Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
XXXXXXXX
xx xxx 15. xxxxxxxx 2014
o xxxxxxxxxxxxxx xxxxxxxxxx, kybernetických bezpečnostních xxxxxxxxxxx, xxxxxxxxxxx opatřeních x x stanovení xxxxxxxxxxx podání v xxxxxxx kybernetické xxxxxxxxxxx (xxxxxxxx o kybernetické xxxxxxxxxxx)
Xxxxxxx xxxxxxxxxxxx úřad xxxxxxx podle §28 xxxx. 2 xxxxxx x. 181/2014 Xx., x xxxxxxxxxxxx xxxxxxxxxxx x x xxxxx xxxxxxxxxxxxx xxxxxx (xxxxx x xxxxxxxxxxxx xxxxxxxxxxx), (xxxx xxx "zákon") x xxxxxxxxx §6 xxxx. a) až x), §8 odst. 4, §13 xxxx. 4 x §16 xxxx. 6 xxxxxx.
XXXX PRVNÍ
ÚVODNÍ XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxxx xxxxxxxxx xx xxxxxxx xxxxx x xxxxxxxxx bezpečnostní xxxxxxxxxxx xxx informační systém xxxxxxxx informační infrastruktury, xxxxxxxxxxx systém xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxx xxxxxxxxxx xxxxxx, xxxxx xxxxxxxxxxxxxx opatření, xxxxxx xxxxxx xxxxxxxx, xxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxx x provedení xxxxxxxxxxx xxxxxxxx x jeho xxxxxxxx x xxxx xxxxxxxx kontaktních xxxxx x xxxx formu.
§2
Vymezení pojmů
V xxxx xxxxxxxx se rozumí
a) xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx systému xxxxxx orgánu x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxxx na xxxxxxxx x xxxxxxx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxx xxxxxx xxxxxxxx, xxxxxxxx, xxxxxx, xxxxxxxxxxxx, přezkoumání, xxxxxxxxx a zlepšování xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx aktivum x xxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxxx informace xxxx xxxxxx, kterou xxxxxxxxxx xxxx xxxxxxxxx informační xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikační systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významný xxxxxxxxxx xxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx aktivum, zaměstnanci x dodavatelé xxxxxxxxxx xx xx xxxxxxx, xxxxxxx, správě xxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxxxxxx xxxxxxx technické xxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému x xxxxxxx, xx xxxxxxx xxxx xxxx systémy xxxxxxxx,
x) xxxxxxx xxxxxxx, xx určitá hrozba xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx významného xxxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxx proces, xxx xxxx xx určována xxxxxxxxxx xxxxx a xxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxx xxxxxxx xxxxxxxxxx hodnocení rizik, xxxxx a xxxxxxxx xxxxxxxx xx zvládání xxxxx, sdílení informací x xxxxxx a xxxxxxxxx a xxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, jejímž xxxxxxxxx xxxx xxx xxxxxxxxx aktiva,
j) xxxxxxxxxxxxx xxxxx xxxxx xxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx může xxx xxxxxxxx xxxxxx xxxx xxxx xxxxxxxx,
x) přijatelným xxxxxxx xxxxxx xxxxxxxxx xx uplatnění bezpečnostních xxxxxxxx, jehož xxxxxx xxxxxxxx kritériím xxx xxxxxxxxxxxx rizik,
l) xxxxxxxxxxxx xxxxxxxxx xxxxxx zásad x xxxxxxxx, xxxxx xxxxxx způsob zajištění xxxxxxx xxxxx xxxxxxx x osobou uvedenou x §3 písm. x) xx e) xxxxxx,
x) xxxxxxxx xxxxxx xxxxxxx osoba xxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxxxxxx rozvoje, použití x xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx anebo xxxxx veřejné xxxx, xxxxx využívá xxxxxxxx xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxx xxxxx xxxxxxxx garantem xxxxxx xxxxxxxxxxx xxxxxx, xxxxxx, xxxxxxx, xxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx řízení xxxxxxxxxxx xxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) a d) xxxxxx x rámci xxxxxxx řízení bezpečnosti xxxxxxxxx
x) xxxxxxx x xxxxxxx xx xxxxxx x organizační bezpečnost xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xx xxxxxx xxxx, kterých organizačních xxxxx a technických xxxxx se systém xxxxxx bezpečnosti informací xxxx,
x) xxxx rizika xxxxx §4 xxxx. 1,
x) vytvoří x xxxxxxx bezpečnostní xxxxxxxx x xxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx, xxxxx obsahuje xxxxxx xxxxxx, xxxx, bezpečnostní xxxxxxx, xxxxx a xxxxxxxxxx ve xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxx a na xxxxxxx xxxxxxxxxxxxxx potřeb x výsledků xxxxxxxxx xxxxx stanoví bezpečnostní xxxxxxxx x dalších xxxxxxxxx podle §5 x xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx a xxxxxxxx xxxxxxxxxxxx politiky xxxxx §5,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx podle §15, x xx xxxxxxx xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxxxx systému xxxxxx xxxxxxxxxxx informací, xxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx včetně xxxxxx hodnocení xxxxx, xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxxxx kybernetických bezpečnostních xxxxxxxxx xx xxxxxx xxxxxx bezpečnosti informací, x xx xxxxxxx xxxxxx xxxxx,
x) xxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxxxx auditů kybernetické xxxxxxxxxxx, xxxxxxxx vyhodnocení xxxxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx x x souvislosti s xxxxxxxxxxx xxxx plánovanými xxxxxxx x
x) xxxx xxxxxx x xxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxxxxxxxx činnosti xxxxxxx xx systémem xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx rizik.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xxxxxx x xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxx xxxxxx xxxxx §4 odst. 2,
b) xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx hlavní xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx xx xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxx x na xxxxxxx xxxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx oblastech xxxxx §5, x xxxxxx příslušná xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxxx xxxxx a xxxxx, xxxxxxxxxxxx politiky, xxxxx zvládání rizik x xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, a xx xxxxxxx xxxxxx xx xxx xxxx xxxx v xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx změnami.
§4
Řízení rizik
(1) Orgán x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx pro identifikaci x hodnocení xxxxx x pro xxxxxxxxxxxx x xxxxxxxxx rizik xxxxxx xxxxxxxxx kritérií xxx přijatelnost xxxxx,
x) xxxxxxxxxxxx a xxxxxxx xxxxxxxxxx xxxxx, xxxxx xxxxx do xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx §8 x xxxxxxx přílohy č. 1 x této vyhlášce x xxxxxxx xxxxxxxxx xx xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx zohlední xxxxxx a xxxxxxxxxxxxx, xxxxxxx možné dopady xx xxxxxx, xxxxxxx xxxx xxxxxx minimálně x rozsahu xxxxx přílohy č. 2 x xxxx xxxxxxxx, xxxx x xxxxxxx přijatelná xxxxxx x xxxxxxxx zprávu x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx přehled vybraných x zavedených xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx a xxxxxx xxxx xxxxxxxx xxxxx, který obsahuje xxxx x xxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx rizik, xxxxxx xxxxx zajišťující prosazování xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, lidské x xxxxxxxxxx xxxxxx, xxxxxx xxxxxx xxxxxxxx x xxxxx xxxxx xxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxxx odkladu xxxxxxxxx x xxxxxxxx opatření xxxxxx Národním xxxxxxxxxxxxx xxxxxx (xxxx xxx "Xxxx") x xxxxxxxxx xxxxx a v xxxxxxx, xx hodnocení xxxxx aktualizované x xxxx xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx stanovená xxxxxxxx xxx přijatelnost xxxxx, xxxxxx xxxx xxxxxxxx xxxxx.
