisů x xxxxxxxxx závazků xxxxx §15 xxxx. 1 xxxx. x).
(3) Xxxxx x osoba xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx xxx, xxx záznamy x xxxxxxxxxxx xxxxxxxxxx byly xxxxx, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx x aby xx xxxx xxxxxx xxxxxxxx. Xxxxxxxx xxxxxxxx x identifikaci, xxxxxxx, xxxxxxx, vyhledání, xxxx xxxxxxxxx x uspořádání xxxxxxx o xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx dokumentace xx stanovena x příloze č. 4 x xxxx xxxxxxxx.
§29
Xxxxxxxxx xxxxxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx, xxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxx xxxxxxxxxx xxxxxx xx xxxxx zahrnut xx xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx xxxxx1) akreditovaným certifikačním xxxxxxx, x která xxxx xxxxxxxxx xxxxxxxxxx
x) xxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx politiky x xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxx metody hodnocení xxxxx x zprávu x xxxxxxxxx rizik,
d) xxxxxxxxxx o xxxxxxxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx zabývající xx xxxxxxxxxxx xxxxxxxxx1),
x) záznam x přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx informací xxxxxx souvisejících xxxxxx x výstupů přezkoumání x
x) xxxxxx z xxxxxx provedených certifikačním xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx o xxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxxxx xxxxxx,
xxxxxxx xxxxxxxxx xx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx podle xxxxxx x xxxx xxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX BEZPEČNOSTNÍ XXXXXXXX
§30
Xxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx xxxxxxx xxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx typů
a) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxx útokem nebo xxxxx xxxxxxxx xxxxxxx x xxxxxxx do xxxxxxx xxxx x xxxxxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx,
x) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxx porušením xxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx spojený x projevem xxxxxx xxxxxxxxxx xxxxxx a
f) xxxxxxx kybernetické bezpečnostní xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx.
(2) Podle dopadu xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx xxxx
x) kybernetický xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxx xxxxxxxxxx aktiv,
b) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx xxxxxxxx integrity xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx narušení xxxxxxxxxxx xxxxx, xxxx
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx kombinaci xxxxxx xxxxxxxxx v xxxxxxxxx x) xx x).
§31
Kategorie kybernetických xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xx xxxxx xxxxxxxx a negativních xxxxxxx kybernetické bezpečnostní xxxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - xxxxx xxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx xxxxx a xxxxxxxx narušena xxxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx. Jeho řešení xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x tím, xx xxxx xxx xxxxx dostupnými xxxxxxxxxx xxxxxxxxx dalšímu xxxxxx xxxxxxxxxxxxxx bezpečnostního incidentu xxxxxx xxxxxxxxxxxx xxxxxxxxx x potenciálních xxxx.
x) Xxxxxxxxx XX - xxxxxxx kybernetický bezpečnostní xxxxxxxx, při kterém xx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx služeb xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x xxx, xx xxxx být xxxxxxxx prostředky xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
x) Kategorie X - xxxx xxxxxxx kybernetický bezpečnostní xxxxxxxx, xxx xxxxxx xxxxxxx x xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxx obsluhy x tím, xx xxxx xxx vhodnými xxxxxxxxxx xxxxxxx xxxxx xxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx včetně minimalizace xxxxxxxxx xxxx.
(2) Orgán x osoba uvedená x §3 xxxx. x) xx e) xxxxxx xxx kategorizaci xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xxxxx xxxxxxxx 1 zohlední
a) důležitost xxxxxxxxx xxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx významného xxxxxxxxxxxx xxxxxxx,
x) dopady na xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx na xxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxx významnými xxxxxxxxxxxx xxxxxxx a
d) xxxxxxxxxxxxx škody x xxxxx xxxxxx.
§32
Forma x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx e) zákona xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx
x) x elektronické xxxxxx prostřednictvím
1. xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
2. xxxxxx xx adresu xxxxxxxxxxxx xxxxx Xxxxx xxxxxx xxx xxxxxx xxxxxxx kybernetických bezpečnostních xxxxxxxxx, xxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Úřadu,
3. xxxxxx xxxxxx xx xxxxxx xxxxxxxx Úřadu, xxxx
4. prostřednictvím xxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xxxxx je xxxxxxxxx xx internetových stránkách Xxxxx, xxxxx
x) x xxxxxxxx xxxxxx xx xxxxxx Xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti, zveřejněné xx xxxxxxxxxxxxx stránkách Xxxxx.
(2) Xxxxxxx x xxxxxxxx xxxxxx se xxxxxx xxxxx x xxxxxxxxx, xxx xxxxx xxxxxx žádný xx xxxxxxx xxxxxxxxx x xxxxxxxx 1 písm. x).
(3) Náležitosti xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxx uvedeny x příloze č. 5 x xxxx xxxxxxxx.
XXXX XXXXXX
XXXXXXXXX XXXXXXXX X KONTAKTNÍ ÚDAJE
§33
Reaktivní xxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx oznámí xxxxxxxxx xxxxxxxxxxx opatření x jeho xxxxxxxx xx formuláři, jehož xxxx xx xxxxxx x příloze č. 6 x xxxx xxxxxxxx.
