Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
VYHLÁŠKA
ze xxx 15. xxxxxxxx 2014
x bezpečnostních xxxxxxxxxx, kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx, reaktivních xxxxxxxxxx x x xxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx o xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx bezpečnostní xxxx xxxxxxx xxxxx §28 xxxx. 2 xxxxxx x. 181/2014 Sb., x xxxxxxxxxxxx xxxxxxxxxxx x x xxxxx xxxxxxxxxxxxx zákonů (zákon x xxxxxxxxxxxx bezpečnosti), (xxxx xxx "xxxxx") x provedení §6 xxxx. x) xx x), §8 xxxx. 4, §13 odst. 4 x §16 xxxx. 6 zákona.
XXXX XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxxx vyhláškou xx xxxxxxx xxxxx x xxxxxxxxx xxxxxxxxxxxx dokumentace xxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx systém, xxxxx xxxxxxxxxxxxxx opatření, xxxxxx jejich xxxxxxxx, xxxx x xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxxxxxxx a xxxxxx xxxxxxx kybernetického bezpečnostního xxxxxxxxx, náležitosti xxxxxxxx x provedení xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx x vzor xxxxxxxx xxxxxxxxxxx xxxxx x xxxx xxxxx.
§2
Vymezení xxxxx
X xxxx xxxxxxxx xx xxxxxx
x) xxxxxxxx řízení xxxxxxxxxxx xxxxxxxxx část systému xxxxxx orgánu x xxxxx uvedené x §3 xxxx. x) xx e) xxxxxx xxxxxxxx xx xxxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxx xxxxxx ustavení, zavádění, xxxxxx, xxxxxxxxxxxx, přezkoumání, xxxxxxxxx x zlepšování xxxxxxxxxxx informací,
b) xxxxxxx xxxxxxxx aktivum x xxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxx systém xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxx xxxxxxxxxx xxxxxx,
x) podpůrným aktivem xxxxxxxxx xxxxxxx, zaměstnanci x dodavatelé podílející xx na xxxxxxx, xxxxxxx, xxxxxx nebo xxxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému,
e) xxxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx, komunikační prostředky x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému x xxxxxxx, ve xxxxxxx xxxx xxxx systémy xxxxxxxx,
x) xxxxxxx xxxxxxx, xx xxxxxx xxxxxx xxxxxxx zranitelnosti xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx x xxxxxxx xxxxxxxxx aktiva,
g) xxxxxxxxxx xxxxx xxxxxx, xxx xxxx xx určována xxxxxxxxxx xxxxx a xxxxxx xxxxxxxxxx úroveň,
h) xxxxxxx rizik xxxxxxx xxxxxxxxxx hodnocení xxxxx, xxxxx a zavedení xxxxxxxx ke xxxxxxxx xxxxx, xxxxxxx informací x xxxxxx x xxxxxxxxx x přezkoumání xxxxx,
x) xxxxxxx xxxxxxxxxxxxx xxxxxxx kybernetické bezpečnostní xxxxxxxx nebo xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, jejímž xxxxxxxxx může být xxxxxxxxx aktiva,
j) xxxxxxxxxxxxx xxxxx xxxxx xxxxxx xxxx bezpečnostního opatření, xxxxx může xxx xxxxxxxx xxxxxx xxxx xxxx hrozbami,
k) xxxxxxxxxxx xxxxxxx riziko xxxxxxxxx xx uplatnění xxxxxxxxxxxxxx xxxxxxxx, jehož xxxxxx xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxx xxxxxx zásad x pravidel, xxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxx xxxxxxx x xxxxxx uvedenou x §3 xxxx. x) xx x) xxxxxx,
x) xxxxxxxx xxxxxx xxxxxxx xxxxx xxxxxxxx xxxxxxx xxxx osobou xxxxxxxx x §3 xxxx. c) xx x) xxxxxx k xxxxxxxxx xxxxxxx, xxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxx xxxxx xxxxxxx moci, xxxxx využívá xxxxxxxx xxxxxx,
x) administrátorem xxxxxxx xxxxx pověřená xxxxxxxx xxxxxx zajišťující xxxxxx, xxxxxx, xxxxxxx, údržbu x xxxxxxxxxx xxxxxxxxxxx xxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX OPATŘENÍ
§3
Systém xxxxxx xxxxxxxxxxx informací
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) a d) xxxxxx v xxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx x xxxxxxx xx aktiva x xxxxxxxxxxx bezpečnost xxxxxx a xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xx kterém xxxx, kterých xxxxxxxxxxxxx xxxxx a technických xxxxx xx systém xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx,
x) xxxx xxxxxx xxxxx §4 odst. 1,
x) xxxxxxx x xxxxxxx bezpečnostní xxxxxxxx x oblasti systému xxxxxx xxxxxxxxxxx informací, xxxxx obsahuje hlavní xxxxxx, cíle, xxxxxxxxxxxx xxxxxxx, xxxxx a xxxxxxxxxx xx xxxxxx x řízení xxxxxxxxxxx xxxxxxxxx x xx xxxxxxx bezpečnostních xxxxxx x xxxxxxxx xxxxxxxxx xxxxx stanoví bezpečnostní xxxxxxxx v xxxxxxx xxxxxxxxx xxxxx §5 x xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) monitoruje xxxxxxxx bezpečnostních xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x xxxxxxxx bezpečnostní xxxxxxxx xxxxx §5,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx podle §15, x xx nejméně xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx účinnosti systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx obsahuje xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací včetně xxxxxx hodnocení xxxxx, xxxxxxxxx xxxxxxxx provedených xxxxxxx a auditů xxxxxxxxxxxx xxxxxxxxxxx a xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, x xx xxxxxxx xxxxxx xxxxx,
x) xxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a příslušnou xxxxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx, xxxxxxxx vyhodnocení xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx informací x x xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx a
i) xxxx xxxxxx x zdroje xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxxxxxxxx xxxxxxxx xxxxxxx se xxxxxxxx xxxxxx bezpečnosti informací x řízením xxxxx.
(2) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) zákona x xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxx rizika xxxxx §4 odst. 2,
x) xxxxxxx a schválí xxxxxxxxxxxx politiku x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, která xxxxxxxx xxxxxx zásady, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x povinnosti xx xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxx x xx xxxxxxx xxxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxx rizik xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx oblastech xxxxx §5, x xxxxxx příslušná bezpečnostní xxxxxxxx a
c) provádí xxxxxxxxxxx xxxxxx o xxxxxxxxx xxxxx x xxxxx, bezpečnostní xxxxxxxx, xxxxx xxxxxxxx xxxxx x plánu rozvoje xxxxxxxxxxxxxx povědomí, a xx nejméně xxxxxx xx tři roky xxxx x souvislosti x prováděnými nebo xxxxxxxxxxx xxxxxxx.
§4
Xxxxxx rizik
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx v rámci xxxxxx xxxxx
x) xxxxxxx xxxxxxxx pro xxxxxxxxxxxx x hodnocení aktiv x xxx identifikaci x xxxxxxxxx rizik xxxxxx stanovení kritérií xxx přijatelnost rizik,
b) xxxxxxxxxxxx a hodnotí xxxxxxxxxx xxxxx, která xxxxx do xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx §8 x rozsahu přílohy č. 1 x xxxx xxxxxxxx x výstupy zapracuje xx xxxxxx o xxxxxxxxx xxxxx a xxxxx,
x) xxxxxxxxxxxx rizika, xxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxxxxx, xxxxxxx možné xxxxxx xx xxxxxx, xxxxxxx xxxx rizika xxxxxxxxx x xxxxxxx xxxxx přílohy č. 2 x xxxx xxxxxxxx, určí a xxxxxxx xxxxxxxxxx rizika x xxxxxxxx xxxxxx x xxxxxxxxx aktiv x rizik,
d) xxxxxxxx xx základě bezpečnostních xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx vybraných x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx x xxxxxx xxxx zvládání xxxxx, xxxxx obsahuje xxxx a přínosy xxxxxxxxxxxxxx opatření pro xxxxxxxx rizik, určení xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x informační xxxxxx, xxxxxx jejich xxxxxxxx x xxxxx xxxxx xxxx riziky x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxx xxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx (dále xxx "Xxxx") x hodnocení xxxxx x v xxxxxxx, xx xxxxxxxxx xxxxx xxxxxxxxxxxxx o xxxx zranitelnosti xxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx ochranného opatření xxxxxxxx stanovená xxxxxxxx xxx xxxxxxxxxxxx xxxxx, xxxxxx xxxx xxxxxxxx xxxxx.
(2) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) xxxxxx v xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx pro identifikaci x hodnocení xxxxx x pro xxxxxxxxxxxx x hodnocení xxxxx xxxxxx stanovení kritérií xxx přijatelnost xxxxx,
x) xxxxxxxxxxxx x hodnotí xxxxxxxxxx primárních xxxxx, xxxxx patří do xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx §8 minimálně x xxxxxxx přílohy č. 1 k xxxx xxxxxxxx x xxxxxxx xxxxxxxxx xx xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxxxxxx rizika, xxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxxxxx, posoudí xxxxx dopady xx xxxxxxxx aktiva, xxxxxxx xxxx rizika xxxxxxxxx x rozsahu xxxxx přílohy č. 2 x xxxx xxxxxxxx x xxxxxxxx xxxxxx o hodnocení xxxxx a rizik,
d) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx hodnocení xxxxx xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx přehled xxxxxxxxx a zavedených xxxxxxxxxxxxxx xxxxxxxx,
x) zpracuje x xxxxxx xxxx xxxxxxxx xxxxx, který xxxxxxxx cíle a xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx zvládání xxxxx, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxxx jejich xxxxxxxx x xxxxx xxxxx xxxx xxxxxxxxxxxxxxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxx bez xxxxxxxxxx xxxxxxx reaktivní a xxxxxxxx opatření vydaná Xxxxxx x xxxxxxxxx xxxxx x v xxxxxxx, že xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx spojené x xxxxxxxxx reaktivního xxxx ochranného xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx, xxxxxx xxxx zvládání xxxxx.
(3) Xxxxxx xxxxx xxxx xxx zajištěno x xxxxxx xxxxxxx, xxx jak xx xxxxxxxxx x xxxxxxxxxx 1 x 2, xxxxx xxxxx x xxxxx uvedená x §3 xxxx. x) xx e) zákona xxxxxxxxx, že xxxxxxx xxxxxxxx zajišťující xxxxxxx xxxx xxxxx úroveň xxxxxx xxxxx.