(2) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) xxxxxx v xxxxx xxxxxx rizik
a) stanoví xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxx aktiv x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxxx stanovení kritérií xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxx aktiv, xxxxx xxxxx xx xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx §8 xxxxxxxxx x xxxxxxx přílohy č. 1 x xxxx vyhlášce x xxxxxxx xxxxxxxxx xx xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx zohlední xxxxxx x xxxxxxxxxxxxx, xxxxxxx xxxxx xxxxxx xx xxxxxxxx xxxxxx, hodnotí xxxx rizika xxxxxxxxx x xxxxxxx xxxxx přílohy č. 2 x xxxx xxxxxxxx a xxxxxxxx xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxx na základě xxxxxxxxxxxxxx potřeb a xxxxxxxx xxxxxxxxx rizik xxxxxxxxxx o xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx přehled xxxxxxxxx x zavedených xxxxxxxxxxxxxx opatření,
e) xxxxxxxx x xxxxxx xxxx xxxxxxxx xxxxx, xxxxx xxxxxxxx cíle x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx, xxxxxxxx finanční, xxxxxxxxx, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxxx xxxxxx xxxxxxxx x xxxxx xxxxx mezi xxxxxxxxxxxxxxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx opatřeními x
x) xxxxxxxx xxx xxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxx xxxxxx Xxxxxx x xxxxxxxxx xxxxx x v xxxxxxx, xx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx reaktivního xxxx ochranného xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx, xxxxxx xxxx zvládání xxxxx.
(3) Řízení rizik xxxx xxx xxxxxxxxx x xxxxxx xxxxxxx, xxx xxx xx xxxxxxxxx v odstavcích 1 x 2, xxxxx xxxxx x xxxxx uvedená x §3 písm. x) xx x) xxxxxx xxxxxxxxx, že xxxxxxx xxxxxxxx xxxxxxxxxxx stejnou xxxx vyšší xxxxxx xxxxxx xxxxx.
(4) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxx hodnocení xxxxx zvažuje xxxxxxx xxxx xxxxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, provedení xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxxx xxxxxxx xxxxx,
x) užívání xxxxxxxxxxxx xxxxxxxx x xxxxxxx s licenčními xxxxxxxxxx,
x) xxxxxxxxxxxx xxxx x xxxxxxxxxxx xxxx,
x) xxxxxxxx kód (xxxxxxxxx xxxx, xxxxxxx, xxxxxxx xxxx),
x) xxxxxxxxxx při xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx,
x) narušení xxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxx xxxxxxx,
x) xxxxxxxx nebo xxxxxxxxxxx modifikace xxxxx,
x) xxxxxx působící xxxxxx x
x) xxxxxxxx xxxx xxxxxxxxx xxxxxx.
(5) Orgán x xxxxx uvedená x §3 xxxx. x) až x) xxxxxx xxx xxxxxxxxx xxxxx zvažuje xxxxxxx xxxx xxxxxxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného informačního xxxxxxx,
x) nevhodné nastavení xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx xxx xxxxxxxxxxxxxx x xxxxxxxx negativních xxxxxxxxxxxxxx xxxx, kybernetických xxxxxxxxxxxxxx událostí x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxx xxxx xxxxxxx xxxxxxx xxxxxxx x
x) xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, nepřesné xxxx nejednoznačné xxxxxxxx xxxx a povinností xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx.
(6) Xxxxx x osoba xxxxxxx x §3 xxxx. x) a x) xxxxxx xxx xxxxxxxxx xxxxx xxxx xxxxxxx xxxx xxxxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, provedení xxxxxxxxxxxxx xxxxxxxx, zneužití xxxxxxxxx ze strany xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xx xxxxxx xxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx prostředků, sabotáž,
d) xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx komunikací, xxxxxxx xxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxx,
x) nedostatek xxxxxxxxxxx x potřebnou xxxxxxxx xxxxxx,
x) xxxxxx kybernetický xxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx, xxxxxxx špionážních xxxxxxx x
x) zneužití xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxx.
(7) Xxxxx x xxxxx uvedená v §3 písm. x) x d) xxxxxx xxx xxxxxxxxx xxxxx xxxx xxxxxxx xxxx xxxxxxxxxxxxx
x) nedostatečná xxxxxxx xxxxxxxxxx kritické informační xxxxxxxxxxxxxx,
x) xxxxxxxx bezpečnostní xxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxx xxxxxxxxx kontroly x
x) xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxxx.
§5
Bezpečnostní politika
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx stanoví xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) organizační bezpečnost,
c) xxxxxx xxxxxx x xxxxxxxxxx,
x) klasifikace xxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxx a xxxxxxxxxx,
x) xxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x xxxxxx,
x) xxxxxxxx xxxxxxxxx a xxxxxx informací,
k) řízení xxxxxxxxxxx xxxxxxxxxxxxx,
x) bezpečné xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx x nabývání xxxxxxx programového xxxxxxxx x xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx,
x) xxxxxxx osobních xxxxx,
x) xxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx sítě,
r) xxxxxxx xxxx xxxxxxxxx xxxxx,
x) xxxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx,
x) využití x xxxxxx nástroje xxx xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x
x) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx stanoví xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx bezpečnost,
c) xxxxxx xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) bezpečnost xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxx x komunikací,
g) xxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x xxxxxx,
x) xxxxxxxxxxx a xxxxxxxx licencí programového xxxxxxxx x xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxxxxx ochrany,
m) xxxxxxx xxxx xxxxxxxxx xxxxx x
x) nasazení x xxxxxxxxx nástroje xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Orgán x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx pravidelně xxxxxxx xxxxxxxx bezpečnostní xxxxxxxx x xxxxxxxxxxx xx.
§6
Xxxxxxxxxxx xxxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) až x) xxxxxx xxxxxx xxxxxxxxxx xxxxxx bezpečnosti xxxxxxxxx, x xxxxx které xxxx xxxxx pro xxxxxx xxxxxxxxxxxx bezpečnosti x bezpečnostní xxxx x jejich xxxxx x povinnosti xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx systémem xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxx xxxxxxxxxxx systémem.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx určí xxxxxxxxxxxx role
a) manažer xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxx xxxxxx xxxxx §2 písm. m).
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxx xxxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxx 2.
(4) Xxxxxxx kybernetické xxxxxxxxxxx xx xxxxx, odpovědná xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xx pro xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx způsobilost xxxxx x xxxxxxx xxxxxxxxxxx informací po xxxx xxxxxxx xxx xxx.
(5) Architekt kybernetické xxxxxxxxxxx xx xxxxx xxxxxxxxxxx návrh x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx x prokáže odbornou xxxxxxxxxxx xxxxx s xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xx xxxx xxxxxxx xxx xxx.
(6) Auditor xxxxxxxxxxxx xxxxxxxxxxx je xxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xx xxx tuto xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x prováděním xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx dobu xxxxxxx xxx let. Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx roli nestranně x výkon xxxx xxxx xx xxxxxxx xx xxxxxx xxxx xxxxxxxxx x odstavci 2 písm. a), x) xxxx x).
(7) Xxxxx pro xxxxxx xxxxxxxxxxxx bezpečnosti xx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx, které xxxx xxxxxxxx xxxxxxxx řízením x xxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx, xxxxx xx xxxxxxxx xxxxxxxx xx xxxxxx x xxxxxxxxxx xxxxxxxx spojených x xxxxxxxxxxxxx xxxxxxxxxxx těchto xxxxxxx.