§34
Kontaktní xxxxx
Xxxxx a xxxxx xxxxxxx x §3 zákona xxxxxxxx xxxxxxxxx údaje xx xxxxxxxxx, xxxxx vzor xx xxxxxx v příloze č. 7 k xxxx xxxxxxxx. Orgán a xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxxxxxx kontaktní xxxxx xxxxxx xxxxxxxx x §32 xxxx. 1 xxxx. a).
XXXX PÁTÁ
ÚČINNOST
§35
Tato vyhláška xxxxxx xxxxxxxxx dnem 1. ledna 2015.
Ředitel:
Ing. Xxxxxxxx v. x.
Xxxxxxx č. 1 x vyhlášce č. 316/2014 Sb.
Hodnocení x xxxxxx xxxxxxxxxxx xxxxx
Xxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxx použity xxxxxxxx x xxxxxxx úrovních. Xxxxx xxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxx xxxxxxxx xxxxxxx počet xxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, než xxxx xx uveden x xxxx příloze, xxxxxx-xx xxxxxxxxxxx vazby xxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxxx důležitosti xxxxx x xxxxxxxxxx x xxxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx jsou xxxxxxx x xxxx xxxxxxx.
X xxxxxxx xxxxxxx xxx xxxxxx hodnocení xxxxxxxxxxx xxxxx je xxxxxxxxx xxxxxxx buď xxxxxx xxxxx x xxxxxxx, xxxx úrovně vysoká x kritická.
Stupnice pro xxxxxxxxx důvěrnosti
|
Úroveň |
Popis |
Ochrana |
|
Nízká |
Aktiva xxxx xxxxxxx xxxxxxxxx nebo xxxx určena xx xxxxxxxxxx (např. na xxxxxxx zákona č. 106/1999 Sb., x xxxxxxxxx xxxxxxxx x xxxxxxxxxx, xx xxxxx pozdějších předpisů). Xxxxxxxx důvěrnosti aktiv xxxxxxxxxx oprávněné xxxxx xxxxxx a xxxxx xxxxxxx v §3 xxxx. x) až x) zákona. |
Není vyžadována xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxx know-how xxxxxx x osoby xxxxxxx x §3 písm. x) xx x) xxxxxx, xxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxxxx ujednáním. |
Pro ochranu xxxxxxxxxx jsou využívány xxxxxxxxxx xxx xxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxxx xxxxxxx xx xxxxxxxxxx xxxxxxxx předpisy, jinými xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx (xxxx. obchodní xxxxxxxxx xxxxx xxxxxx č. 89/2012 Sb., občanský xxxxxxx, xxxxxx údaje xxxxx xxxxxx č. 101/2000 Sb., o xxxxxxx osobních xxxxx, xx xxxxx pozdějších xxxxxxxx). |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx prostředky, xxxxx xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxx xxxx xxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x vyžadují xxxxxxxxxxxxx xxxx xxxxxxx xxx xxxxx předchozí xxxxxxxxx (xxxx. strategické xxxxxxxx xxxxxxxxx, citlivé xxxxxx údaje). |
Pro xxxxxxx xxxxxxxxxx je xxxxxxxxxx xxxxxxxx xxxx, xxxxx x aktivům přistoupily, x metody xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xx xxxxxx xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx nevyžaduje xxxxxxx x hlediska xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxx oprávněné xxxxx xxxxxx a osoby xxxxxxx x §3 xxxx. x) až x) xxxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx může xxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx aktiva xxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx x xxxxx uvedené v §3 písm. x) xx x) xxxxxx x může xx xxxxxxxx xxxx závažnými xxxxxx xx xxxxxxxx xxxxxx. |
Xxx ochranu integrity xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx (xxxx. omezení xxxxxxxxxxxx práv xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx vyžaduje xxxxxxx x hlediska xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx x poškození xxxxxxxxxxx xxxxx xxxxxx x osoby uvedené x §3 písm. x) až x) xxxxxx x podstatnými xxxxxx na xxxxxxxx xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx, které xxxxxxxx xxxxxxxx xxxxxxxx provedených xxxx x xxxxxxxxxx xxxxxxxx xxxxx provádějící xxxxx. Xxxxxxx integrity xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx z xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxx x xxxxx xxxxxxx poškození oprávněných xxxxx xxxxxx a xxxxx uvedené v §3 xxxx. c) xx e) xxxxxx x přímými a xxxxx xxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx prostředky xxxxxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (xxxx. xxxxxx xxxxxxxxxxx digitálního xxxxxxx). |
Xxxxxxxx xxx xxxxxxxxx dostupnosti
|
Úroveň |
Popis |
Ochrana |
|
Nízká |
Narušení xxxxxxxxxxx xxxxxx není xxxxxxxx x x xxxxxxx xxxxxxx je xxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxx xxxxxxx (cca xx 1 týdne). |
Pro xxxxxxx xxxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx by xxxxxx xxxxxxxxx xxxx xxxxxxxxxx xxx, xxxxxxxxxxxxx výpadek xxxx k xxxxxxx xxxxxxxx xxxxx xxxxxx x osoby uvedené x §3 písm. x) až x) xxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx x obnovy. |
|
Vysoká |
Narušení xxxxxxxxxxx xxxxxx xx xxxxxx překročit xxxx xxxxxxxx xxxxx. Xxxxxxxx xxxxxxx xx xxxxx xxxxx xxxxxxxxxx, xxxxxxx xxxx x xxxxxxx xxxxxxxx zájmů xxxxxx x xxxxx uvedené x §3 xxxx. x) xx x) xxxxxx. Xxxxxx xxxx xxxxxxxxxx xxxx velmi důležitá. |
Pro xxxxxxx dostupnosti xxxx xxxxxxxxx xxxxxxx systémy x xxxxxx xxxxxxxxxxx xxxxxx může xxx xxxxxxxxx xxxxxx xxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx dostupnosti aktiva xxxx xxxxxxxxx x x xxxxxxxxxx nedostupnost (x řádu xxxxxxxx xxxxx) xxxx x xxxxxxx xxxxxxxx zájmů orgánu x xxxxx uvedené x §3 písm. x) xx x) xxxxxx. Aktiva jsou xxxxxxxxxx xxxx kritická. |
Pro xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx záložní xxxxxxx x xxxxxx poskytování xxxxxx xx xxxxxxxxxx x xxxxxxxxxxxxxx. |
Xxxxxxx č. 2 x vyhlášce x. 316/2014 Xx.