(4) Orgán x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx xxx hodnocení xxxxx xxxxxxx zejména xxxx hrozby
a) porušení xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx činností, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxx x administrátorů,
b) xxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
x) zneužití xxxxxxxx xxxxxxx xxxxx,
x) užívání xxxxxxxxxxxx xxxxxxxx x xxxxxxx x xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx xxxx x xxxxxxxxxxx xxxx,
x) xxxxxxxx kód (xxxxxxxxx xxxx, spyware, xxxxxxx xxxx),
x) nedostatky při xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx významného xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxxxx,
x) přerušení poskytování xxxxxx xxxxxxxxxxxxxx komunikací xxxx xxxxxxx elektrické xxxxxxx,
x) xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxx xxxxxxxx xxxxxx x
x) xxxxxxxx xxxx xxxxxxxxx xxxxxx.
(5) Xxxxx x osoba uvedená x §3 xxxx. x) xx e) xxxxxx při xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx
x) nedostatečná xxxxxxx xxxxxxxx perimetru,
b) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxx oprávnění,
e) xxxxxxxxxxxx xxxxxxx xxx xxxxxxxxxxxxxx x xxxxxxxx negativních xxxxxxxxxxxxxx jevů, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
f) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx x neschopnost xxxxxxx xxxxxx nevhodné nebo xxxxxxx xxxxxxx chování x
x) nedostatečné stanovení xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxx xxxx x povinností xxxxxxxxx, administrátorů x xxxxxxxxxxxxxx xxxx.
(6) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxx hodnocení xxxxx xxxx zvažuje xxxx xxxxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, zneužití xxxxxxxxx xx strany xxxxxxxxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xx xxxxxx zaměstnanců,
c) xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx komunikací, xxxxxxx xxxxxxxxxx energie xxxx xxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxxxxx zaměstnanců x potřebnou xxxxxxxx xxxxxx,
x) cílený kybernetický xxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx, použití xxxxxxxxxxx xxxxxxx a
g) xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxx.
(7) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx xxx xxxxxxxxx rizik xxxx xxxxxxx tyto xxxxxxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,
x) nedostatečná xxxx xxxxxxxxx kontroly x
x) xxxxxxxxxxx xxxxxxxx odhalení xxxxxxxxx ze xxxxxx xxxxxxxxxxx.
§5
Bezpečnostní politika
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a d) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx v oblastech
a) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx bezpečnost,
c) xxxxxx vztahů s xxxxxxxxxx,
x) klasifikace xxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxxx,
x) xxxxxx přístupu,
h) xxxxxxxx xxxxxxx uživatelů,
i) xxxxxxxxxx x obnova,
j) xxxxxxxx xxxxxxxxx a xxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx zranitelností,
l) bezpečné xxxxxxxxx mobilních xxxxxxxx,
x) xxxxxxxxxxx a xxxxxxxx xxxxxxx xxxxxxxxxxxx vybavení x xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx,
x) xxxxxxx osobních xxxxx,
x) fyzická xxxxxxxxxx,
x) xxxxxxxxxx komunikační sítě,
r) xxxxxxx před xxxxxxxxx xxxxx,
x) nasazení a xxxxxxxxx nástroje pro xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx,
x) využití a xxxxxx nástroje pro xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x
x) xxxxxxxxx kryptografické xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x oblastech
a) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxx,
x) xxxxxx xxxxxxxxxx,
x) klasifikace xxxxx,
x) xxxxxxxxxx lidských xxxxxx,
x) řízení provozu x komunikací,
g) xxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x xxxxxx,
x) poskytování a xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx,
x) xxxxxxx xxxxxxxx údajů,
l) xxxxxxxxx kryptografické xxxxxxx,
x) xxxxxxx před škodlivým xxxxx x
x) xxxxxxxx x xxxxxxxxx xxxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxxxxxxx hodnotí xxxxxxxx xxxxxxxxxxxx politiky x aktualizuje ji.
§6
Organizační bezpečnost
(1) Orgán x osoba xxxxxxx x §3 písm. x) xx x) xxxxxx zavede xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, x rámci které xxxx xxxxx pro xxxxxx kybernetické xxxxxxxxxxx x bezpečnostní xxxx x xxxxxx xxxxx x povinnosti xxxxxxxxxxx x xxxxxxxxxxx systémem xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxx informačním xxxxxxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxx xxxxxxxxxxxx role
a) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxxx bezpečnosti,
c) auditor xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxx xxxxxx xxxxx §2 písm. x).
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxx xxxxxxxxxxxx xxxx xxxxxxxxx xxxxx odstavce 2.
(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx osoba, xxxxxxxxx xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxx xx pro xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx způsobilost xxxxx s řízením xxxxxxxxxxx xxxxxxxxx xx xxxx xxxxxxx tří xxx.
(5) Architekt xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx xxxxxxxxxxx návrh x xxxxxxxxxxxx xxxxxxxxxxxxxx opatření, xxxxx xx xxx xxxx činnost xxxxxxxxx x xxxxxxx odbornou xxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxxxxx architektury xx dobu nejméně xxx let.
(6) Auditor xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx způsobilost xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxx xxxxxxx xxx xxx. Auditor xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxxxxx x výkon xxxx xxxx xx oddělen xx xxxxxx rolí xxxxxxxxx v xxxxxxxx 2 písm. a), x) xxxx x).
(7) Xxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx, xxxxx xxxx xxxxxxxx celkovým xxxxxxx x rozvojem informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xx xxxxxxxx xxxxxxxx na xxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx bezpečností xxxxxx xxxxxxx.
(8) Xxxxx x xxxxx uvedená x §3 písm. c) xx x) xxxxxx xxxxxxx xxxxxxx xxxxxxx xxxx, xxxxx xxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxx x plánem xxxxxxx xxxxxxxxxxxxxx povědomí xxxxx §9 odst. 1 xxxx. b).
§7
Xxxxxxxxx xxxxxxxxxxxxxx požadavků xxx xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx zavede xxxxxxxx xxx dodavatele, která xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, a xxxxxxxx xx x xxxxxxxxxx nebo xxxxxx xxxx, xxxxx xx xxxxxxxx na xxxxxxx, xxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xxxxxx xxxxxxxx dodavatelů xx rozvoji, xxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx prokazatelně xxxxxxxxxxx xxxxx a xxxxx uvedená x §3 písm. x) xx e) xxxxxx xxxxxxxx, xxxxx součástí xx xxxxxxxxxx o xxxxxxxxxxx xxxxxxxxx.
(2) Orgán x osoba xxxxxxx x §3 písm. x) x x) xxxxxx u xxxxxxxxxx xxxxxxxxx x xxxxxxxx 1 xxxx
x) před xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxx přílohy č. 2 x xxxx xxxxxxxx, která xxxx xxxxxxx s xxxxxxxxxxx xxxxxxxxx,
x) uzavírá xxxxxxx x xxxxxx služeb, xxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření x xxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx za xxxxxxxx a xxxxxxxx xxxxxxxxxxxxxx opatření, x
x) xxxxxxx xxxxxxxxxx hodnocení xxxxx a pravidelnou xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx u xxxxxxxxxxxxx xxxxxx x zjištěné xxxxxxxxxx xxxxxxxxxx xxxx xx dohodě x xxxxxxxxxxx zajistí xxxxxx xxxxxxxxxx.
§8
Xxxxxx aktiv
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx v xxxxx xxxxxx xxxxx
x) identifikuje x eviduje xxxxxxxx xxxxxx,
x) xxxx xxxxxxx xxxxx, kteří jsou xxxxxxxxx za primární xxxxxx, x
x) hodnotí xxxxxxxxxx primárních xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x xxxxxx xx xx xxxxxxxxxxxx xxxxxx xxxxxxxxx v xxxxxxx xxxxx přílohy č. 1 k xxxx xxxxxxxx.
(2) Při xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx xx třeba xxxxxxxxx xxxxxxxx
x) xxxxxx x xxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxxxxx,
x) rozsah xxxxxxxxx xxxxxxxx povinností nebo xxxxxx xxxxxxx,
x) rozsah xxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, xxxxxxxxxx xxxx ekonomických xxxxx,
x) xxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx orgánu a xxxxx uvedené x §3 xxxx. x) xx x) xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxx důvěrnosti, integrity x xxxxxxxxxxx a
h) xxxxxx xx zachování xxxxxxx xxxxx xxxx xxxxxxx xxxxx xxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxxxxxxx a xxxxxxx xxxxxxxx xxxxxx,
x) xxxx xxxxxxx xxxxx, kteří xxxx xxxxxxxxx xx xxxxxxxx aktiva, x
x) xxxx vazby xxxx xxxxxxxxxx a podpůrnými xxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxx mezi xxxxxxxxxx x xxxxxxxxxx xxxxxx.
(4) Xxxxx a xxxxx xxxxxxx x §3 písm. c) xx x) xxxxxx xxxx
x) xxxxxxx xxxxxxxx xxxxxxx, nutná pro xxxxxxxxxxx xxxxxxxxxxxx úrovní xxxxx xxx, xx
1. xxxx xxxxxxx rozlišování xxxxxxxxxxxx úrovní aktiv,
2. xxxxxxx pravidla xxx xxxxxxxxxx x xxxxxxxx x xxxxxx xxxxx xxxxxx xxxxx, xxxxxx xxxxxxxx xxx bezpečné xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxx aktiv x
3. xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx,
x) xxxxxx pravidla xxxxxxx xxxxxxxxxxxx úrovni xxxxx x
x) xxxx xxxxxxx xxx xxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx xxx x xxxxxxx xx xxxxxx xxxxx.
§9
Xxxxxxxxxx lidských xxxxxx
(1) Xxxxx a osoba xxxxxxx x §3 xxxx. c) xx x) xxxxxx x xxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx
x) stanoví xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, který xxxxxxxx xxxxx, xxxxx a xxxxxx potřebných školení x xxxx xxxxx xxxxxxxxxxx realizaci xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx x xxxxx xxxxxxx,
x) x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx zajistí xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x jejich xxxxxxxxxxxx x o xxxxxxxxxxxx xxxxxxxx formou xxxxxxxxx x pravidelných xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a osob xxxxxxxxxxxxx bezpečnostní xxxx x
x) xxxxxxx vrácení xxxxxxxxx xxxxx a xxxxxxxx přístupových xxxxxxxxx xxx xxxxxxxx smluvního xxxxxx x xxxxxxxxx, xxxxxxxxxxxxxx xxxx osobami xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. c) až x) xxxxxx vede x xxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxx pravidla xxx xxxxxx osob, xxxxx xxxxx zastávat xxxxxxxxxxxx xxxx, xxxx xxxxxxxxxxxxxx xxxx uživatelů,
b) xxxxxxx xxxxxxxx xxxxx xxxxxxx bezpečnostního xxxxxxxx, xxxxxxxxxxx školení a xxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx bezpečnostního xxxxxxxx,
x) určí xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx uživatelů, xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxx při xxxxx xxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx xxxx osob xxxxxxxxxxxxx bezpečnostní xxxx.