(8) Orgán a xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona xxxxxxx odborné xxxxxxx xxxx, xxxxx xxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxx x plánem xxxxxxx bezpečnostního xxxxxxxx xxxxx §9 odst. 1 xxxx. x).
§7
Xxxxxxxxx bezpečnostních požadavků xxx xxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxxxx xxxxxxxx xxx xxxxxxxxxx, xxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, a xxxxxxxx xx x xxxxxxxxxx nebo xxxxxx xxxx, xxxxx xx xxxxxxxx xx rozvoji, xxxxxxx xxxx zajištění xxxxxxxxxxx informačního systému xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního systému. Xxxxxx xxxxxxxx xxxxxxxxxx xx xxxxxxx, provozu xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx prokazatelně xxxxxxxxxxx orgán x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxxxxxx, xxxxx xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx x xxxxxxxxxx xxxxxxxxx x xxxxxxxx 1 xxxx
x) xxxx xxxxxxxxx smlouvy xxxxxxx xxxxxxxxx rizik xxxxx přílohy č. 2 x této xxxxxxxx, xxxxx xxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) uzavírá smlouvu x xxxxxx služeb, xxxxx xxxxxxx způsoby x úrovně xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, x
x) xxxxxxx pravidelné xxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx u poskytovaných xxxxxx x zjištěné xxxxxxxxxx xxxxxxxxxx xxxx xx xxxxxx x xxxxxxxxxxx xxxxxxx jejich xxxxxxxxxx.
§8
Xxxxxx aktiv
(1) Xxxxx x xxxxx uvedená x §3 písm. x) až e) xxxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxxxxxxx x xxxxxxx primární xxxxxx,
x) určí xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx za xxxxxxxx xxxxxx, x
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx aktiv x xxxxxxxx xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx x xxxxxx xx xx xxxxxxxxxxxx xxxxxx xxxxxxxxx v xxxxxxx xxxxx přílohy č. 1 x xxxx vyhlášce.
(2) Xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx xx xxxxx xxxxxxxxx xxxxxxxx
x) rozsah x xxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxxxxx,
x) rozsah xxxxxxxxx xxxxxxxx povinností nebo xxxxxx závazků,
c) rozsah xxxxxxxx vnitřních xxxxxxxx x kontrolních xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, xxxxxxxxxx xxxx ekonomických xxxxx,
x) xxxxx xxxxxxxx ztráty,
f) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) zákona,
g) xxxxxx spojené x xxxxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti x
x) xxxxxx xx xxxxxxxxx xxxxxxx jména xxxx xxxxxxx dobré xxxxxxx.
(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxxxxxxx a xxxxxxx xxxxxxxx xxxxxx,
x) určí xxxxxxx xxxxx, kteří xxxx odpovědní xx xxxxxxxx xxxxxx, x
x) xxxx xxxxx mezi xxxxxxxxxx x podpůrnými xxxxxx a xxxxxxx xxxxxxxx závislostí mezi xxxxxxxxxx x xxxxxxxxxx xxxxxx.
(4) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxxx
x) xxxxxxx pravidla xxxxxxx, xxxxx xxx xxxxxxxxxxx jednotlivých xxxxxx xxxxx xxx, xx
1. xxxx způsoby xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxx xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx x xxxxxx podle xxxxxx xxxxx, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx sdílení x xxxxxxx xxxxxxxxx xxxxx x
3. stanoví xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx,
x) xxxxxx pravidla xxxxxxx xxxxxxxxxxxx xxxxxx aktiv x
x) xxxx xxxxxxx xxx spolehlivé smazání xxxx ničení xxxxxxxxxxx xxxxxx xxx s xxxxxxx xx úroveň xxxxx.
§9
Bezpečnost xxxxxxxx xxxxxx
(1) Xxxxx a osoba xxxxxxx x §3 xxxx. x) až x) zákona v xxxxx řízení xxxxxxxxxxx xxxxxxxx xxxxxx
x) xxxxxxx xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxx, xxxxx x xxxxxx potřebných xxxxxxx x určí xxxxx xxxxxxxxxxx xxxxxxxxx jednotlivých xxxxxxxx, které xxxx x xxxxx xxxxxxx,
x) x souladu s xxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx xxxxxxx poučení xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxx xxxxxxxxxxxx a x xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx politiky xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx bezpečnostní xxxx x
x) xxxxxxx vrácení xxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxx x uživateli, xxxxxxxxxxxxxx xxxx osobami xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxx x xxxxxxx podle xxxxxxxx 1 xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxx a xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
(3) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxx xxxxxxxx xxx určení osob, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx xxxx, xxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx plánu xxxxxxx bezpečnostního xxxxxxxx, xxxxxxxxxxx xxxxxxx a xxxxxxx činností spojených x prohlubováním xxxxxxxxxxxxxx xxxxxxxx,
x) xxxx xxxxxxxx x postupy xxx xxxxxx xxxxxxx porušení xxxxxxxxxxx bezpečnostních xxxxxxxx xx strany xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní role x
x) zajistí změnu xxxxxxxxxxxx oprávnění při xxxxx xxxxxxxxx uživatelů, xxxxxxxxxxxxxx xxxx osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
§10
Řízení xxxxxxx a xxxxxxxxxx
(1) Xxxxx a xxxxx uvedená x §3 xxxx. c) xx x) zákona x xxxxx xxxxxx xxxxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx x §21 xx 23 xxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxxxxxxxxx vyhodnocuje xxxxxxx xxxxxxxxx x xx xxxxxxxx nedostatky reaguje x xxxxxxx x §13.
(2) Orgán a xxxxx xxxxxxx x §3 xxxx. x) xx e) zákona x xxxxx řízení xxxxxxx a komunikací xxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačního xxxxxxx. Xx tímto xxxxxx xxxxxxx xxxxxxxx pravidla x xxxxxxx.
(3) Xxxxxxxx xxxxxxxx a xxxxxxx xxxxxx a xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx obsahují
a) xxxxx a xxxxxxxxxx xxxx zastávajících xxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx a xxxxxxxxx,
x) xxxxxxx xxx xxxxxxxx x xxxxxxxx xxxxx xxxxxxx, xxx xxxxxxx nebo xxxxxxxx xxxxx systému xx xxxxxxx a xxx xxxxxxxx chybových stavů xxxx mimořádných xxxx,
x) xxxxxxx pro xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxx xxxxxxx xxxxxxxx x xxxxxxxx x těchto xxxxxxxxxx,
x) xxxxxxx na xxxxxxxxx xxxxx, xxxxx jsou xxxxxx jako podpora xxx xxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx,
x) postupy xxxxxx x xxxxxxxxxxx provozních xxxx x
x) postupy xxx xxxxxxxxx, xxxxxxxxx x xxxxxx xxxxxxxx xxxxxxxx a xxxxxxxxxxx xxxxxx.
(4) Řízení xxxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx spočívá x provádění pravidelného xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxx.
(5) Xxxxxx provozu orgánu x xxxxx uvedené x §3 xxxx. x) x x) xxxxxx xxxxxxx x
x) xxxxxxxxx xxxxxxxx vývojového, xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx Úřadem xxx, že xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx
1. xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx opatření xx xxxxxxxxxx systém xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, vyhodnotí xxxxx negativní účinky x xxx xxxxxxxxxx xxxxxxx je xxxxxx Xxxxx x
2. stanoví xxxxxx rychlého xxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxx, x xxxx xxxxxx plán xxxx xxxxxxxxx.