Xxxxxxxxx xxxxx
Xxxxxxxxx xxxxx je vyjádřeno xxxx funkce, kterou xxxxxxxxx xxxxx, hrozba x xxxxxxxxxxxx.
Xxx xxxxxxxxx xxxxx lze xxxxxx xxxxxxx xxxx xxxxxx
xxxxxx = dopad x xxxxxx x zranitelnost.
Jednoznačné xxxxxx xxxxxx xxx xxxxxx xxxxxx xx xxxxxxxxx xxxxxxxx xxxxxxxx xxx identifikaci a xxxxxxxxx xxxxxx
|
Xxxxxxxx xxx xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxx xx x xxxxxxxx časovém xxxxxx x xxxxxx xxxxxxx x xxxxx xxx katastrofický. Rozsah xxxxxxxxxx xxxx xxxxxxxxxxx x) 10 xxxxxxxxx xxxx x xxxxxxxxx xxxxxxxxxxxxx xx xxxx delší xxx 24 xxxxx xxxx x) xxxxxxxx nebo materiální xxxxxx xx 5&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx veřejnost x xxxxxxxxx omezením xxxxxxxxxx xxxxxx xxxx xxxxxx závažného xxxxxx xx xxxxxxxxxxxx života xxxxxxxxxxxxx xxxxxxx 250 xxxx. |
|
Xxxxxxx |
Xxxxx je xxxxxxxxx xxxxxxx x x xxxxxxxx xxxxxxx xxxxxx. Xxxxxx xxxxxxxxxx škod se xxxxxxxx x rozmezí a) xx 10 xxxxxxx xxxx od 11 xx 100 osob x xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx nebo xxxxxxxxxx xxxxxx xx 5&xxxx;000&xxxx;000 Xx xx 50&xxxx;000&xxxx;000 Kč xxxxx x) xxxxxxxxxxx xxxxx na xxxxxxxxx x rozsáhlým xxxxxxxx xxxxxxxxxx služeb xxxx xxxxxx závažného xxxxxx xx každodenního xxxxxx postihujícího xx 251 do 2&xxxx;500 xxxx. |
|
Xxxxxx |
Xxxxx xx omezeného xxxxxxx, ale trvalý xxxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xx xxxxxxxx x xxxxxxx x) od 11 xx 100 xxxxxxx xxxx xx 101 do 1 000 xxxx s xxxxxxxxx xxxxxxxxxxxxx po xxxx delší než 24 xxxxx xxxx x) xxxxxxxx xxxx materiální xxxxxx od 50 000 000 Xx xx 500&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx veřejnost x xxxxxxxxx omezením xxxxxxxxxx služeb nebo xxxxxx závažného xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xx 2 501 xx 25 000 osob. |
|
Kritický |
Dopad xx xxxxxx rozsahem, xxxxxx a xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx škod se xxxxxxxx x xxxxxxx x) 10 a xxxx xxxxxxx x 1 001 a více xxxx x xxxxxxxxx xxxxxxxxxxxxx xx dobu xxxxx než 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx ztráty xxxxxxxxxxx 500&xxxx;000&xxxx;000 Xx xxxxx x) představuje dopad xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx jiného xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxx xxx 25 000 xxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx neexistuje xxxx xx málo pravděpodobná. Xxxxxxxxxxxxx realizace xxxxxx xxxx xxxxxxxx xxx xxxxxx za 5 xxx. |
|
Xxxxxxx |
Xxxxxx je xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx x xxxxxxx xx 1 roku xx 5 let. |
|
Vysoká |
Hrozba xx pravděpodobná až xxxxx pravděpodobná. Xxxxxxxxxxxxx xxxxxxxxx hrozby xx x xxxxxxx od 1 xxxxxx do 1 roku. |
|
Kritická |
Hrozba je xxxxx xxxxxxxxxxxxx xx xxxxxxxx jistá. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx xxxxxxxx xxx jednou xx xxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx xxxx xx xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxxx. Xxxxxxxx kvalitní bezpečnostní xxxxxxxx, xxxxx jsou xxxxxxx xxxx detekovat xxxxx slabiny nebo xxxxxxxx xxxxxx x xxxxxxxxx opatření. |
|
Střední |