§10
Xxxxxx xxxxxxx x xxxxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 písm. c) xx e) xxxxxx x rámci řízení xxxxxxx a xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx v §21 xx 23 detekuje xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxx a xx xxxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxx s §13.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. c) xx x) zákona x xxxxx xxxxxx xxxxxxx x xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx xxxxxx informačního systému xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačního xxxxxxx. Xx tímto účelem xxxxxxx xxxxxxxx xxxxxxxx x postupy.
(3) Xxxxxxxx xxxxxxxx x xxxxxxx xxxxxx x xxxxx xxxxxxx v §3 xxxx. x) x x) zákona xxxxxxxx
x) xxxxx x xxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, administrátorů x xxxxxxxxx,
x) xxxxxxx xxx xxxxxxxx x xxxxxxxx xxxxx systému, pro xxxxxxx xxxx xxxxxxxx xxxxx xxxxxxx po xxxxxxx a xxx xxxxxxxx chybových stavů xxxx mimořádných xxxx,
x) xxxxxxx pro xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxx xxxxxxx xxxxxxxx x xxxxxxxx x xxxxxx činnostech,
d) xxxxxxx xx xxxxxxxxx xxxxx, xxxxx xxxx xxxxxx xxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxxx xxxxxxxxxxx nebo xxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxx x
x) xxxxxxx xxx xxxxxxxxx, xxxxxxxxx x xxxxxx kapacity xxxxxxxx a xxxxxxxxxxx xxxxxx.
(4) Xxxxxx provozu xxxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxxx x provádění xxxxxxxxxxxx xxxxxxxxxx x prověřování xxxxxxxxxxxxx xxxxxxxxxxx záloh.
(5) Xxxxxx xxxxxxx xxxxxx x xxxxx uvedené x §3 xxxx. x) a d) xxxxxx xxxxxxx x
x) xxxxxxxxx oddělení vývojového, xxxxxxxxxxx a xxxxxxxxxxx xxxxxxxxx,
x) xxxxxx reaktivních xxxxxxxx xxxxxxxx Xxxxxx xxx, xx orgán x xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx
1. xxxxxxx očekávané xxxxxx xxxxxxxxxxx opatření xx xxxxxxxxxx systém xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxx negativní xxxxxx x xxx zbytečného xxxxxxx xx xxxxxx Xxxxx a
2. xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, který xxxxxxxxxxxx možné xxxxxxxxx xxxxxx, a xxxx xxxxxx xxxx xxxx xxxxxxxxx.
(6) Xxxxx x xxxxx uvedená x §3 písm. x) x x) xxxxxx x xxxxx řízení xxxxxxxxxx
x) xxxxxxxxx xxxxxxxxxx x xxxxxxxxx komunikačních xxxx x xxxxxxxxxx xxxxxxxxxxxxx služeb xxxxx §17,
x) určí pravidla x postupy pro xxxxxxx xxxxxxxxx, které xxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxx xx xxxxxxx pravidel xxxxxxxxxxx xxxxxxxx xxxxxxxx xx současného xxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxx xxxxxxxx dokumentuje x
x) x ohledem xx xxxxxxxxxxx xxxxx xxxxxxx xxxxxx a xxxxxxxxx informací xx xxxxxxx xxxxxxxxx xxxxx, xxxxxxx xxxxxxxx je xxxxxxxxxx o xxxxxxxxxxx xxxxxxxxx.
§11
Xxxxxx xxxxxxxx x xxxxxxxx chování uživatelů
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) až x) xxxxxx na xxxxxxx xxxxxxxxxx a xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxx k xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxx uživateli jednoznačný xxxxxxxxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 písm. x) xx x) zákona xxxxxx xxxxxxxx, xxxxx xxxxxx k xxxxxxxxx xxxxxxx údajů, xxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx §18 x 19, a xxxxx xxxxx xx xxxxxxxx xxxxxx xxxxx neoprávněnou xxxxxx.
(3) Xxxxx a xxxxx xxxxxxx x §3 písm. c) x d) xxxxxx xxxx x xxxxx xxxxxx přístupu
a) přidělí xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx x odebírá přístupová xxxxxxxxx x xxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx,
x) provádí xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx včetně rozdělení xxxxxxxxxxxx xxxxxxxxx v xxxxxxxxxxxx skupinách nebo xxxxxx,
x) xxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx §18 x xxxxxxx xxx xxxxxx xxxxxxxxxxxx oprávnění xxxxx §19 x
x) xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxx mobilních xxxxxxxx, xxxxxxxx i xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx zařízení, xxxxxxx orgán a xxxxx xxxxxxx x §3 písm. c) x x) xxxxxx xxxxxxxxxxx.
§12
Xxxxxxxx, xxxxx a xxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxxxxx bezpečnostní požadavky xx xxxxx xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx spojené s xxxxxx xxxxxxxx, xxxxxxx x xxxxxxx a xxxxxx je xx xxxxxxxx akvizice, vývoje x xxxxxx xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x x) zákona dále
a) xxxxxxxxxxxx, hodnotí x xxxx rizika související x xxxxxxxx, xxxxxxx x xxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo komunikačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx; pro postupy xxxxxxxxx x řízení xxxxx se xxxxxxxx xxxxx §4 xxxx. 1 xxxx. a) xxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx dat x
x) xxxxxxx bezpečnostní xxxxxxxxx xxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx xxxx jejich xxxxxxxxx xx provozu.
§13
Xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx, která zajistí xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významného xxxxxxxxxxxx xxxxxxx xx strany xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x o xxxxxxxxxx xxxx záznamy,
b) xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxx oznámených xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx §21 až 23, provádí xxxxxx xxxxxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx incidenty,
c) xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů, xxxxxxx xxxxxxxx xxx xxxxxxxxx x xxxxxxxx dopadu xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §32 x xxxxxxx xxxx věrohodných xxxxxxxx xxxxxxxxxx xxx analýzu xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx x xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxx xxxxxxxx xxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx x na xxxxxxx vyhodnocení xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
§14
Xxxxxx xxxxxxxxxx činností
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx v xxxxx xxxxxx xxxxxxxxxx xxxxxxxx stanoví
a) xxxxx x xxxxxxxxxx xxxxxxx xxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxx řízení xxxxxxxxxx činností xxxxxx xxxxxx
1. minimální úrovně xxxxxxxxxxxxx služeb, xxxxx xx přijatelná pro xxxxxxx, provoz x xxxxxx xxxxxxxxxxxx systému xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
2. xxxx obnovení xxxxx, xxxxx které xxxx xx xxxxxxxxxxxxx bezpečnostním xxxxxxxxx obnovena minimální xxxxxx poskytovaných xxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx systému, x
3. xxxx xxxxxxxx xxx xxxx xxxxxxx, ke xxxxxxx xxxxx xxxxxxxx xxxx po kybernetickém xxxxxxxxxxxxx xxxxxxxxx, a
c) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx, která xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx b).
(2) Orgán x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxxx
x) xxxxxxxxx x dokumentuje xxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx x xxxxxxx xxxxx xxxxxx xxxxxxxxxxx x ohrožením xxxxxxxxxx xxxxxxxx,
x) xxxxxxx, xxxxxxxxxxx x xxxxxxxxxx testuje xxxxx kontinuity činností xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x využívá xxxxxxx xxx zajišťování xxxxxx dostupnosti xxxxx §26 x
x) xxxxxxx x xxxxxxxxxxx postupy xxx xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx podle §13 a 14 xxxxxx, xx xxxxxxx xxxxxxxx
1. xxxxxxxx hodnocení xxxxx xxxxxxxxx opatření,
2. xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
3. vyhodnocení xxxxxxxxxx negativních xxxxxx xx xxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační infrastruktury xxxx xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§15
Kontrola x audit xxxxxxxx xxxxxxxxxx infrastruktury x významných xxxxxxxxxxxx xxxxxxx
(1) Xxxxx x xxxxx uvedená v §3 xxxx. x) xx e) zákona x xxxxx xxxxxxxx x xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx (xxxx xxx "xxxxx xxxxxxxxxxxx bezpečnosti")
a) xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx x právními xxxxxxxx, xxxxxxxxx předpisy, jinými xxxxxxxx x smluvními xxxxxxx vztahujícími xx x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačnímu xxxxxxx x xxxx xxxxxxxx xxx xxxx xxxxxxxxxxx x
x) provádí a xxxxxxxxxxx pravidelné xxxxxxxx xxxxxxxxxx bezpečnostní xxxxxxxx x xxxxxxxx xxxxxx xxxxxxx xxxxxxxx x xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx a xxxxx xxxxxxxx xxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx zajišťuje provedení xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxxx xxxxx §6 xxxx. 6, xxxxx xxxxxxx správnost x xxxxxxxx zavedených bezpečnostních xxxxxxxx.
(3) Orgán x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxx xxx informační xxxxxx kritické informační xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxx kritické informační xxxxxxxxxxxxxx provádí xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxx x jejich odborné xxxxxxxxxxx x xxxxxxx xx xxxxxxxx zranitelnosti.
HLAVA XX
XXXXXXXXX XXXXXXXX
§16
Xxxxxxx xxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx v §3 xxxx. x) xx e) xxxxxx x rámci xxxxxxx xxxxxxxxxxx
x) xxxxxx nezbytná xxxxxxxx k zamezení xxxxxxxxxxxxx xxxxxx xx xxxxxxxxxx prostor, xxx xxxx xxxxxxxxxxxx informace x xxxxxxxx xxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx informačního xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxx x zamezení poškození x xxxxxxx xx xxxxxxxxxx xxxxxxx, xxx xxxx xxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x
x) předchází xxxxxxxxx, xxxxxxx xxxx zneužití xxxxx nebo xxxxxxxxx xxxxxxxxxxx xxxxxx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx významného xxxxxxxxxxxx xxxxxxx.