(6) Orgán x xxxxx xxxxxxx x §3 písm. c) x d) xxxxxx x xxxxx řízení xxxxxxxxxx
x) xxxxxxxxx bezpečnost x xxxxxxxxx xxxxxxxxxxxxx xxxx a xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxxx §17,
x) určí xxxxxxxx x postupy xxx xxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx,
x) xxxxxxx výměnu x předávání xxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxxxxxxx právními předpisy xx současného zajištění xxxxxxxxxxx informací x xxxx xxxxxxxx dokumentuje x
x) s ohledem xx xxxxxxxxxxx aktiv xxxxxxx xxxxxx x xxxxxxxxx informací xx xxxxxxx písemných xxxxx, xxxxxxx součástí xx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx.
§11
Xxxxxx xxxxxxxx x xxxxxxxx xxxxxxx uživatelů
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) zákona xx xxxxxxx xxxxxxxxxx a xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačnímu xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxx informačnímu xxxxxxx a přidělí xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxx opatření, která xxxxxx x xxxxxxxxx xxxxxxx údajů, xxxxx xxxx xxxxxxxxx pro xxxxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx §18 x 19, a xxxxx xxxxx ve zneužití xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(3) Xxxxx a xxxxx xxxxxxx x §3 písm. c) x d) xxxxxx xxxx x rámci xxxxxx xxxxxxxx
x) xxxxxxx xxxxxxxxxxxxx aplikacím samostatný xxxxxxxxxxxxx,
x) xxxxx přidělování xxxxxxxxxxxxxxxxxx xxxxxxxxx,
x) přiděluje x odebírá přístupová xxxxxxxxx x xxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx v xxxxxxxxxxxx xxxxxxxxx nebo xxxxxx,
x) xxxxxxx xxxxxxx xxx ověřování xxxxxxxx xxxxxxxxx xxxxx §18 x nástroj xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §19 x
x) xxxxxx xxxxxxxxxxxx opatření xxxxxxxx xxx bezpečné xxxxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxx x xxxxx xxxxxxx x §3 písm. c) x d) xxxxxx xxxxxxxxxxx.
§12
Akvizice, vývoj x xxxxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxxxxx xxxxxxxxxxxx požadavky xx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx spojené s xxxxxx akvizicí, xxxxxxx x údržbou x xxxxxx xx do xxxxxxxx xxxxxxxx, xxxxxx x xxxxxx xxxxxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxxxxxxx, xxxxxxx x xxxx rizika xxxxxxxxxxx x akvizicí, xxxxxxx x údržbou xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx; pro xxxxxxx xxxxxxxxx a řízení xxxxx xx xxxxxxxx xxxxx §4 xxxx. 1 xxxx. x) xxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxxx vývojového xxxxxxxxx x xxxxxxx xxxxxxx xxxxxxxxxxx testovacích xxx x
x) provádí xxxxxxxxxxxx xxxxxxxxx xxxx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx před jejich xxxxxxxxx xx xxxxxxx.
§13
Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x incidentů
Orgán x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx, xxxxx xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xx strany xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x o xxxxxxxxxx xxxx záznamy,
b) xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí x xxxxxxxxxxxxxx bezpečnostních xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx nástroji xxxxx §21 až 23, provádí xxxxxx xxxxxxxxxxx x identifikuje xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxx pro xxxxxxxxx x zmírnění xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx hlášení kybernetického xxxxxxxxxxxxxx incidentu podle §32 x xxxxxxx xxxx xxxxxxxxxxx podkladů xxxxxxxxxx xxx analýzu xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx,
x) xxxxxxxx a xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx x na xxxxxxx xxxxxxxxxxx stanoví xxxxx bezpečnostní xxxxxxxx x zamezení xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x
x) dokumentuje xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
§14
Řízení kontinuity činností
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) xx x) xxxxxx x xxxxx xxxxxx xxxxxxxxxx xxxxxxxx stanoví
a) práva x xxxxxxxxxx xxxxxxx xxxxx, xxxxxxxxxxxxxx a xxxx zastávajících xxxxxxxxxxxx xxxx,
x) cíle xxxxxx xxxxxxxxxx činností xxxxxx xxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx služeb, xxxxx xx xxxxxxxxxx xxx xxxxxxx, provoz x xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
2. xxxx xxxxxxxx xxxxx, xxxxx xxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx minimální xxxxxx xxxxxxxxxxxxx služeb xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému, a
3. xxxx xxxxxxxx xxx xxxx termínu, ke xxxxxxx xxxxx obnovena xxxx xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx, a
c) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx x).
(2) Orgán x osoba uvedená x §3 xxxx. x) a x) xxxxxx xxxx
x) vyhodnotí x xxxxxxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx a xxxxxxx xxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxxx,
x) stanoví, xxxxxxxxxxx x xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury,
c) xxxxxxxxx xxxxxxxx xxx zvýšení xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx kybernetickému bezpečnostnímu xxxxxxxxx x využívá xxxxxxx pro zajišťování xxxxxx xxxxxxxxxxx podle §26 a
d) xxxxxxx x xxxxxxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx xxxxx §13 a 14 xxxxxx, xx xxxxxxx xxxxxxxx
1. xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxx opatření,
2. xxxx dotčených bezpečnostních xxxxxxxx x
3. vyhodnocení xxxxxxxxxx xxxxxxxxxxx dopadů xx provoz x xxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§15
Kontrola x xxxxx xxxxxxxx informační xxxxxxxxxxxxxx x významných xxxxxxxxxxxx xxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx e) zákona x xxxxx xxxxxxxx x xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx (xxxx xxx "xxxxx xxxxxxxxxxxx xxxxxxxxxxx")
x) xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx x právními xxxxxxxx, xxxxxxxxx xxxxxxxx, jinými xxxxxxxx x xxxxxxxxx xxxxxxx vztahujícími xx x xxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx systému x určí xxxxxxxx xxx xxxx xxxxxxxxxxx x
x) xxxxxxx x xxxxxxxxxxx pravidelné kontroly xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx xxxxxxx xxxxxxxx x xxxxx xxxxxxx bezpečnostního xxxxxxxx x xxxxx xxxxxxxx xxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxxxxxxx xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxxx xxxxx §6 xxxx. 6, která xxxxxxx správnost x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxx xxx xxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxx kritické informační xxxxxxxxxxxxxx xxxxxxx kontrolu xxxxxxxxxxxxx technických xxxxxxxxxx xxxxxx automatizovaných nástrojů x xxxxxx xxxxxxx xxxxxxxxxxx x reaguje xx xxxxxxxx zranitelnosti.
XXXXX XX
XXXXXXXXX OPATŘENÍ
§16
Fyzická xxxxxxxxxx
(1) Orgán a xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx x xxxxx fyzické xxxxxxxxxxx
x) přijme nezbytná xxxxxxxx x xxxxxxxx xxxxxxxxxxxxx vstupu xx xxxxxxxxxx xxxxxxx, kde xxxx zpracovávány xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxx xxxxxxxx opatření x xxxxxxxx xxxxxxxxx x zásahům do xxxxxxxxxx xxxxxxx, xxx xxxx xxxxxxxx informace x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému kritické xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x
x) xxxxxxxxx poškození, xxxxxxx nebo xxxxxxxx xxxxx nebo přerušení xxxxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 písm. x) x x) xxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxx xxxxxxxxx xxxxxxx xx xxxxxx xxxxxxx a
b) xxx xxxxxxxxx xxxxxxx x xxxxx objektů xxxxxxxxxx xxxxxxx bezpečnosti xxxxxxxxxx xxxxxxx, xx xxxxxxx xxxx umístěna xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikačního xxxxxxx kritické informační xxxxxxxxxxxxxx.