Zranitelnost je xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Existují kvalitní xxxxxxxxxxxx opatření, xxxxxxx xxxxxxxx xx pravidelně xxxxxxxxxxxx. Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxx nebo xxxxxxxx pokusy o xxxxxxxxx xxxxxxxx je xxxxxxx. Xxxxxx známé xxxxx úspěšné xxxxxx x překonání xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx xx xxxxxxxxxxxxx xx xxxxx pravděpodobná. Xxxxxxxxxxxx xxxxxxxx existují, xxx jejich xxxxxxxx xxxxxxxxx xxxxxxx potřebné xxxxxxx x xxxx xxxxxxxxxx xxxxxxxxxxxx. Jsou xxxxx xxxxx xxxxxxx xxxxxx x překonání xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx xx xx xxxxxxxx xxxxx xxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx anebo xx jejich xxxxxxxx xxxxxx omezena. Neprobíhá xxxxxxxx účinnosti bezpečnostních xxxxxxxx. Xxxx xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx rizik |
|
|
Úroveň |
Popis |
|
Nízké |
Riziko xx xxxxxxxxxx xx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx sníženo xxxx xxxxxxxxx xxxxxxxxxx xxxx v xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xx riziko přijatelné. |
|
Vysoké |
Riziko xx xxxxxxxxxx xxxxxxxxxxx x xxxx xxx xxxxxxxx systematické kroky x xxxx odstranění. |
|
Kritické |
Riziko xx xxxxxxxxxxx x xxxx být xxxxxxxxxx xxxxxxxx kroky x xxxx xxxxxxxxxx. |
X xxxxxxx, xx xxxxx xxxx xxxxx uvedená x §3 xxxx. c) xx x) xxxxxx xxxxxxx metodu xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx, xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx, je xxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx stupnic xx xxxxxx xxxx xx ztrátě xxxxxxxxxx xxxxxxxxx míry hrozby x xxxxxxxxxxxxx. Xx xxxxx xxxxxx xxx xxxxxx například komentář, xxxxx zřetelně xxxxxxx xxx xxxxxx hrozby, xxx i xxxxxx xxxxxxxxxxxxx. Xxxxxxx postupuje x xxxxx xxxx xxxxx uvedená v §3 xxxx. x) xx x) xxxxxx, xxxxx xxxxxxx xxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxx, xxxxxx, xxxxxxxxxxxxx x xxxxx.
Příloha č. 3 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxx
x) Xxxxxxx x xxxxxxxx šifry xxx ochranu xxxxxxxxxx x xxxxxxxxx
1. Xxxxxxxx Xxxxxxxxxx Standard (XXX) x využitím délky xxxxx 128, 192 x 256 xxxx Xxxxxx Data Xxxxxxxxxx Xxxxxxxx (3XXX) x xxxxxxxx xxxxx xxxxx 168 xxxx, omezené xxxxxxx xxx se xxxxxxxxx xxxxx xxxxxx xxx 10 XX, xxxxxxxx přecházet na XXX.
2. Triple Xxxx Xxxxxxxxxx Standard (3XXX) x využitím xxxxx xxxxx 112 xxxx, xxxxxxx xxxxxxx jen xx zatížením xxxxx xxxxxx xxx 10 XX, postupně xxxxxxxxx xx XXX. Xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx xxx každou zprávu.
3. Xxxxxxxx s využitím xxxxxxxxx xxxxx klíčů 128 xxxx, omezené xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX.
4. Xxxxxx s xxxxxxxx xxxxx klíčů 128 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx menším xxx 10 XX.
5. Xxxxxxx x xxxxxxxx xxxxx xxxxx 128 až 256 bitů.
6. Xxxxxxx x využitím xxxxx xxxxx 128, 192, 256 bitů.
7. Xxxxxxxx x xxxxxxxx xxxxx xxxxx 128, 192 x 256 xxxx.
8. XXXX 2.0, XXXX 3X x využitím xxxxx xxxxx 128, 256 xxxx.
x) Xxxx xxxxxxxxx x ochranou xxxxxxxxx
1. XXX,
2. EAX,
3. XXX,
4. Xxxxxxx schémata xxxx "Xxxxxxx-xxxx-XXX".
Xxxxxxxx:
Xxxxxxxx xxxx "Xxxxxxx-xxxx-XXX",xxxx xxxxxxxx x xxxxxxxxx pouze xxxxxxx xxxxxxxxx xxxx a x xxxxxxx XXX xxxxx xxxxxxx xxxx xxx ochranu integrity.