(2) Xxxxx x xxxxx uvedená v §3 xxxx. c) x x) zákona xxxx uplatňuje xxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxx xxxxxxxxx ochrany xx xxxxxx xxxxxxx a
b) xxx xxxxxxxxx xxxxxxx x xxxxx objektů xxxxxxxxxx zvýšené bezpečnosti xxxxxxxxxx xxxxxxx, ve xxxxxxx xxxx umístěna xxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
(3) Prostředky fyzické xxxxxxxxxxx xxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxx prostředky,
b) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx,
x) prostředky omezující xxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxx událostí,
e) xxxxxxx xxx xxxxxxxx xxxxxx,
x) xxxxxxxx xxxxxxx,
x) zařízení xxx xxxxxxxxx xxxxxxx xxxx selháním xxxxxxx xxxxxxxxxxxx xxxxxxxx a
h) xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx podmínek.
§17
Xxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxx, xxxxx není pod xxxxxxx xxxxxx xxxx xxxxx, a xxxxxxx xxxxxxxxxxx xxxx, xxxxx xx pod xxxxxxx xxxxxx nebo xxxxx, xxxxxx
x) xxxxxx xxxxxxxxxx xxxxxxxx xxxx vnější x vnitřní sítí,
b) xxxxxxxxxx zejména xxxxxxxx xxxxxxxxxxxxxxxxxx zón xxxx xxxxxxxxxxx xxxx xxxx xxxxxxxxxxx xx xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx x xxxxxx sítě x x zamezení xxxxx xxxxxxxxxx xxxxxxx xxxx x xxxxxx xxxx,
x) xxxxxxxxxxxxxx xxxxxxxxxx (§25) xxx xxxxxxxx xxxxxxx, xxxxxxxxx xxxxxx xxxx pro xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x
x) opatření xxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx dat, xxxxx xxxxxxxxxxxx požadavkům xx xxxxxxx xxxxxxxxx komunikační xxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) zákona xxxx xxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxx, xxxxx xxxxxxx xxxx xxxxxxxxxx.
§18
Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 písm. x) až x) xxxxxx xxxxxxx nástroje xxx xxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, komunikačního xxxxxxx kritické informační xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx a administrátorů xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx x administrátorů xxxx xxxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačním xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxx.
(3) Nástroj xxx xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxx xxxxxxx autentizaci xxxxx heslem, zajišťuje
a) xxxxxxxxx xxxxx xxxxx xxx xxxxx,
x) xxxxxxxxx xxxxxxxxx xxxxx xxx, xx heslo bude xxxxxxxxx alespoň 3 x xxxxxxxxxxxxx čtyř xxxxxxxxx
1. xxxxxxx xxxxx xxxxx xxxxxxx,
2. xxxxxxx xxxxx malé xxxxxxx,
3. xxxxxxx jednu xxxxxxx, xxxx
4. nejméně jeden xxxxxxxxx xxxx xxxxxxx xx požadavků uvedených x bodech 1 xx 3,
c) xxxxxxxxx xxxx xxx xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxxx xxx dnů; xxxxx xxxxxxxxx xxxx xxxxxxxxx xxx samostatné xxxxxxxxxxxxxx xxxxxxxx.
(4) Orgán a xxxxx uvedená v §3 xxxx. c) x d) xxxxxx xxxx
x) xxxxxxx xxxxxxx xxx xxxxxxx identity, xxxxx
1. zamezí opětovnému xxxxxxxxx xxxxx používaných xxxxx a neumožní xxxx změn hesla xxxxxxx uživatele xxxxx xxxxxxxxxxx období, xxxxx xxxx být xxxxxxx 24 hodin, x
2. xxxxxxx xxxxxxxx xxxxxxx xxxxxxxx xx xxxxxx xxxx xxxxxxxxxx a
b) xxxxxxx nástroj xxx xxxxxxxxx xxxxxxxx administrátorů. X xxxxxxx, xx xxxxx nástroj xxxxxxx xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxx xxxxx xxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx. b) a x).
(5) Nástroj pro xxxxxxxxx identity xxxxxxxxx xxxx xxx xxxxxxxx x xxxxxx způsoby, xxx xxxx xxxx xxxxxxxxx x odstavcích 3 xx 5, xxxxx xxxxx x xxxxx xxxxxxx v §3 písm. x) xx x) xxxxxx xxxxxxxxx, že xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxxxx xxxxxx xxxxxxxxx hesla.
§19
Xxxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxxxx nástroj xxx xxxxxx přístupových xxxxxxxxx, kterým xxxxxxx xxxxxx oprávnění
a) xxx xxxxxxx x jednotlivým xxxxxxxxx x xxxxx x
x) xxx xxxxx xxx, pro zápis xxx x xxx xxxxx xxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) a d) xxxxxx dále používá xxxxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxxxxx použití xxxxxxxxxxxx xxxxxxxxx v xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx hodnocení xxxxx.
§20
Xxxxxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxx
Xxxxx x osoba xxxxxxx x §3 písm. x) xx x) xxxxxx xxx řízení xxxxx xxxxxxxxx s xxxxxxxxx xxxxxxxxxx xxxx xxxxxxx nástroj xxx xxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx, xxxxx zajistí ověření x stálou xxxxxxxx
x) xxxxxxxxxx xxxx xxxxxxx xxxx x xxxxxx xxxx,
x) serverů x xxxxxxxxx datových xxxxxxx x
x) pracovních xxxxxx,
xxxxxxx xxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxx xxx ochranu xxxx xxxxxxxxx xxxxx, jeho xxxxxxx x signatur.
§21
Xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systémů, jejich xxxxxxxxx x administrátorů
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému, xxxxx zajistí
a) xxxx xxxxxxxxx o xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxx činnosti, xxxxx a xxx, xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, xxxxx činnost xxxxxxxxxxx, xxxxxxxxxxxx původce x xxxxx činnosti x xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx x
x) ochranu xxxxxxxxx informací před xxxxxxxxxxxx čtením xxxx xxxxxx.
(2) Orgán a xxxxx uvedená x §3 písm. c) xx e) zákona xxxx xxxxxx xxxxxxxx xxx zaznamenávání xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx zaznamenává
a) xxxxxxxxxx x xxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx vedoucí xx xxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx činností x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxx xxxxxxxxx činnosti xxxxxxxxx,
x) xxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a významného xxxxxxxxxxxx systému,
f) automatická xxxxxxx xxxx chybová xxxxxxx xxxxxxxxxxx aktiv,
g) xxxxxxxx x záznamům x xxxxxxxxxx, xxxxxx x xxxxxxxxxx xx xxxxxxx o xxxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx pro xxxxxxxxxxxxx xxxxxxxx a
h) použití xxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxx včetně xxxxx xxxxx, xxxxx xxxxxx x xxxxxxxxxx.
(3) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxxx xxxxxxx xx dobu 3 xxxxxx.
(4) Xxxxx x xxxxx xxxxxxx x §3 písm. c) xx x) xxxxxx xxxxxxxxx xxxxxxx xxxxxx xx 24 xxxxx xxxxxxxxxxxxx xxxxxxxxxx systémového xxxx xxxxxxxxxxx xxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
§22
Nástroj xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxxxxx xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx xx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx x xxxxx xxxxxxx ověření, xxxxxxxx x xxxxxxxx zablokování xxxxxxxxxx mezi xxxxxxx xxxxxxxxxxx sítí x xxxxxx xxxx.
(2) Xxxxx x osoba uvedená x §3 písm. x) a x) xxxxxx xxxx xxxxxxx xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx zajistí xxxxxxx, xxxxxxxx a případně xxxxxxxxxxx xxxxxxxxxx
x) v xxxxx vnitřní komunikační xxxx x
x) xxxxxxx xxxxxxxxx xx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.
§23
Nástroj xxx xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxxxxx nástroj xxx sběr x xxxxxxxx vyhodnocení kybernetických xxxxxxxxxxxxxx xxxxxxxx, který x xxxxxxx s xxxxxxxxxxxxxx potřebami x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx
x) integrovaný xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury a xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxx xxxx é xxxxxxxxxx xxxxxxxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx identifikace xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů, xxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxx.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx dále xxxxxxx
x) xxxxxxxxxxx aktualizaci xxxxxxxxx xxxxxxxx pro vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxx xxxxxxxx, xxx xxxx omezovány xxxxxxx xxxxxxxxxxx vyhodnocení xxxxxxxx xxxx xxxxxxx xxxxxxxxx varování, a
b) xxxxxxxxx informací, xxxxx xxxx připraveny xxxxxxxxx xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, pro optimální xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx.
§24
Aplikační bezpečnost
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx přístupné x vnější xxxx, x xx xxxx xxxxxx xxxxxxxx xx xxxxxxx a po xxxxx xxxxxxx xxxxx xxxxxxxxxxxxxx xxxxxxxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 písm. x) a x) xxxxxx xxxx x xxxxx aplikační xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx
x) xxxxxxxx x xxxxxxxxx xxxxxxxxxx x xxxxxx xxxx xxxx xxxxxxxxxxxx xxxxxxxx, popřením xxxxxxxxxxx xxxxxxxx, xxxxxxxxxxxx nebo xxxxxxxxxxxxxxx změnou x
x) xxxxxxxxx xxxx jejich xxxxxxxxxxxx, xxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx, kompromitací, xxxxxxxxxxxxxxx duplikováním xxxx xxxxxxxxxx.
§25
Xxxxxxxxxxxxxx prostředky
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx
x) xxx xxxxxxxxx xxxxxxxxxxxxxx ochrany xxxxxxx
1. xxxxxx ochrany s xxxxxxx xx xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx x
2. xxxxxxxx xxxxxxxxxxxxxx ochrany xxxxxxxxx xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx nebo xxx xxxxxxx xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxx x
x) x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx prostředky, xxxxx xxxxxxx xxxxxxx xxxxxxxxxx x integrity xxxxxxxxxxx xxxx ukládaných xxx x xxxxxxxxx xxxxxxxxxxxx xxxxx xx xxxxxxxxx xxxxxxxx.
(2) Orgán a xxxxx xxxxxxx v §3 písm. x) x x) xxxxxx xxxx
x) stanoví xxx xxxxxxxxx xxxxxxxxxxxxxxxx prostředků xxxxxx xxxxxx xxxxx, xxxxx zajistí xxxxxxxxxx, xxxxxxxxxx, xxxxxxxx, xxxxxxxxx, xxxxx, xxxxxx, kontrolu x xxxxx xxxxx, x
x) xxxxxxx odolné xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx xxxxx; x xxxxxxx nesouladu x xxxxxxxxxxx požadavky xx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxx x příloze č. 3 x xxxx xxxxxxxx xxxx xxxxxx spojená x xxxxx xxxxxxxxxx.