(3) Xxxxxxxxxx xxxxxxx xxxxxxxxxxx jsou zejména
a) xxxxxxxxxx xxxxxxxx prostředky,
b) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx,
x) prostředky xxxxxxxxx xxxxxxxx projevů xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxx xxxxxxxx xxxxxx,
x) xxxxxxxx xxxxxxx,
x) zařízení xxx zajištění xxxxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx provozních podmínek.
§17
Xxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxxx sítí
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx pro xxxxxxx integrity xxxxxxxx xxxxxx komunikační sítě, xxxxx xxxx pod xxxxxxx xxxxxx nebo xxxxx, a xxxxxxx xxxxxxxxxxx xxxx, která xx xxx xxxxxxx xxxxxx nebo osoby, xxxxxx
x) xxxxxx xxxxxxxxxx xxxxxxxx mezi xxxxxx x xxxxxxx xxxx,
x) xxxxxxxxxx xxxxxxx použitím xxxxxxxxxxxxxxxxxx xxx xxxx xxxxxxxxxxx xxxx xxxx xxxxxxxxxxx xx xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx x xxxxxx xxxx x x zamezení xxxxx xxxxxxxxxx xxxxxxx xxxx x xxxxxx xxxx,
x) kryptografické prostředky (§25) pro xxxxxxxx xxxxxxx, xxxxxxxxx xxxxxx xxxx xxx přístup xxxxxx bezdrátových xxxxxxxxxxx x
x) opatření xxx xxxxxxxxxx xxxx blokování xxxxxxxxxxx xxx, xxxxx xxxxxxxxxxxx požadavkům na xxxxxxx integrity komunikační xxxx.
(2) Orgán x xxxxx xxxxxxx x §3 písm. c) x x) xxxxxx xxxx využívá xxxxxxxx xxx xxxxxxx integrity xxxxxxx komunikační xxxx, xxxxx zajistí xxxx xxxxxxxxxx.
§18
Xxxxxxx xxx xxxxxxxxx xxxxxxxx uživatelů
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxxxxx xxxxxxxx xxx xxxxxxx identity xxxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx a významného xxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxx xxx ověřování identity xxxxxxxxx x administrátorů xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxx xxxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx systému xxxxxxxx informační infrastruktury x významném xxxxxxxxxxx xxxxxxx.
(3) Nástroj xxx xxxxxxxxx xxxxxxxx uživatelů, xxxxx používá xxxxxxxxxxx xxxxx xxxxxx, zajišťuje
a) xxxxxxxxx xxxxx hesla xxx xxxxx,
x) minimální xxxxxxxxx hesla xxx, xx heslo xxxx xxxxxxxxx xxxxxxx 3 x následujících čtyř xxxxxxxxx
1. xxxxxxx jedno xxxxx písmeno,
2. nejméně xxxxx malé písmeno,
3. xxxxxxx xxxxx xxxxxxx, xxxx
4. nejméně jeden xxxxxxxxx xxxx xxxxxxx xx xxxxxxxxx uvedených x xxxxxx 1 xx 3,
c) maximální xxxx xxx povinnou xxxxxx xxxxx xxxxxxxxxxxxx xxx xxx; xxxxx xxxxxxxxx není vyžadován xxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(4) Xxxxx a xxxxx uvedená x §3 xxxx. x) x d) zákona xxxx
x) xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxx, xxxxx
1. zamezí xxxxxxxxxx xxxxxxxxx dříve xxxxxxxxxxx xxxxx a xxxxxxxx xxxx xxxx xxxxx xxxxxxx xxxxxxxxx během xxxxxxxxxxx xxxxxx, xxxxx xxxx xxx nejméně 24 xxxxx, x
2. xxxxxxx opětovné ověření xxxxxxxx po xxxxxx xxxx xxxxxxxxxx x
x) xxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxx administrátorů. X xxxxxxx, xx xxxxx xxxxxxx využívá xxxxxxxxxxx heslem, xxxxxxx xxxxxxxxx minimální xxxxx xxxxx xxxxxxx znaků xxx dodržení xxxxxxxxx xxxxx xxxxxxxx 3 xxxx. x) x x).
(5) Nástroj pro xxxxxxxxx identity xxxxxxxxx xxxx xxx xxxxxxxx x xxxxxx způsoby, xxx xxxx jsou xxxxxxxxx x odstavcích 3 xx 5, xxxxx xxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona xxxxxxxxx, xx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxxxx xxxxxx xxxxxxxxx hesla.
§19
Xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxx xxx xxxxxx přístupových xxxxxxxxx, xxxxxx xxxxxxx xxxxxx xxxxxxxxx
x) xxx xxxxxxx x jednotlivým xxxxxxxxx x xxxxx x
x) pro čtení xxx, xxx xxxxx xxx a xxx xxxxx xxxxxxxxx.
(2) Xxxxx x osoba uvedená x §3 xxxx. x) x x) xxxxxx dále xxxxxxx xxxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxxxxx xxxxxxx přístupových xxxxxxxxx x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x výsledky xxxxxxxxx xxxxx.
§20
Xxxxxxx xxx ochranu xxxx xxxxxxxxx xxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxx xxxxxx xxxxx xxxxxxxxx s xxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx systému kritické xxxxxxxxxx infrastruktury x xxxxxxxxxx informačního systému xxxx xxxxxxxxx kódem, xxxxx zajistí ověření x xxxxxx kontrolu
a) xxxxxxxxxx xxxx xxxxxxx xxxx x xxxxxx xxxx,
x) xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxx x
x) xxxxxxxxxx stanic,
přičemž xxxxxxx xxxxxxxxxxx a xxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxx před xxxxxxxxx xxxxx, jeho xxxxxxx x xxxxxxxx.
§21
Xxxxxxx xxx zaznamenávání xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxxx xxxxxxxxx a administrátorů
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) až x) xxxxxx používá xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx systému, xxxxx xxxxxxx
x) xxxx xxxxxxxxx x xxxxxxxxxx x bezpečnostních xxxxxxxxxx, xxxxxxx xxx xxxxxxxx, xxxxx a čas, xxxxxxxxxxxx technického xxxxxx, xxxxx xxxxxxx zaznamenalo, xxxxxxxxxxxx xxxxxxx a xxxxx činnosti a xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx a
b) ochranu xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxx xxxxxx xxxx xxxxxx.
(2) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx e) xxxxxx xxxx xxxxxx nástroje xxx zaznamenávání xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx zaznamenává
a) xxxxxxxxxx x xxxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
x) xxxxxxxx provedené xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxx ke xxxxx xxxxxxxxxxxx oprávnění,
d) xxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x další xxxxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxx x ukončení xxxxxxxx technických xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x významného xxxxxxxxxxxx systému,
f) xxxxxxxxxxx xxxxxxx nebo xxxxxxx xxxxxxx xxxxxxxxxxx xxxxx,
x) xxxxxxxx x záznamům x xxxxxxxxxx, xxxxxx x manipulaci xx xxxxxxx o činnostech x xxxxx xxxxxxxxx xxxxxxxx pro xxxxxxxxxxxxx xxxxxxxx x
x) použití xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxx xxxxxx xxxxx xxxxx, xxxxx slouží x přihlášení.
(3) Orgán x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 2 uchovává xxxxxxx xx xxxx 3 xxxxxx.
(4) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) xx x) zákona xxxxxxxxx nejméně xxxxxx xx 24 hodin xxxxxxxxxxxxx jednotného xxxxxxxxxxx xxxx xxxxxxxxxxx aktiv xxxxxxxxx xx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
§22
Nástroj xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí
(1) Xxxxx a osoba xxxxxxx v §3 xxxx. c) až x) xxxxxx xxxxxxx xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxxxx vychází ze xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx x který xxxxxxx xxxxxxx, kontrolu x xxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxx x xxxxxx xxxx.