c) Xxxx xxxxxxxxx
1. CTR,
2. XXX,
3. XXX,
4. XXX,
Xxxxxxxx:
Xxxx XXX a XXX xxxx xxx xxxxxxx x náhodným, pro xxxxxxxx nepředpověditelným xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxxx xxxx XXX xx xxx xxxx klíč xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxxx vektoru, při xxxxxxx xxxx XXX xx pro xxxx xxxx xxxxx opakovat xxxxxxx xxxxxx, x xxxxxxx xxxxxxx XXX xxxx x xxxxxxxxx xxx xxxxxxx integrity xx xxxxx xxxxxx xxxxxxxx proti xxxxx xx xxxxxxx XXX xxxx.
x) Xxxx pro xxxxxxx xxxxxxxxx
1. HMAC,
2. XXX-XXX-X9.19, omezené xxxxxxx xxx xx zatížením xxxxxx xxx 109 XXX,
3. CBC-MAC-EMAC,
4. XXXX.
(2) Xxxxxxxxxxx xxxxxxxxx
x) Pro xxxxxxxxxxx digitálního xxxxxxx
1. Xxxxxxx Xxxxxxxxx Xxxxxxxxx (XXX) x xxxxxxxx xxxxx xxxxx 2048 xxxx x více, xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx 224 xxxx x více.
2. Xxxxxxxx Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxxxxx (XX-XXX) x xxxxxxxx délky xxxxx 224 bitů x xxxx.
3. Xxxxxx-Xxxxxx-Xxxxxxx Probablistic Xxxxxxxxx Xxxxxx (RSA-PSS) x využitím xxxxx xxxxx 2048 bitů x více.
b) Xxx xxxxxxx xxxxx xx xxxxx a xxxxxxxxx xxxxx
1. Xxxxxx-Xxxxxxx (DH) x xxxxxxxx xxxxx xxxxx 2048 xxxx x xxxx, xxxxx xxxxxxxxx xxxxxxx xxxxxxxx 224 xxxx x xxxx.
2. Xxxxxxxx Curve Xxxxxx-Xxxxxxx (ECDH) x xxxxxxxx xxxxx xxxxx 224 bitů x xxxx.
3. Xxxxxxxx Curve Xxxxxxxxxx Xxxxxxxxxx Xxxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXXXX-XXX) s xxxxxxxx délky xxxxx 256 xxxx a xxxx.
4. Xxxxxxxx Xxxxxx Xxxxxxxx Curve - Xxx Xxxxxxxxxxxxx Mechanism (XXXX-XXX) x xxxxxxxx xxxxx xxxxx 256 xxxx více.
5. Xxxxxxxxx Xxxxxxx xxx Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) x xxxxxxxx xxxxx xxxxx 256 xxxx x xxxx.
6. Xxxxxx Xxxxxx Xxxxxxx - Xxxxxxx Xxxxxxxxx Xxxxxxxxxx Xxxxxxx (XXX-XXXX) s xxxxxxxx délky xxxxx 2048 a xxxx.
7. Xxxxxx Shamir Adleman - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (RSA-KEM) s xxxxxxxx xxxxx xxxxx 2048 a více.
(3) Xxxxxxxxx xxxx xxxxxx
x) XXX-2
1. XXX-224,
2. XXX-256,
3. XXX-384,
4. XXX-512,
5. XXX-512/224,
6. XXX-512/256.
x) XXX-3
1. XXX3-224,
2. XXX3-256,
3. XXX3-384,
4. XXX3-512,
5. XXXXX-128,
6. SHAKE-256.
c) Ostatní xxxxxxxx xxxxxx
1. Xxxxxxxx,
2. XXXXXX-160,
3. XXX 1 x xxxxxxxx xxxxxxxx.
Xxxxxxxx x. 1:
XXX-1 xx xxxxx používat pro xxxxxxxxxx nových xxxxxxxxxxx xxxxxxx, xxxxxxxx razítek, xxxxxxxxx jiné xxxxxxxx xxxxxxxxxx nekolizní XXX-1.
Xxxxxxxx x. 2:
SHA-1 xxx xxxxxxxx xxxxx xxx xxxxxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx x xxxxxxxx razítek, xxxxxxxxxx x ověřování XXXX-XXX1, xxxxxx pro xxxxxxxxxx xxxxx x xxxxxxxxxxxxx xxxxxxxxxx.
Příloha x. 4 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
Xxxx příloha xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx. Navrhované xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx zahrnují xxxxxx, xxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxx xxxxxxxxx, přičemž xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxx závazné x xx xx xxxxxx xxxx xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx, xxxx přístup x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx. Xxxxxxxxx xx x změna xxxxx jednotlivých xxxxxxxxx xxxx xxxxxxxxxxx xxxx xxxxx xx xxxxxxx xxxxxxxxx.