§26
Xxxxxxx xxx xxxxxxxxxxx xxxxxx dostupnosti
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx x souladu x bezpečnostními xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx používá xxxxxxx xxx xxxxxxxxxxx úrovně xxxxxxxxxxx xxxxxxxxx.
(2) Orgán x osoba uvedená x §3 xxxx. x) x x) xxxxxx xxxxxxx xxxxxxx xxx zajišťování úrovně xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxx
x) dostupnost xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxx xxxxxxx xxxx řízení kontinuity xxxxxxxx,
x) odolnost informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx vůči xxxxxxxxxxxxx xxxxxxxxxxxxx incidentům, které xx mohly xxxxxx xxxxxxxxxx, a
c) xxxxxxxxxx xxxxxxxxxx technických xxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury
1. xxxxxxxx xxxxxxxxxx x xxxxxx xxxxxx x
2. xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx aktiv x xxxxxxx čase.
§27
Xxxxxxxxxx průmyslových a xxxxxxxx xxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxx xxxxxxxxxx průmyslových x řídicích xxxxxxx, xxxxx xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxxx xxxx xxxxxx xxxxxxxx, xxxxxxx xxxxxxxx, xxxxx zajistí
a) xxxxxxx xxxxxxxxx xxxxxxxx x xxxx a xxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx,
x) omezení xxxxxxxxx x vzdáleného xxxxxxxx x síti xxxxxxxxxxxx x xxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx průmyslových x xxxxxxxx xxxxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxx systémů xx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu.
XXXXX XXX
XXXXXXXXXXXX DOKUMENTACE
§28
Bezpečnostní xxxxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. c) x x) xxxxxx xxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, která xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxx xxxxx §5 odst. 1,
x) xxxxxx x xxxxxx kybernetické bezpečnosti xxxxx §3 odst. 1 písm. f),
c) xxxxxx x xxxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx xxxxx §3 xxxx. 1 xxxx. x),
x) xxxxxxxx pro xxxxxxxxxxxx x hodnocení xxxxx a xxx xxxxxxxxxxxx a xxxxxxxxx xxxxx,
x) xxxxxx o xxxxxxxxx xxxxx x xxxxx,
x) prohlášení o xxxxxxxxxxxxxxxx,
x) xxxx xxxxxxxx xxxxx,
x) xxxx rozvoje xxxxxxxxxxxxxx povědomí podle §9 xxxx. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xxxxx §13 xxxx. x),
x) xxxxxxxxx řízení xxxxxxxxxx xxxxxxxx xxxxx §14 odst. 1 xxxx. x) x
x) xxxxxxx právních xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx předpisů x xxxxxxxxx závazků xxxxx §15 xxxx. 1 xxxx. a).
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx vede x aktualizuje bezpečnostní xxxxxxxxxxx, xxxxx obsahuje
a) xxxxxxxxxxxx xxxxxxxx podle §5 odst. 2,
x) xxxxxxxx xxx xxxxxxxxxxxx x hodnocení aktiv x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxx §4 odst. 2 xxxx. x),
x) xxxxxx o xxxxxxxxx xxxxx a xxxxx xxxxx §4 xxxx. 2 xxxx. b) x x),
x) prohlášení x xxxxxxxxxxxxxxxx podle §4 xxxx. 2 xxxx. x),
x) plán xxxxxxxx xxxxx xxxxx §4 xxxx. 2 xxxx. x),
x) xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 xxxx. x),
x) xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. x),
x) strategii xxxxxx kontinuity xxxxxxxx xxxxx §14 xxxx. 1 písm. x) x
x) xxxxxxx právních xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxx §15 xxxx. 1 xxxx. x).
(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx vede xxxxxxxxxxxx dokumentaci xxx, xxx záznamy x xxxxxxxxxxx xxxxxxxxxx byly xxxxx, čitelné, snadno xxxxxxxxxxxxxxxxx x xxx xx xxxx snadno xxxxxxxx. Opatření xxxxxxxx x identifikaci, uložení, xxxxxxx, xxxxxxxxx, xxxx xxxxxxxxx x uspořádání xxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxxxxx xxxxxxxxx bezpečnostní xxxxxxxxxxx xx xxxxxxxxx x příloze č. 4 k xxxx xxxxxxxx.
§29
Xxxxxxxxx certifikace
Orgán x xxxxx uvedená v §3 xxxx. c) xx e) xxxxxx, xxxxx xxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx xx xxxxx zahrnut xx rozsahu systému xxxxxx bezpečnosti xxxxxxxxx, xxxxx xxx xxxxxxxxxxxx xxxxx příslušné xxxxxxxxx xxxxx1) xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx, x xxxxx xxxx xxxxxxxxx xxxxxxxxxx
x) xxxxx xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx x xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) popis xxxxxxx xxxxxx xxxxxxxxx xxxxx a zprávu x hodnocení rizik,
d) xxxxxxxxxx o xxxxxxxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx splňující xxxxxxxxx příslušné technické xxxxx xxxxxxxxxx se xxxxxxxxxxx informací1),
f) xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxx x
x) zprávu x xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx včetně xxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxxx neshod x xxxxxxxxxx normou,
splňuje xxxxxxxxx xx zavedení xxxxxxxxxxxxxx xxxxxxxx xxxxx zákona x xxxx vyhlášky.
ČÁST XXXXX
XXXXXXXXXXXX BEZPEČNOSTNÍ XXXXXXXX
§30
Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx xxxxxxx xxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx incident způsobený xxxxxxxxxxxxx útokem nebo xxxxx xxxxxxxx xxxxxxx x xxxxxxx do xxxxxxx nebo x xxxxxxx dostupnosti xxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx,
x) kybernetický bezpečnostní xxxxxxxx xxxxxxxxx porušením xxxxxxxxxxxxx opatření,
e) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxx xxxxxx x
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx.
(2) Xxxxx xxxxxx xxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx xxxxxxxxx do xxxxxxxxxxxxx typů
a) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx aktiv,
b) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx narušení xxxxxxxxx xxxxx,
x) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx kombinaci dopadů xxxxxxxxx x písmenech x) xx x).
§31
Xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Pro xxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx se podle xxxxxxxx x xxxxxxxxxxx xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxx do xxxxxxxxxxxxx xxxxxxxxx
x) Kategorie XXX - xxxxx xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx kterém xx xxxxx a xxxxxxxx narušena bezpečnost xxxxxxxxxxxxx xxxxxx nebo xxxxx. Jeho řešení xxxxxxxx xxxxxxxxxx zásahy xxxxxxx x xxx, xx xxxx xxx xxxxx dostupnými prostředky xxxxxxxxx xxxxxxx šíření xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx x potenciálních xxxx.
x) Xxxxxxxxx XX - xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx xxxxxxxx bezpečnost xxxxxxxxxxxxx služeb nebo xxxxx. Xxxx řešení xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x tím, xx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
x) Xxxxxxxxx X - xxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xxxxxxx x xxxx xxxxxxxxxx narušení bezpečnosti xxxxxxxxxxxxx xxxxxx nebo xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxx obsluhy x tím, že xxxx být vhodnými xxxxxxxxxx omezeno další xxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxxxxx xxxxxxxxx xxxx.
(2) Orgán x osoba uvedená x §3 xxxx. x) až x) xxxxxx při xxxxxxxxxxxx xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xxxxx odstavce 1 xxxxxxxx
x) xxxxxxxxxx xxxxxxxxx aktiv xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx významného informačního xxxxxxx,
x) xxxxxx na xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx na xxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x
x) xxxxxxxxxxxxx škody x xxxxx xxxxxx.
§32
Forma a xxxxxxxxxxx xxxxxxx kybernetických bezpečnostních xxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 písm. x) xx x) zákona xxxxx kybernetický xxxxxxxxxxxx xxxxxxxx
x) v xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxx
1. xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Úřadu,
2. xxxxxx xx xxxxxx xxxxxxxxxxxx xxxxx Xxxxx xxxxxx pro xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, zveřejněné xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
3. xxxxxx zprávy do xxxxxx xxxxxxxx Xxxxx, xxxx
4. xxxxxxxxxxxxxxx určeného xxxxxxxx xxxxxxxx, xxxxx xxxxx xx zveřejněn xx xxxxxxxxxxxxx stránkách Xxxxx, xxxxx
x) v xxxxxxxx xxxxxx na xxxxxx Národního xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx.
(2) Xxxxxxx v xxxxxxxx podobě se xxxxxx xxxxx x xxxxxxxxx, kdy nelze xxxxxx xxxxx xx xxxxxxx xxxxxxxxx x xxxxxxxx 1 xxxx. x).
(3) Xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx v příloze č. 5 k xxxx xxxxxxxx.
XXXX ČTVRTÁ
REAKTIVNÍ XXXXXXXX X XXXXXXXXX XXXXX
§33
Xxxxxxxxx xxxxxxxx
Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona oznámí xxxxxxxxx xxxxxxxxxxx opatření x xxxx xxxxxxxx xx xxxxxxxxx, xxxxx xxxx xx xxxxxx x příloze č. 6 x xxxx vyhlášce.
§34
Xxxxxxxxx údaje
Orgán x xxxxx uvedená x §3 xxxxxx xxxxxxxx xxxxxxxxx xxxxx xx xxxxxxxxx, jehož vzor xx uveden x příloze č. 7 x xxxx xxxxxxxx. Xxxxx x xxxxx uvedená v §3 xxxx. x) xx x) xxxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxx x §32 xxxx. 1 xxxx. x).
XXXX PÁTÁ
ÚČINNOST
§35
Tato xxxxxxxx xxxxxx xxxxxxxxx xxxx 1. xxxxx 2015.
Xxxxxxx:
Xxx. Xxxxxxxx v. x.
Xxxxxxx x. 1 x vyhlášce č. 316/2014 Sb.
Hodnocení a xxxxxx důležitosti xxxxx
Xxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxx použity xxxxxxxx x xxxxxxx xxxxxxxx. Xxxxx xxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx může xxxxxxxx xxxxxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxx xxxx xx uveden x této xxxxxxx, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx jí používaným xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx a xxxxxxxxxx x úrovněmi xxx xxxxxxxxx důležitosti xxxxx, xxxxx jsou xxxxxxx x této xxxxxxx.