(2) Xxxxx x xxxxx uvedená x §3 písm. x) x x) xxxxxx xxxx xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxxxx xxxxxxx ověření, xxxxxxxx a případně xxxxxxxxxxx komunikace
a) x xxxxx xxxxxxx komunikační xxxx x
x) xxxxxxx xxxxxxxxx do xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§23
Xxxxxxx xxx sběr x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx používá xxxxxxx xxx xxxx x xxxxxxxx vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, který x souladu x xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxxx xxxxx xxxxxxx
x) integrovaný xxxx x vyhodnocení kybernetických xxxxxxxxxxxxxx xxxxxxxx z xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury a xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx pro určené xxxxxxxxxxxx xxxx x xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxxx x informačním xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxx xxxx é xxxxxxxxxx xxxxxxxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx s xxxxx xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxx.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxx zajistí
a) xxxxxxxxxxx aktualizaci nastavení xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x včasné varování, xxx xxxx omezovány xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxx xxxxxxx xxxxxxxxx xxxxxxxx, x
x) xxxxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxxxx nástrojem xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx.
§24
Xxxxxxxxx xxxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx provádí xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx aplikací, xxxxx xxxx xxxxxxxxx x xxxxxx sítě, x xx xxxx xxxxxx uvedením xx xxxxxxx x xx xxxxx zásadní xxxxx xxxxxxxxxxxxxx xxxxxxxxxx.
(2) Xxxxx x osoba uvedená x §3 písm. x) x d) xxxxxx xxxx x xxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx trvalou ochranu
a) xxxxxxxx a informací xxxxxxxxxx x xxxxxx xxxx xxxx neoprávněnou xxxxxxxx, popřením xxxxxxxxxxx xxxxxxxx, xxxxxxxxxxxx nebo xxxxxxxxxxxxxxx xxxxxx x
x) xxxxxxxxx xxxx jejich xxxxxxxxxxxx, xxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx obsahu, kompromitací, xxxxxxxxxxxxxxx xxxxxxxxxxxx nebo xxxxxxxxxx.
§25
Xxxxxxxxxxxxxx xxxxxxxxxx
(1) Orgán x osoba xxxxxxx x §3 xxxx. x) až x) xxxxxx
x) xxx používání xxxxxxxxxxxxxx xxxxxxx stanoví
1. xxxxxx ochrany s xxxxxxx xx xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx a
2. xxxxxxxx xxxxxxxxxxxxxx xxxxxxx informací xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx xxxx xxx xxxxxxx xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx nosiče xxx a
b) v xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, které xxxxxxx xxxxxxx xxxxxxxxxx x xxxxxxxxx předávaných xxxx xxxxxxxxxx xxx x průkaznou xxxxxxxxxxxx xxxxx za provedené xxxxxxxx.
(2) Orgán a xxxxx uvedená x §3 písm. c) x x) zákona xxxx
x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxx xxxxx, xxxxx xxxxxxx xxxxxxxxxx, xxxxxxxxxx, xxxxxxxx, xxxxxxxxx, xxxxx, xxxxxx, xxxxxxxx x audit xxxxx, x
x) xxxxxxx odolné xxxxxxxxxxxxxx algoritmy x xxxxxxxxxxxxxx xxxxx; v xxxxxxx nesouladu x xxxxxxxxxxx xxxxxxxxx na xxxxxxxxxxxxxx algoritmy xxxxxxxxx x příloze č. 3 x xxxx vyhlášce řídí xxxxxx spojená x xxxxx nesouladem.
§26
Xxxxxxx xxx zajišťování xxxxxx xxxxxxxxxxx
(1) Orgán x osoba uvedená x §3 xxxx. x) až x) xxxxxx x souladu x xxxxxxxxxxxxxx xxxxxxxxx x výsledky xxxxxxxxx xxxxx používá nástroj xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x osoba uvedená x §3 písm. x) x x) xxxxxx používá nástroj xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, který xxxxxxx
x) dostupnost xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx pro xxxxxxx xxxx řízení kontinuity xxxxxxxx,
x) xxxxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentům, xxxxx xx xxxxx xxxxxx xxxxxxxxxx, a
c) zálohování xxxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx
1. využitím xxxxxxxxxx v návrhu xxxxxx x
2. xxxxxxxxxx xxxxxxxxxx technických xxxxx x xxxxxxx xxxx.
§27
Bezpečnost průmyslových x xxxxxxxx systémů
Orgán a xxxxx xxxxxxx x §3 xxxx. x) x x) zákona xxx xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx, xxxxx xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxx xxxxxx součástí, xxxxxxx xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx xxxxxxxxx xxxxxxxx x xxxx x xxxxxxxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxx a xxxxxxxxxx xxxxxxxx x xxxx xxxxxxxxxxxx x řídicích xxxxxxx,
x) ochranu xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxx systémů xxxx využitím známých xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx průmyslových x xxxxxxxx xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
XXXXX XXX
XXXXXXXXXXXX DOKUMENTACE
§28
Bezpečnostní xxxxxxxxxxx
(1) Xxxxx a xxxxx uvedená v §3 xxxx. c) x x) xxxxxx xxxx a xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxx xxxxx §5 odst. 1,
x) xxxxxx x xxxxxx kybernetické xxxxxxxxxxx xxxxx §3 xxxx. 1 xxxx. x),
x) xxxxxx x přezkoumání xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx xxxxx §3 xxxx. 1 xxxx. x),
x) xxxxxxxx pro xxxxxxxxxxxx a hodnocení xxxxx x xxx xxxxxxxxxxxx x hodnocení xxxxx,
x) zprávu x xxxxxxxxx xxxxx a xxxxx,
x) xxxxxxxxxx x xxxxxxxxxxxxxxxx,
x) xxxx zvládání xxxxx,
x) xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 xxxx. a),
i) xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xxxxx §13 písm. x),
x) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx podle §14 odst. 1 xxxx. x) x
x) xxxxxxx xxxxxxxx předpisů, xxxxxxxxx xxxxxxxx x xxxxxx předpisů x xxxxxxxxx xxxxxxx xxxxx §15 xxxx. 1 xxxx. x).
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) zákona vede x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx obsahuje
a) xxxxxxxxxxxx politiku podle §5 odst. 2,
x) xxxxxxxx xxx identifikaci x hodnocení xxxxx x pro xxxxxxxxxxxx x xxxxxxxxx rizik xxxxx §4 xxxx. 2 xxxx. a),
c) xxxxxx o xxxxxxxxx xxxxx x xxxxx xxxxx §4 xxxx. 2 písm. b) x c),
d) prohlášení x xxxxxxxxxxxxxxxx xxxxx §4 xxxx. 2 xxxx. x),
x) xxxx xxxxxxxx xxxxx xxxxx §4 odst. 2 xxxx. e),
f) xxxx xxxxxxx xxxxxxxxxxxxxx povědomí xxxxx §9 odst. 1 xxxx. a),
g) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle §13 xxxx. e),
h) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxx §14 xxxx. 1 xxxx. c) x
x) xxxxxxx právních xxxxxxxx, xxxxxxxxx předpisů x xxxxxx předpisů x smluvních xxxxxxx xxxxx §15 xxxx. 1 xxxx. x).