X. Xxxxxxxxx xxxxxxxxxxxx xxxxxxxx
(1) Xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. a)]
a) Xxxx, xxxxxxxx x xxxxxxx řízení bezpečnosti xxxxxxxxx.
x) Xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxx a xxxxxxx systému řízení xxxxxxxxxxx informací.
e) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Pravidla x xxxxxxx pro přezkoumání xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx nápravná xxxxxxxx a xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxxx organizační xxxxxxxxxxx**
[§5 xxxx. 1 xxxx. b), §5 xxxx. 2 písm. x)]
x) Určení xxxxxxxxxxxxxx xxxx x xxxxxx xxxx a xxxxxxxxxx,
1. xxxxx x povinnosti xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
2. xxxxx a xxxxxxxxxx xxxxxxxxxx kybernetické xxxxxxxxxxx,
3. xxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
4. xxxxx a povinnosti xxxxxxx xxxxx,
5. xxxxx x xxxxxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Požadavky na xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx bezpečnostních rolí.
(3) Xxxxxxxx xxxxxx dodavatelů**
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxx a principy xxx výběr xxxxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx xxxxx xxxxxxxxxx.
x) Náležitosti xxxxxxx x úrovni xxxxxx x xxxxxxx x úrovní xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x x určení xxxxxxxx xxxxxxx xxxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx.
(4) Politika klasifikace xxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxxxx, xxxxxxxxx x evidence xxxxxxxxxx xxxxx
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx primárních xxxxx včetně určení xxxxxx garanta,
2. hodnocení xxxxxxxxxxx primárních aktiv x hlediska xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx.
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx podpůrných xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxx xxxxx xxxx primárními x xxxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxxx jednotlivých xxxxxx xxxxx
1. xxxxxxx rozlišování xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx aktiv xxxxx xxxxxx aktiv,
3. xxxxxxxxx způsoby xxxxxxxxx xxxxx.
x) Způsoby xxxxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx dat.
(5) Xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx jeho hodnocení
1. xxxxxxx a xxxxx xxxxxxx xxxxxxxxx,
2. xxxxxxx x xxxxx xxxxxxx xxxxxxx xxxxx,
3. způsoby x xxxxx xxxxxxx xxxxxxxxxxxxxx,
4. způsoby x xxxxx poučení xxxxxxx xxxx xxxxxxxxxxxxx bezpečnostní xxxx.
x) Xxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx politiky xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Pravidla xxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxx pracovní xxxxxx.
1. vrácení svěřených xxxxx x xxxxxxxx xxxx při xxxxxxxx xxxxxxxxxx xxxxxx,
2. změna xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxx xxxxxx.
(6) Xxxxxxxx xxxxxx xxxxxxx x komunikací**
[§5 odst. 1 xxxx. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxxx x odpovědnosti xxxxxxx x xxxxxxxxx xxxxxxxx.
x) Xxxxxxx bezpečného xxxxxxx.
x) Xxxxxxxxx a xxxxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx.
x) Pravidla x xxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a bezpečnostních xxxxx.
(7) Xxxxxxxx xxxxxx xxxxxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxx minimálních xxxxxxxxx/xxxxxxx xxxx (need xx xxxx).
x) Požadavky xx řízení přístupu.
c) Xxxxxxx cyklus xxxxxx xxxxxxxx.
x) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.
x) Řízení přístupu xxx xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx přezkoumání xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx.
(8) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx xxx xxxxxxxx xxxxxxxxx s aktivy.
b) Xxxxxxxx použití přístupového xxxxx.
x) Bezpečné xxxxxxx xxxxxxxxxxxx pošty a xxxxxxxx na xxxxxxxx.
x) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx xxxxxxx na xxxxxxxxxx xxxxxx.
x) Bezpečnost xx xxxxxx x xxxxxxxx xxxxxxxxx.
(9) Xxxxxxxx xxxxxxxxxx x xxxxxx**
[§5 xxxx. 1 písm. x), §5 odst. 2 xxxx. i)]
a) Xxxxxxxxx na xxxxxxxxxx x obnovu.
b) Xxxxxxxx x xxxxxxx xxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxx.
x) Xxxxxxxx x xxxxxxx testování xxxxxxxxxx x obnovy.
(10) Xxxxxxxx xxxxxxxxxx předávání x výměny xxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxxxxxx informací.
b) Způsoby xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx.
x) Pravidla pro xxxxxxxxx kryptografické xxxxxxx.
(11) Xxxxxxxx xxxxxx technických xxxxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx xxx omezení xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx balíčků,
c) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx vybavení.
(12) Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx*
[§5 odst. 1 xxxx. 1)]
a) Pravidla x xxxxxxx xxx xxxxxxxx xxxxxxxxx mobilních xxxxxxxx.
x) Xxxxxxxx a xxxxxxx pro xxxxxxxxx xxxxxxxxxxx zařízení, xxxxxxx xxxxx x osoba xxxxxxx v §3 xxxx. c) a x) zákona nedisponuje.
(13) Xxxxxxxx xxxxxxxxxxx a xxxxxxxx licencí xxxxxxxxxxxx xxxxxxxx a informací*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx x jeho evidence.
b) Xxxxxxxx x postupy xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
(14) Politika xxxxxxxxxxxx ukládání a xxxxxxxxx xxxxxxxxx*
[§5 xxxx. x písm. n)]
a) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxx.
x) Ochrana xxxxxxxxxxxxx xxxxxxxxx x záznamů.
c) Xxxxxxxx xxxxxxxx x xxxxxxxxxxxx dokumentům a xxxxxxxx.