X xxxxxxx xxxxxxx xxx xxxxxx hodnocení xxxxxxxxxxx xxxxx je xxxxxxxxx xxxxxxx xxx xxxxxx xxxxx x xxxxxxx, xxxx xxxxxx xxxxxx x xxxxxxxx.
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxx xxxx xxxxxxx xxxxxxxxx nebo xxxx určena ke xxxxxxxxxx (xxxx. na xxxxxxx zákona č. 106/1999 Sb., x xxxxxxxxx xxxxxxxx x informacím, xx xxxxx xxxxxxxxxx xxxxxxxx). Xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx zájmy xxxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona. |
Není xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxx know-how xxxxxx x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx, xxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxxxx ujednáním. |
Pro ochranu xxxxxxxxxx jsou xxxxxxxxx xxxxxxxxxx xxx xxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx x jejich xxxxxxx je xxxxxxxxxx xxxxxxxx předpisy, xxxxxx xxxxxxxx nebo smluvními xxxxxxxxxx (např. obchodní xxxxxxxxx podle xxxxxx č. 89/2012 Sb., xxxxxxxx xxxxxxx, xxxxxx xxxxx xxxxx xxxxxx č. 101/2000 Sb., o xxxxxxx osobních údajů, xx znění pozdějších xxxxxxxx). |
Xxx xxxxxxx důvěrnosti xxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxx xxx xxxxx předchozí xxxxxxxxx (xxxx. xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxx údaje). |
Pro xxxxxxx xxxxxxxxxx je požadována xxxxxxxx osob, xxxxx x aktivům přistoupily, x metody ochrany xxxxxxxxxxx xxxxxxxx xxxxx xx xxxxxx xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx jsou xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxxxxxxx pro hodnocení xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx nevyžaduje xxxxxxx x hlediska xxxxxxxxx. Xxxxxxxx integrity xxxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. c) xx x) zákona. |
Není xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx může xxxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx aktiva může xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx orgánu x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx x může xx xxxxxxxx xxxx xxxxxxxxx xxxxxx na xxxxxxxx xxxxxx. |
Xxx xxxxxxx integrity xxxx xxxxxxxxx standardní xxxxxxxx (xxxx. omezení xxxxxxxxxxxx xxxx xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx ochranu x hlediska xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx k poškození xxxxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx x xxxxxxxxxxx xxxxxx na primární xxxxxx. |
Xxx xxxxxxx integrity xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx historii provedených xxxx x xxxxxxxxxx xxxxxxxx xxxxx provádějící xxxxx. Xxxxxxx integrity xxxxxxxxx xxxxxxxxxxx vnějšími komunikačními xxxxxx xx zajištěna pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx vyžaduje xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx x velmi xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx orgánu a xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx x xxxxxxx x xxxxx vážnými xxxxxx xx xxxxxxxx xxxxxx. |
Xxx ochranu xxxxxxxxx jsou využívány xxxxxxxxx prostředky jednoznačné xxxxxxxxxxxx osoby provádějící xxxxx (xxxx. pomocí xxxxxxxxxxx xxxxxxxxxxx podpisu). |
Stupnice xxx xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xxxx xxxxxxxx a x xxxxxxx výpadku xx xxxxx tolerováno delší xxxxxx xxxxxx xxx xxxxxxx (cca xx 1 xxxxx). |
Xxx ochranu xxxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx by xxxxxx xxxxxxxxx xxxx pracovního xxx, dlouhodobější výpadek xxxx k možnému xxxxxxxx xxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx. |
Xxx xxxxxxx dostupnosti xxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx a xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xx xxxxxx xxxxxxxxx xxxx xxxxxxxx hodin. Xxxxxxxx xxxxxxx xx xxxxx xxxxx neprodleně, xxxxxxx xxxx x xxxxxxx xxxxxxxx xxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx. Xxxxxx xxxx xxxxxxxxxx xxxx xxxxx xxxxxxxx. |
Xxx xxxxxxx dostupnosti xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx xxxx xxx xxxxxxxxx xxxxxx obsluhy xxxx výměnou xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx dostupnosti aktiva xxxx xxxxxxxxx x x krátkodobá xxxxxxxxxxxx (x xxxx několika xxxxx) xxxx x xxxxxxx xxxxxxxx zájmů orgánu x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx. Aktiva jsou xxxxxxxxxx xxxx kritická. |
Pro xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx xx krátkodobá x automatizovaná. |
Příloha x. 2 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxxx xxxxx
Xxxxxxxxx xxxxx xx xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxx xxxxx, xxxxxx x xxxxxxxxxxxx.
Xxx xxxxxxxxx xxxxx xxx xxxxxx xxxxxxx tuto xxxxxx
xxxxxx = dopad x xxxxxx x xxxxxxxxxxxx.
Xxxxxxxxxxx xxxxxx xxxxxx pro xxxxxx rizika xx xxxxxxxxx xxxxxxxx xxxxxxxx xxx identifikaci a xxxxxxxxx xxxxxx
|
Xxxxxxxx pro xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxx xx x xxxxxxxx časovém xxxxxx x malého xxxxxxx a xxxxx xxx xxxxxxxxxxxxx. Xxxxxx případných xxxx xxxxxxxxxxx x) 10 xxxxxxxxx osob x xxxxxxxxx xxxxxxxxxxxxx xx xxxx delší xxx 24 xxxxx nebo b) xxxxxxxx xxxx xxxxxxxxxx xxxxxx do 5&xxxx;000&xxxx;000 Xx anebo c) představuje xxxxx xx xxxxxxxxx x xxxxxxxxx omezením xxxxxxxxxx služeb xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx života xxxxxxxxxxxxx xxxxxxx 250 xxxx. |
|
Xxxxxxx |
Xxxxx je omezeného xxxxxxx x x xxxxxxxx časovém xxxxxx. Xxxxxx xxxxxxxxxx xxxx se xxxxxxxx v xxxxxxx x) xx 10 xxxxxxx xxxx xx 11 xx 100 osob x následnou xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx od 5&xxxx;000&xxxx;000 Kč xx 50&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx dopad xx xxxxxxxxx s xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx jiného xxxxxxxxx xxxxxx do xxxxxxxxxxxx xxxxxx postihujícího xx 251 xx 2 500 xxxx. |
|
Xxxxxx |
Xxxxx xx omezeného xxxxxxx, xxx trvalý xxxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xx xxxxxxxx x rozmezí a) xx 11 do 100 xxxxxxx nebo xx 101 do 1 000 xxxx s xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx než 24 hodin xxxx x) xxxxxxxx nebo xxxxxxxxxx xxxxxx xx 50&xxxx;000&xxxx;000 Xx xx 500&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx veřejnost x rozsáhlým omezením xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xx 2&xxxx;501 xx 25 000 xxxx. |
|
Xxxxxxxx |
Xxxxx xx xxxxxx xxxxxxxx, xxxxxx x xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xx xxxxxxxx x xxxxxxx x) 10 x xxxx xxxxxxx a 1 001 x xxxx xxxx x xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx materiální xxxxxx xxxxxxxxxxx 500&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx veřejnost x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx nebo xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx života xxxxxxxxxxxxx xxxx xxx 25&xxxx;000 xxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx xxxx xx xxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx realizace hrozby xxxx častější xxx xxxxxx xx 5 xxx. |
|
Xxxxxxx |
Xxxxxx xx xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx v rozpětí xx 1 roku xx 5 xxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxxxxx xx xxxxx pravděpodobná. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx x xxxxxxx xx 1 xxxxxx do 1 xxxx. |
|
Xxxxxxxx |
Xxxxxx je xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. Xxxxxxxxxxxxx xxxxxxxxx hrozby xx xxxxxxxx xxx xxxxxx xx xxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx neexistuje xxxx xx xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, které jsou xxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxxxxxx je xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxxxxxx kvalitní xxxxxxxxxxxx opatření, xxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx. Schopnost bezpečnostních xxxxxxxx včas detekovat xxxxx xxxxxxx nebo xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx xx xxxxxxx. Nejsou známé xxxxx úspěšné pokusy x překonání xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx je pravděpodobná xx velmi xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxx xxxxxx xxxxxxxx xxxxxxxxx všechny xxxxxxxx xxxxxxx x xxxx xxxxxxxxxx xxxxxxxxxxxx. Xxxx xxxxx xxxxx úspěšné xxxxxx o překonání xxxxxxxxxxxxxx opatření. |
|
Kritická |
Zranitelnost je xxxxx xxxxxxxxxxxxx xx xx xxxxxxxx xxxxx xxxxxxxx. Bezpečnostní xxxxxxxx xxxxxx realizována xxxxx xx jejich účinnost xxxxxx xxxxxxx. Xxxxxxxxx xxxxxxxx účinnosti xxxxxxxxxxxxxx xxxxxxxx. Xxxx známé xxxxxxx pokusy překonání xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx rizik |
|
|
Úroveň |
Popis |
|
Nízké |
Riziko je xxxxxxxxxx xx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx sníženo xxxx náročnými opatřeními xxxx v xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xx riziko přijatelné. |
|
Vysoké |
Riziko xx dlouhodobě xxxxxxxxxxx x xxxx xxx xxxxxxxx xxxxxxxxxxxx kroky x xxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxxxxxxxx x xxxx xxx neprodleně xxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
X xxxxxxx, xx xxxxx xxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxx pro xxxxxxxxxxxx x xxxxxxxxx xxxxx, která nerozlišuje xxxxxxxxx xxxxxx a xxxxxxxxxxxxx, xx xxxxx xxxxxxxx pro xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxx xx xxxxxx vést xx xxxxxx xxxxxxxxxx xxxxxxxxx xxxx hrozby x xxxxxxxxxxxxx. Xx xxxxx xxxxxx xxx xxxxxx xxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxx úroveň xxxxxx, xxx i úroveň xxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx x orgán xxxx xxxxx xxxxxxx x §3 písm. x) xx e) zákona, xxxxx xxxxxxx xxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxx, hrozeb, xxxxxxxxxxxxx x rizik.
Xxxxxxx č. 3 x vyhlášce č. 316/2014 Sb.