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx xxx, xxx xxxxxxx o xxxxxxxxxxx xxxxxxxxxx byly xxxxx, čitelné, snadno xxxxxxxxxxxxxxxxx x xxx xx daly xxxxxx xxxxxxxx. Xxxxxxxx xxxxxxxx x identifikaci, xxxxxxx, xxxxxxx, xxxxxxxxx, xxxx xxxxxxxxx a uspořádání xxxxxxx x provedených xxxxxxxxxx dokumentuje.
(4) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxx x příloze č. 4 k xxxx xxxxxxxx.
§29
Xxxxxxxxx xxxxxxxxxxx
Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona, xxxxx xxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxx systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx xx xxxxx zahrnut xx rozsahu xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx byl certifikován xxxxx xxxxxxxxx xxxxxxxxx xxxxx1) xxxxxxxxxxxxx certifikačním xxxxxxx, x která xxxx dokumenty xxxxxxxxxx
x) xxxxx xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx x xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxx x zprávu x xxxxxxxxx rizik,
d) xxxxxxxxxx x xxxxxxxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx příslušné xxxxxxxxx xxxxx xxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxx1),
x) xxxxxx x xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx informací xxxxxx xxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxx x
x) zprávu x xxxxxx xxxxxxxxxxx certifikačním xxxxxxx xxxxxx příslušných xxxxxxx o nápravě xxxxxxxxxx neshod s xxxxxxxxxx normou,
splňuje požadavky xx zavedení xxxxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx x této vyhlášky.
XXXX TŘETÍ
KYBERNETICKÝ XXXXXXXXXXXX XXXXXXXX
§30
Xxxx kybernetických bezpečnostních xxxxxxxxx
(1) Xxxxx xxxxxxx xxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxx xxxxxxxxxxxxx útokem nebo xxxxx xxxxxxxx xxxxxxx x průniku xx xxxxxxx xxxx x xxxxxxx xxxxxxxxxxx služeb,
b) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx kódem,
c) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx xxxxxxxxxx technických xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx,
x) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxx xxxxxx x
x) xxxxxxx kybernetické bezpečnostní xxxxxxxxx způsobené kybernetickým xxxxxx.
(2) Xxxxx dopadu xxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx xxxx
x) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx důvěrnosti xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx narušení integrity xxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx způsobující narušení xxxxxxxxxxx xxxxx, xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx dopadů xxxxxxxxx x xxxxxxxxx x) xx c).
§31
Xxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
(1) Pro potřeby xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx se podle xxxxxxxx x negativních xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx xxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx. Xxxx řešení xxxxxxxx neprodlené xxxxxx xxxxxxx s xxx, xx xxxx xxx xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx dalšímu xxxxxx xxxxxxxxxxxxxx bezpečnostního incidentu xxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx škod.
b) Xxxxxxxxx XX - xxxxxxx kybernetický bezpečnostní xxxxxxxx, při kterém xx narušena bezpečnost xxxxxxxxxxxxx xxxxxx nebo xxxxx. Xxxx xxxxxx xxxxxxxx neprodlené zásahy xxxxxxx s tím, xx musí xxx xxxxxxxx prostředky zabráněno xxxxxxx šíření xxxxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxxxxx xxxxxxxxx škod.
c) Xxxxxxxxx X - xxxx xxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xxxxxxx k xxxx xxxxxxxxxx narušení bezpečnosti xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxx xxxxxxx x xxx, xx xxxx xxx vhodnými xxxxxxxxxx xxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxxxxx xxxxxxxxx škod.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až e) xxxxxx xxx kategorizaci xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx
x) xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxx xx xxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačními xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x
x) xxxxxxxxxxxxx xxxxx x xxxxx dopady.
§32
Forma x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Xxxxx a xxxxx uvedená v §3 xxxx. c) xx x) xxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx
x) v xxxxxxxxxxxx xxxxxx prostřednictvím
1. xxxxxxxxxxxxxx xxxxxxxxx zveřejněného na xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
2. xxxxxx na xxxxxx xxxxxxxxxxxx pošty Xxxxx xxxxxx pro xxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Úřadu,
3. xxxxxx zprávy xx xxxxxx xxxxxxxx Xxxxx, xxxx
4. xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx, jehož xxxxx xx zveřejněn xx internetových xxxxxxxxx Xxxxx, anebo
b) x xxxxxxxx xxxxxx xx xxxxxx Národního xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxx xx internetových stránkách Xxxxx.
(2) Xxxxxxx x xxxxxxxx xxxxxx xx xxxxxx xxxxx x xxxxxxxxx, kdy xxxxx xxxxxx xxxxx xx xxxxxxx xxxxxxxxx x xxxxxxxx 1 xxxx. x).
(3) Náležitosti hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx uvedeny x příloze č. 5 k xxxx xxxxxxxx.
ČÁST XXXXXX
XXXXXXXXX OPATŘENÍ X XXXXXXXXX XXXXX
§33
Xxxxxxxxx xxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx oznámí xxxxxxxxx reaktivního opatření x xxxx výsledek xx xxxxxxxxx, jehož xxxx je uveden x příloze č. 6 x xxxx xxxxxxxx.
§34
Xxxxxxxxx údaje
Orgán a xxxxx xxxxxxx x §3 xxxxxx xxxxxxxx xxxxxxxxx údaje xx xxxxxxxxx, jehož xxxx xx xxxxxx v příloze č. 7 x xxxx xxxxxxxx. Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxx v §32 xxxx. 1 xxxx. a).
XXXX XXXX
XXXXXXXX
§35
Xxxx vyhláška xxxxxx xxxxxxxxx xxxx 1. xxxxx 2015.
Xxxxxxx:
Xxx. Xxxxxxxx v. r.
Příloha x. 1 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxxx x xxxxxx důležitosti aktiv
Pro xxxxxxxxx xxxxxxxxxxx xxxxx xxxx xxxxxxx stupnice x čtyřech xxxxxxxx. Xxxxx nebo xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxx xxxxxxxx odlišný počet xxxxxx xxx hodnocení xxxxxxxxxxx xxxxx, xxx xxxx xx xxxxxx x xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx jí používaným xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx x xxxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx xxxx uvedeny x xxxx příloze.
V xxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx je přípustné xxxxxxx xxx xxxxxx xxxxx a střední, xxxx xxxxxx xxxxxx x xxxxxxxx.