(15) Xxxxxxxx xxxxxxx xxxxxxxx xxxxx*
[§5 xxxx. x písm. x), §5 odst. 2 xxxx. k)]
a) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx údajů.
b) Xxxxx přijatých x xxxxxxxxxxx xxxxxxxxxxxxx opatření xxx xxxxxxx xxxxxxxx xxxxx.
x) Popis xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx ochranu xxxxxxxx xxxxx.
(16) Politika xxxxxxx bezpečnosti**
[§5 xxxx. x xxxx. x)]
x) Xxxxxxxx xxx ochranu xxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx vstupu xxxx.
x) Xxxxxxxx xxx xxxxxxx xxxxxxxx.
x) Detekce xxxxxxxx xxxxxxx bezpečnosti.
(17) Xxxxxxxx xxxxxxxxxxx komunikační sítě**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxx.
x) Určení xxxx a xxxxxxxxxx xx xxxxxxxx provoz xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxxx x rámci xxxx.
x) Pravidla a xxxxxxx pro xxxxxxx xxxxxxxxxx přístupu x xxxx.
x) Xxxxxxxx a xxxxxxx xxx monitorování xxxx x vyhodnocování xxxxxxxxxx xxxxxxx.
(18) Xxxxxxxx xxxxxxx xxxx škodlivým xxxxx*
[§5 odst. l xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Pravidla x xxxxxxx xxx ochranu xxxxxxxxxx xxxx xxxxxxx x vnější xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxx x sdílených xxxxxxxx xxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxxxxx stanic.
(19) Xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. n)]
a) Xxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx xxxxxxxxxxxxx a xxxxxxxxx xx detekované xxxxxxxxxxxx xxxxxxxxxxxx události.
c) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx nastavení xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(20) Xxxxxxxx xxxxxxx x xxxxxx nástroje pro xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx a xxxxxxx pro evidenci x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxxx pravidel xxx xxxxxxxxxxx kybernetických bezpečnostních xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxxxx xxxxxxxx pro xxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí.
(21) Politika xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx**
[§5 xxxx. 1 xxxx. u), §5 xxxx. 2 písm. x)]
x) Xxxxxx xxxxxxx x xxxxxxx xx xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla xxxxxxxxxxxxxx xxxxxxx informací
1. xxx xxxxxxx po xxxxxxxxxxxxx sítích,
2. xxx xxxxxxx xx xxxxxxx xxxxxxxx nebo xxxxxxxxxxx xxxxxxxxx xxxxx xxx,
x) Xxxxxx xxxxxx xxxxx.
XX. Xxxxxxxxx xxxxx dokumentace
(1) Xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx**
[§28 xxxx. 1 xxxx. x)]
x) Xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx xxxx auditorů x osob, které xx auditu xxxxxxxxxxxx xxxxxxxxxxx zúčastnily.
e) Xxxxx x xxxxx, kde xxxx xxxxxxxxx xxxxxxxx xxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxx z xxxxxx xxxxxxxxxxxx bezpečnosti.
g) Xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(2) Xxxxxx z xxxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 písm. x)]
x) Xxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx systému xxxxxx bezpečnosti informací,
b) Xxxxxxxxxxxx xxxx x xxxxxxxxx, které xxxxx xxx xxxx xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxx xxxxx x výkonnosti xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x nápravná opatření,
2. xxxxxxxx xxxxxxxxxxxx x xxxxxx,
3. výsledky xxxxxx,
4. xxxxxxxx xxxx bezpečnosti,
d) Xxxxxxxx hodnocení xxxxx x xxxx plánu xxxxxxxx xxxxx.
x) Identifikace xxxxxxxx pro xxxxxxxx xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx opatření x xxxx zajišťujících xxxxx xxxxxxxxxxxx činností.
(3) Xxxxxxxx xxx identifikaci x xxxxxxxxx xxxxx x pro xxxxxxxxxxxx x hodnocení xxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 písm. b)]
a) Xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx stupnice pro xxxxxxxxx úrovní xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxxxxxx aktiv,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.
x) Xxxxxx stupnice xxx xxxxxxxxx xxxxx
1. určení xxxxxxxx xxx hodnocení xxxxxx xxxxxx,
2. určení xxxxxxxx xxx hodnocení xxxxxx xxxxxx,
3. xxxxxx xxxxxxxx pro hodnocení xxxxxx xxxxxxxxxxxxx,
4. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxx,
x) Xxxxxx x přístupy xxx xxxxxxxx rizik.
b) Způsoby xxxxxxxxxxx přijatelných xxxxx.