Minimální xxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxx
x) Xxxxxxx x xxxxxxxx šifry xxx xxxxxxx xxxxxxxxxx x xxxxxxxxx
1. Xxxxxxxx Xxxxxxxxxx Xxxxxxxx (XXX) x xxxxxxxx xxxxx xxxxx 128, 192 x 256 xxxx Xxxxxx Data Xxxxxxxxxx Xxxxxxxx (3XXX) x xxxxxxxx xxxxx klíčů 168 xxxx, omezené xxxxxxx xxx se xxxxxxxxx klíče xxxxxx xxx 10 XX, xxxxxxxx přecházet na XXX.
2. Xxxxxx Xxxx Xxxxxxxxxx Standard (3XXX) x xxxxxxxx délky xxxxx 112 xxxx, xxxxxxx použití xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX, xxxxxxxx xxxxxxxxx xx XXX. Xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx xxx každou xxxxxx.
3. Xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx klíčů 128 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX.
4. Xxxxxx x využitím xxxxx klíčů 128 xxxx, omezené xxxxxxx xxx se zatížením xxxxx xxxxxx xxx 10 XX.
5. Twofish x využitím xxxxx xxxxx 128 až 256 xxxx.
6. Xxxxxxx x xxxxxxxx xxxxx xxxxx 128, 192, 256 xxxx.
7. Xxxxxxxx x xxxxxxxx xxxxx xxxxx 128, 192 x 256 xxxx.
8. XXXX 2.0, XXXX 3X x xxxxxxxx xxxxx xxxxx 128, 256 bitů.
b) Módy xxxxxxxxx x xxxxxxxx xxxxxxxxx
1. XXX,
2. EAX,
3. XXX,
4. Xxxxxxx xxxxxxxx xxxx "Encrypt-then-MAC".
Poznámka:
Schémata xxxx "Xxxxxxx-xxxx-XXX",xxxx používat x xxxxxxxxx xxxxx xxxxxxx xxxxxxxxx módy a x výpočtu MAC xxxxx uvedené xxxx xxx ochranu integrity.
c) Xxxx šifrování
1. XXX,
2. XXX,
3. XXX,
4. XXX,
Xxxxxxxx:
Xxxx XXX a XXX xxxx xxx xxxxxxx x xxxxxxxx, xxx xxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxxx xxxx XXX xx xxx daný klíč xxxxx opakovat hodnota xxxxxxxxxxxxxxx xxxxxxx, při xxxxxxx módu CTR xx xxx xxxx xxxx xxxxx xxxxxxxx xxxxxxx xxxxxx, x xxxxxxx použití XXX xxxx x xxxxxxxxx xxx xxxxxxx xxxxxxxxx xx xxxxx ověřit xxxxxxxx xxxxx útoku xx xxxxxxx XXX xxxx.
x) Xxxx xxx xxxxxxx integrity
1. XXXX,
2. XXX-XXX-X9.19, xxxxxxx xxxxxxx xxx xx zatížením xxxxxx než 109 XXX,
3. XXX-XXX-XXXX,
4. CMAC.
(2) Xxxxxxxxxxx algoritmy
a) Xxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx
1. Xxxxxxx Xxxxxxxxx Algorithm (XXX) x xxxxxxxx xxxxx xxxxx 2048 xxxx x xxxx, xxxxx parametru cyklické xxxxxxxx 224 xxxx x xxxx.
2. Xxxxxxxx Xxxxx Xxxxxxx Signature Xxxxxxxxx (EC-DSA) s xxxxxxxx délky klíčů 224 bitů x xxxx.
3. Rivest-Shamir-Adleman Probablistic Xxxxxxxxx Scheme (XXX-XXX) x xxxxxxxx xxxxx xxxxx 2048 xxxx x xxxx.
x) Xxx xxxxxxx xxxxx xx xxxxx x xxxxxxxxx xxxxx
1. Diffie-Hellman (XX) x xxxxxxxx xxxxx xxxxx 2048 xxxx x xxxx, délky xxxxxxxxx xxxxxxx xxxxxxxx 224 xxxx x xxxx.
2. Xxxxxxxx Xxxxx Xxxxxx-Xxxxxxx (ECDH) x xxxxxxxx xxxxx xxxxx 224 xxxx x xxxx.
3. Xxxxxxxx Xxxxx Xxxxxxxxxx Xxxxxxxxxx System - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXXXX-XXX) x xxxxxxxx délky xxxxx 256 bitů a xxxx.
4. Xxxxxxxx Secure Xxxxxxxx Xxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXXX-XXX) s xxxxxxxx xxxxx xxxxx 256 xxxx xxxx.
5. Asymetrie Xxxxxxx xxx Xxx Xxxxxxxxxxxxx Xxxxxxxxx (ACE-KEM) x využitím délky xxxxx 256 xxxx x xxxx.
6. Rivest Xxxxxx Adleman - Xxxxxxx Xxxxxxxxx Xxxxxxxxxx Xxxxxxx (XXX-XXXX) x xxxxxxxx xxxxx xxxxx 2048 a více.
7. Xxxxxx Shamir Xxxxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (RSA-KEM) x xxxxxxxx délky xxxxx 2048 a více.
(3) Xxxxxxxxx xxxx xxxxxx
x) XXX-2
1. SHA-224,
2. XXX-256,
3. XXX-384,
4. SHA-512,
5. SHA-512/224,
6. XXX-512/256.
x) SHA-3
1. SHA3-224,
2. XXX3-256,
3. XXX3-384,
4. XXX3-512,
5. XXXXX-128,
6. XXXXX-256.
x) Xxxxxxx xxxxxxxx xxxxxx
1. Xxxxxxxx,
2. XXXXXX-160,
3. XXX 1 x xxxxxxxx xxxxxxxx.
Xxxxxxxx x. 1:
SHA-1 se xxxxx xxxxxxxx xxx xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx, časových xxxxxxx, xxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx SHA-1.
Poznámka x. 2:
XXX-1 lze xxxxxxxx xxxxx xxx xxxxxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxx, xxxxxxxxxx x xxxxxxxxx XXXX-XXX1, xxxxxx xxx odvozování xxxxx a xxxxxxxxxxxxx xxxxxxxxxx.
Příloha x. 4 x vyhlášce x. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
Xxxx xxxxxxx obsahuje xxxxxxxxxx xxxxx bezpečnostní xxxxxxxxxxx. Navrhované xxxxxxxxx xxxxxxxxxxxx dokumentů zahrnují xxxxxx, xxxxx xxxxxxxxxx xxxxxxxxx podle této xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxx dokumentů xxxxxx xxxxxxx x xx xx xxxxxx xxxx xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx, xxxx xxxxxxx x xxxxxx bezpečnostní xxxxxxxxxxx xxxxxxx. Xxxxxxxxx xx i xxxxx xxxxx jednotlivých xxxxxxxxx xxxx xxxxxxxxxxx více xxxxx xx jednoho xxxxxxxxx.
X. Xxxxxxxxx xxxxxxxxxxxx xxxxxxxx
(1) Politika systému xxxxxx xxxxxxxxxxx informací*
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. a)]
a) Xxxx, xxxxxxxx a xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx dokumentace.
d) Xxxxxxxx x postupy xxx xxxxxx xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx nápravná xxxxxxxx a xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxxx organizační xxxxxxxxxxx**
[§5 odst. 1 xxxx. b), §5 xxxx. 2 xxxx. x)]
x) Určení xxxxxxxxxxxxxx xxxx x xxxxxx xxxx x xxxxxxxxxx,
1. xxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
2. xxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
3. xxxxx x povinnosti xxxxxxxx xxxxxxxxxxxx bezpečnosti,
4. xxxxx x xxxxxxxxxx xxxxxxx xxxxx,
5. xxxxx x xxxxxxxxxx výboru xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx výkonu xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxx.
(3) Xxxxxxxx xxxxxx xxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x xxxxxxxx xxx xxxxx xxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxx xxxxxxxxxx.
x) Náležitosti xxxxxxx x xxxxxx xxxxxx x způsobů x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x x xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx kontroly xxxxxxxx xxxxxxxxxxxxxx opatření.
e) Xxxxxxxx pro hodnocení xxxxxxxxxx.
(4) Politika xxxxxxxxxxx xxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Identifikace, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx včetně xxxxxx xxxxxx xxxxxxx,
2. xxxxxxxxx xxxxxxxxxxx primárních xxxxx x xxxxxxxx důvěrnosti, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxxxxxxx, hodnocení a xxxxxxxx xxxxxxxxxx aktiv
1. xxxxxx a xxxxxxxx xxxxxxxxxxxx podpůrných xxxxx xxxxxx xxxxxx jejich xxxxxxx,
2. xxxxxx xxxxx xxxx primárními a xxxxxxxxxx aktivy.
c) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx
1. způsoby xxxxxxxxxxx xxxxxxxxxxxx úrovní xxxxx,
2. xxxxxxxx xxx xxxxxxxxxx x evidenci aktiv xxxxx úrovní aktiv,
3. xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx.
x) Způsoby xxxxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx xxx.
(5) Xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx povědomí x xxxxxxx xxxx xxxxxxxxx
1. xxxxxxx x xxxxx xxxxxxx xxxxxxxxx,
2. xxxxxxx x formy poučení xxxxxxx aktiv,
3. xxxxxxx x xxxxx poučení xxxxxxxxxxxxxx,
4. způsoby x xxxxx xxxxxxx xxxxxxx xxxx zastávajících xxxxxxxxxxxx xxxx.
x) Bezpečnostní xxxxxxx xxxxxx zaměstnanců.
c) Pravidla xxx řešení xxxxxxx xxxxxxxx xxxxxxxxxxxx politiky xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx pracovního xxxxxx xxxx xxxxx xxxxxxxx xxxxxx.
1. xxxxxxx svěřených xxxxx a xxxxxxxx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxx,
2. xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx pracovní pozice.
(6) Xxxxxxxx řízení xxxxxxx x xxxxxxxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. f)]
a) Xxxxxxxxx x xxxxxxxxxxxx spojené x bezpečným xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx x standardy xxxxxxxxxx xxxxxxx.
x) Řízení xxxxxxxxxxx xxxxxxxxxxxxx.
x) Xxxxxxxx x omezení xxx xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx.
(7) Xxxxxxxx xxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Princip minimálních xxxxxxxxx/xxxxxxx xxxx (xxxx xx xxxx).
x) Xxxxxxxxx xx xxxxxx přístupu.
c) Xxxxxxx cyklus xxxxxx xxxxxxxx.
x) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxxxxx xxx mimořádné situace.
f) Xxxxxxxxxx xxxxxxxxxxx přístupových xxxxxxxxx xxxxxx rozdělení xxxxxxxxxxxx xxxxxxxxx v xxxxxxxxxxxx xxxxxxxxx.
(8) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx pro xxxxxxxx xxxxxxxxx x xxxxxx.
x) Xxxxxxxx použití přístupového xxxxx.
x) Bezpečné použití xxxxxxxxxxxx xxxxx x xxxxxxxx na internet.
d) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx chování xx xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx xx vztahu k xxxxxxxx xxxxxxxxx.
(9) Xxxxxxxx xxxxxxxxxx x xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 odst. 2 písm. x)]
x) Xxxxxxxxx xx zálohování x xxxxxx.
x) Xxxxxxxx x xxxxxxx zálohování.
c) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx.
x) Xxxxxxxx a xxxxxxx obnovy.
e) Xxxxxxxx x postupy testování xxxxxxxxxx x xxxxxx.
(10) Xxxxxxxx xxxxxxxxxx xxxxxxxxx x výměny xxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Způsoby xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx.
x) Pravidla xxx xxxxxxxxx kryptografické xxxxxxx.
(11) Xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) Pravidla x postupy vyhledávání xxxxxxxxx programových balíčků,
c) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
(12) Xxxxxxxx xxxxxxxxxx xxxxxxxxx mobilních xxxxxxxx*
[§5 xxxx. 1 xxxx. 1)]
a) Xxxxxxxx x xxxxxxx pro xxxxxxxx xxxxxxxxx mobilních xxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx zařízení, kterými xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx nedisponuje.
(13) Xxxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxx programového xxxxxxxx x xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. j)]
a) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx x jeho xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx kontrolu dodržování xxxxxxxxxx podmínek.
(14) Politika xxxxxxxxxxxx ukládání x xxxxxxxxx informací*
[§5 xxxx. x písm. n)]
a) Xxxxxxxx x xxxxxxx xxxxxxxxx dokumentů a xxxxxxx.
x) Xxxxxxx xxxxxxxxxxxxx xxxxxxxxx x xxxxxxx.
x) Xxxxxxxx přístupu x xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx.
(15) Politika ochrany xxxxxxxx xxxxx*
[§5 odst. x xxxx. o), §5 odst. 2 xxxx. x)]
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx údajů.
b) Xxxxx přijatých x xxxxxxxxxxx organizačních xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx x provedených technických xxxxxxxx xxx xxxxxxx xxxxxxxx údajů.
(16) Xxxxxxxx xxxxxxx xxxxxxxxxxx**
[§5 xxxx. x písm. x)]
x) Xxxxxxxx pro xxxxxxx xxxxxxx.
x) Pravidla xxx xxxxxxxx vstupu osob.
c) Xxxxxxxx xxx xxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxx bezpečnosti.
(17) Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx sítě**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxx.
x) Určení xxxx x xxxxxxxxxx xx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxx xxxxxxxx x xxxxx xxxx.
x) Pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxxx přístupu x xxxx.
x) Pravidla a xxxxxxx pro xxxxxxxxxxxx xxxx a xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.
(18) Politika xxxxxxx před xxxxxxxxx xxxxx*
[§5 xxxx. x xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx a xxxxxxx pro ochranu xxxxxxxxxx xxxx xxxxxxx x xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx a xxxxxxx pro xxxxxxx xxxxxxxxxx stanic.
(19) Xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. n)]
a) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx xxxxxxxxxxxxx a xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx bezpečnostní události.
c) Xxxxxxxx a postupy xxx xxxxxxxxxxxx nastavení xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí.
(20) Xxxxxxxx xxxxxxx x xxxxxx xxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx**
[§5 xxxx. 1 písm. x)]
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x postupy xxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx a xxxxxxx pro optimální xxxxxxxxx bezpečnostních xxxxxxxxxx xxxxxxxx xxx sběr x vyhodnocení kybernetických xxxxxxxxxxxxxx xxxxxxxx.
(21) Xxxxxxxx xxxxxxxxxx xxxxxxxxx kryptografické xxxxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx ochrany x xxxxxxx xx xxx a xxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx ochrany xxxxxxxxx
1. xxx přenosu xx xxxxxxxxxxxxx xxxxxx,
2. xxx xxxxxxx xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx nosič dat,
c) Xxxxxx xxxxxx xxxxx.
XX. Xxxxxxxxx xxxxx xxxxxxxxxxx
(1) Xxxxxx x auditu xxxxxxxxxxxx xxxxxxxxxxx**
[§28 xxxx. 1 písm. x)]
x) Xxxx auditu kybernetické xxxxxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx xxxx xxxxxxxx x xxxx, xxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx.
x) Xxxxx x xxxxx, xxx xxxx prováděny činnosti xxx auditu kybernetické xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(2) Xxxxxx x xxxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx**
[§28 odst. 1 xxxx. x)]
x) Xxxxxxxxxxx opatření x xxxxxxxxxxx xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) Xxxxxxxxxxxx xxxx x xxxxxxxxx, které xxxxx xxx xxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx vazba x výkonnosti xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x nápravná xxxxxxxx,
2. xxxxxxxx xxxxxxxxxxxx x xxxxxx,
3. xxxxxxxx xxxxxx,
4. xxxxxxxx xxxx xxxxxxxxxxx,
x) Xxxxxxxx xxxxxxxxx rizik x stav xxxxx xxxxxxxx rizik.
e) Xxxxxxxxxxxx xxxxxxxx xxx neustálé xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, stanovení opatření x osob xxxxxxxxxxxxx xxxxx jednotlivých činností.
(3) Xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. b)]
a) Xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxxxxxxx xxxxx,
2. xxxxxx stupnice xxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxx,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx dostupnosti aktiv.
b) Xxxxxx xxxxxxxx pro xxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx hrozby,
3. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx,
4. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx rizik,
a) Xxxxxx x xxxxxxxx xxx xxxxxxxx xxxxx.
x) Způsoby xxxxxxxxxxx xxxxxxxxxxxx rizik.
(4) Xxxxxx x xxxxxxxxx xxxxx x rizik**
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. c)]
a) Xxxxxxx xxxxxxxxxx aktiv
1. xxxxxxxxxxxx x popis xxxxxxxxxx aktiv,
2. xxxxxx xxxxxxx primárních xxxxx,
3. xxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxx podpůrných xxxxx (xxxxxxx pro xxxxxx x xxxxx uvedené x §3 xxxx. x) zákona)
1. identifikace x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxx xxxxx mezi xxxxxxxxxx x podpůrnými xxxxxx,
x) Xxxxxxxxxxxxxx x xxxxxxxxx xxxxx
1. posouzení xxxxxxx xxxxxx xx aktiva,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx xxxx úrovně x kritérii xxx xxxxxxxxxxxx xxxxx,
5. xxxxxx x schválení xxxxxxxxxxxx xxxxx.
x) Zvládání xxxxx
1. xxxxx xxxxxxx zvládání xxxxx,
2. návrh xxxxxxxx x xxxxxx realizace.
(5) Xxxxxxxxxx x aplikovatelnosti*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx vybraných xxxxxxxxxxxxxx xxxxxxxx včetně zdůvodnění xxxxxx xxxxxx a xxxxxx vazby xx xxxxxxxxxxxxxx rizika.
b) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(6) Xxxx xxxxxxxx xxxxx**
[§28 xxxx. 1 písm. x), §28 xxxx. 2 písm. e)]
a) Xxxxx x xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
b) Xxxxxxxx xxxxxx xxx xxxxxxxxxx bezpečnostní xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
d) Xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro zvládání xxxxx.
x) Způsoby xxxxxxxxx xxxxxxxxxx zavedení xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
(7) Plán xxxxxxx bezpečnostního povědomí*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. x)]
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxxxx.
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxx xxxxx (xxxxxxx xxx xxxxxx a xxxxx xxxxxxx x §3 xxxx. x) xxxxxx).
x) Obsah a xxxxxxx xxxxxxx administrátorů (xxxxxxx xxx orgány x osoby uvedené x §3 xxxx. x) xxxxxx).
x) Obsah x xxxxxxx xxxxxxx xxxxxxx osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxx x xxxxxxx xxxxxxxxx xxxxx.
(8) Xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. g)]
a) Definování xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxx x xxxxxxxx jednotlivých xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních incidentů x pro zlepšování xxxxxxxxxxxx xxxxxxxxxxx.
(9) Xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxx xxxxxx kontinuity činností
1. xxxxxxxxx úroveň poskytovaných xxxxxx,
2. xxxx obnovení xxxxx,
3. xxx obnovení xxxxx.
x) Strategie xxxxxx xxxxxxxxxx xxxxxxxx xxx xxxxxxxx cílů xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xx xxxxxxxxxx a xxxxxxxxxx souvisejících rizik.
e) Xxxxxx x obsah xxxxxxxxxx plánů xxxxxxxxxx.
x) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx.
(10) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx předpisů x xxxxxxxxx xxxxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx.
x) Přehled xxxxxxxxx xxxxxxx.
Xxxxxxxx:
* Xxxxxxxxx xxxxxxxxx dokumentu xx xx úrovni střední xxxxx stupnice xxxxxxx x příloze č. 1: Xxxxxxxxx x xxxxxx aktiv.
** Xxxxxxxxx důvěrnost dokumentu xx xx xxxxxx xxxxxx xxxxx stupnice xxxxxxx x příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.
Xxxxxxx x. 5 x vyhlášce č. 316/2014 Xx.
Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu
Vyplnitelný formulář ve formátu PDF
Xxxxxxx x. 6 x vyhlášce x. 316/2014 Xx.
Xxxxxxxx xxxxxxxx x xxxxxxxxx reaktivního xxxxxxxx x jeho xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Příloha x. 7 x xxxxxxxx č. 316/2014 Sb.
Formulář pro xxxxxxx xxxxxxxxxxx xxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxxxx
Xxxxxx xxxxxxx č. 316/2014 Xx. xxxxx xxxxxxxxx xxxx 1.1.2015.
Xx xxx uzávěrky xxxxxx xxxxxxx nebyl měněn xx xxxxxxxxx.
Xxxxxx předpis x. 316/2014 Xx. xxx xxxxxx xxxxxxx xxxxxxxxx č. 82/2018 Sb. x xxxxxxxxx xx 28.5.2018.
Xxxxx xxxxxxxxxxxx právních xxxxx xxxxxx xxxxxxxx předpisů x xxxxxxxx xxxx xxxxxxxxxxxxx, pokud xx xxxx xxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
1) XXX/XXX 27001:2013, xxxxxxxx XXX XXX/XXX 27001:2014