(4) Xxxxxx x xxxxxxxxx xxxxx x xxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. x)]
x) Xxxxxxx xxxxxxxxxx aktiv
1. xxxxxxxxxxxx a popis xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx primárních xxxxx,
3. xxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx důvěrnosti, xxxxxxxxx x dostupnosti.
b) Xxxxxxx xxxxxxxxxx xxxxx (xxxxxxx pro xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx)
1. xxxxxxxxxxxx x popis xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxx xxxxx xxxx xxxxxxxxxx x podpůrnými xxxxxx,
x) Xxxxxxxxxxxxxx x xxxxxxxxx xxxxx
1. xxxxxxxxx xxxxxxx xxxxxx xx xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx existujících zranitelností, xxxxxxxxx existujících xxxxxxxx,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx xxxx xxxxxx x xxxxxxxx pro xxxxxxxxxxxx xxxxx,
5. xxxxxx x xxxxxxxxx přijatelných xxxxx.
x) Zvládání xxxxx
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. xxxxx xxxxxxxx x xxxxxx xxxxxxxxx.
(5) Xxxxxxxxxx x xxxxxxxxxxxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx xxxxxx xxxxxxxxxx xxxxxx výběru x xxxxxx xxxxx xx xxxxxxxxxxxxxx xxxxxx.
x) Přehled xxxxxxxxxx bezpečnostních xxxxxxxx.
(6) Xxxx xxxxxxxx rizik**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. x)]
x) Xxxxx x xxxx xxxxxxxxx bezpečnostních xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxxx xxxxxx xxx xxxxxxxxxx bezpečnostní opatření xxx zvládání rizik.
c) Xxxxx xxxxxxxxxxx jednotlivá xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Způsoby xxxxxxxxx xxxxxxxxxx xxxxxxxx jednotlivých xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
(7) Xxxx xxxxxxx bezpečnostního povědomí*
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. f)]
a) Xxxxx a xxxxxxx xxxxxxx xxxxxxxxx.
x) Obsah x xxxxxxx poučení xxxxxxx xxxxx (xxxxxxx xxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. e) xxxxxx).
x) Xxxxx a xxxxxxx xxxxxxx xxxxxxxxxxxxxx (xxxxxxx pro xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) zákona).
d) Xxxxx x xxxxxxx poučení xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxx x xxxxxxx poučení xxxxxx zaměstnanců.
f) Xxxxx x xxxxxxx hodnocení xxxxx.
(8) Xxxxxxxx kybernetických xxxxxxxxxxxxxx incidentů**
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. g)]
a) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxx x zvládání xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxx systému xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla a xxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních incidentů x xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(9) Strategie xxxxxx kontinuity xxxxxxxx**
[§28 xxxx. 1 písm. x), §28 odst. 2 písm. h)]
a) Xxxxx x xxxxxxxxxx xxxxxxxxxxxx osob.
b) Xxxx xxxxxx xxxxxxxxxx xxxxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx,
2. xxxx xxxxxxxx xxxxx,
3. bod obnovení xxxxx.
x) Xxxxxxxxx xxxxxx xxxxxxxxxx činností xxx xxxxxxxx cílů xxxxxxxxxx.
x) Xxxxxxx hodnocení xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xx kontinuitu x xxxxxxxxxx xxxxxxxxxxxxx rizik.
e) Xxxxxx x xxxxx xxxxxxxxxx xxxxx xxxxxxxxxx.
x) Xxxxxxx pro xxxxxxxxx xxxxxxxx xxxxxxxx Národním xxxxxxxxxxxxx xxxxxx.
(10) Xxxxxxx xxxxxx závazných xxxxxxxx xxxxxxxx, xxxxxxxxx předpisů x xxxxxx xxxxxxxx x smluvních xxxxxxx*
[§28 xxxx. 1 písm. x), §28 odst. 2 xxxx. x)]
x) Xxxxxxx obecně xxxxxxxxx xxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxx x xxxxxx předpisů.
c) Xxxxxxx xxxxxxxxx závazků.
Poznámka:
* Očekávaná xxxxxxxxx dokumentu je xx xxxxxx střední xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx x úroveň aktiv.
** Xxxxxxxxx xxxxxxxxx xxxxxxxxx xx xx xxxxxx xxxxxx xxxxx stupnice xxxxxxx v příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.
Xxxxxxx x. 5 x vyhlášce x. 316/2014 Xx.
Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního incidentu
Vyplnitelný formulář ve formátu PDF
Xxxxxxx x. 6 x vyhlášce č. 316/2014 Xx.
Xxxxxxxx xxxxxxxx x provedení xxxxxxxxxxx xxxxxxxx x jeho xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Příloha x. 7 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx xxx xxxxxxx kontaktních údajů
Vyplnitelný formulář ve formátu PDF
Informace
Právní xxxxxxx x. 316/2014 Sb. xxxxx xxxxxxxxx dnem 1.1.2015.
Ke xxx xxxxxxxx xxxxxx xxxxxxx xxxxx měněn xx xxxxxxxxx.
Xxxxxx xxxxxxx x. 316/2014 Sb. xxx xxxxxx xxxxxxx xxxxxxxxx č. 82/2018 Sb. x xxxxxxxxx xx 28.5.2018.
Xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxxx, pokud se xxxx netýká xxxxxxxxx xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
1) XXX/XXX 27001:2013, xxxxxxxx XXX ISO/IEC 27001:2014