Xxxxxxxx xxx xxxxxxxxx důvěrnosti
|
Úroveň |
Popis |
Ochrana |
|
Nízká |
Aktiva xxxx xxxxxxx xxxxxxxxx nebo xxxx xxxxxx xx xxxxxxxxxx (xxxx. xx xxxxxxx zákona č. 106/1999 Sb., x xxxxxxxxx xxxxxxxx x xxxxxxxxxx, xx xxxxx xxxxxxxxxx xxxxxxxx). Xxxxxxxx důvěrnosti aktiv xxxxxxxxxx oprávněné xxxxx xxxxxx a xxxxx xxxxxxx x §3 xxxx. c) až x) xxxxxx. |
Xxxx vyžadována xxxxx ochrana. |
|
Střední |
Aktiva nejsou xxxxxxx přístupná a xxxxx know-how xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx, xxxxxxx xxxxx xxxx xxxxxxxxxx žádným xxxxxxx xxxxxxxxx nebo xxxxxxxx ujednáním. |
Pro xxxxxxx xxxxxxxxxx xxxx využívány xxxxxxxxxx xxx řízení xxxxxxxx. |
|
Xxxxxx |
Xxxxxx xxxxxx veřejně xxxxxxxxx x xxxxxx xxxxxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxx, jinými xxxxxxxx nebo smluvními xxxxxxxxxx (xxxx. xxxxxxxx xxxxxxxxx xxxxx xxxxxx č. 89/2012 Sb., občanský xxxxxxx, xxxxxx xxxxx podle xxxxxx č. 101/2000 Sb., x xxxxxxx xxxxxxxx xxxxx, xx znění pozdějších xxxxxxxx). |
Xxx ochranu xxxxxxxxxx xxxx xxxxxxxxx prostředky, xxxxx xxxxxxx řízení x xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx informací xxxxxx xxxxxxxxxxx xxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxx xxx xxxxx xxxxxxxxx xxxxxxxxx (např. strategické xxxxxxxx xxxxxxxxx, citlivé xxxxxx xxxxx). |
Xxx xxxxxxx xxxxxxxxxx xx požadována xxxxxxxx xxxx, xxxxx x xxxxxxx xxxxxxxxxxx, x xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xx strany xxxxxxxxxxxxxx. Xxxxxxx informací xxxx xxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxxxxxxx pro xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx nevyžaduje ochranu x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx x osoby xxxxxxx v §3 xxxx. c) xx x) xxxxxx. |
Xxxx vyžadována xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx xxxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx může xxxx k poškození xxxxxxxxxxx zájmů xxxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx x xxxx se xxxxxxxx xxxx závažnými xxxxxx na xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány xxxxxxxxxx xxxxxxxx (např. xxxxxxx xxxxxxxxxxxx xxxx pro xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx aktiva xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx orgánu x xxxxx xxxxxxx x §3 xxxx. x) až e) xxxxxx x podstatnými xxxxxx xx xxxxxxxx xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx využívány speciální xxxxxxxxxx, xxxxx dovolují xxxxxxxx historii xxxxxxxxxxx xxxx x xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx informací xxxxxxxxxxx vnějšími komunikačními xxxxxx xx zajištěna pomocí xxxxxxxxxxxxxxxx prostředků. |
|
Kritická |
Aktivum xxxxxxxx xxxxxxx x hlediska xxxxxxxxx. Xxxxxxxx integrity xxxx x xxxxx xxxxxxx poškození xxxxxxxxxxx xxxxx orgánu a xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx x xxxxxxx x xxxxx xxxxxxx xxxxxx xx xxxxxxxx aktiva. |
Pro xxxxxxx xxxxxxxxx xxxx využívány xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx provádějící xxxxx (xxxx. xxxxxx xxxxxxxxxxx xxxxxxxxxxx podpisu). |
Stupnice xxx xxxxxxxxx dostupnosti
|
Úroveň |
Popis |
Ochrana |
|
Nízká |
Narušení xxxxxxxxxxx xxxxxx není xxxxxxxx x x xxxxxxx xxxxxxx xx xxxxx tolerováno xxxxx xxxxxx xxxxxx pro xxxxxxx (cca do 1 xxxxx). |
Xxx xxxxxxx xxxxxxxxxxx je postačující xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx by nemělo xxxxxxxxx dobu xxxxxxxxxx xxx, xxxxxxxxxxxxx výpadek xxxx x xxxxxxx xxxxxxxx xxxxx orgánu x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx. |
Xxx ochranu xxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx xxxx xxxxxxxx hodin. Xxxxxxxx xxxxxxx je xxxxx xxxxx xxxxxxxxxx, protože xxxx x xxxxxxx xxxxxxxx xxxxx orgánu x xxxxx uvedené x §3 xxxx. x) xx x) xxxxxx. Xxxxxx xxxx xxxxxxxxxx xxxx xxxxx důležitá. |
Pro xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx poskytování xxxxxx může xxx xxxxxxxxx zásahy obsluhy xxxx xxxxxxx technických xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxxx x x krátkodobá nedostupnost (x xxxx xxxxxxxx xxxxx) xxxx k xxxxxxx ohrožení xxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) až e) xxxxxx. Aktiva xxxx xxxxxxxxxx xxxx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx záložní xxxxxxx x xxxxxx poskytování xxxxxx xx xxxxxxxxxx x xxxxxxxxxxxxxx. |
Xxxxxxx x. 2 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxxx xxxxx
Xxxxxxxxx xxxxx xx xxxxxxxxx xxxx funkce, xxxxxx xxxxxxxxx xxxxx, xxxxxx x xxxxxxxxxxxx.
Xxx xxxxxxxxx xxxxx lze použít xxxxxxx xxxx funkci
riziko = dopad x xxxxxx x xxxxxxxxxxxx.
Xxxxxxxxxxx xxxxxx funkce pro xxxxxx xxxxxx xx xxxxxxxxx součástí xxxxxxxx xxx xxxxxxxxxxxx a xxxxxxxxx xxxxxx
|
Xxxxxxxx xxx xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxx je x omezeném xxxxxxx xxxxxx a malého xxxxxxx a nesmí xxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx nepřesahuje a) 10 xxxxxxxxx xxxx x xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx nebo b) xxxxxxxx nebo materiální xxxxxx xx 5 000 000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx x rozsáhlým xxxxxxxx xxxxxxxxxx služeb xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx nejvýše 250 xxxx. |
|
Xxxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx x x xxxxxxxx xxxxxxx období. Rozsah xxxxxxxxxx škod se xxxxxxxx x xxxxxxx x) xx 10 xxxxxxx xxxx od 11 xx 100 xxxx x následnou hospitalizací xx xxxx delší xxx 24 hodin xxxx x) xxxxxxxx xxxx xxxxxxxxxx ztráty xx 5&xxxx;000&xxxx;000 Xx xx 50&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx na xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx služeb xxxx jiného xxxxxxxxx xxxxxx xx každodenního xxxxxx postihujícího xx 251 xx 2 500 xxxx. |
|
Xxxxxx |
Xxxxx xx omezeného xxxxxxx, ale xxxxxx xxxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx se pohybuje x xxxxxxx x) od 11 do 100 xxxxxxx xxxx xx 101 do 1 000 osob x xxxxxxxxx xxxxxxxxxxxxx xx xxxx delší xxx 24 xxxxx xxxx x) xxxxxxxx nebo xxxxxxxxxx xxxxxx xx 50&xxxx;000&xxxx;000 Xx do 500&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx veřejnost x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx závažného zásahu xx xxxxxxxxxxxx života xxxxxxxxxxxxx xx 2&xxxx;501 xx 25&xxxx;000 xxxx. |
|
Xxxxxxxx |
Xxxxx xx plošný xxxxxxxx, xxxxxx a xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xx xxxxxxxx x rozmezí a) 10 x více xxxxxxx x 1 001 x více xxxx x následnou xxxxxxxxxxxxx po xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxxxxxx 500 000 000 Xx xxxxx x) představuje xxxxx xx veřejnost s xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx jiného xxxxxxxxx xxxxxx xx xxxxxxxxxxxx života xxxxxxxxxxxxx xxxx xxx 25&xxxx;000 xxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx neexistuje xxxx xx xxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxx xxxxxxxx xxx xxxxxx xx 5 xxx. |
|
Xxxxxxx |
Xxxxxx je xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxxxxxxxxxxx realizace hrozby xx x xxxxxxx xx 1 roku xx 5 let. |
|
Vysoká |
Hrozba xx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx hrozby je x xxxxxxx od 1 xxxxxx xx 1 xxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx pravděpodobná xx xxxxxxxx xxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx xxxxxxxx xxx jednou xx měsíc. |
|
Stupnice pro xxxxxxxxx xxxxxxxxxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx xxxx je zneužití xxxxxxxxxxxxx málo xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxx bezpečnostní xxxxxxxx, xxxxx xxxx xxxxxxx xxxx detekovat xxxxx slabiny nebo xxxxxxxx xxxxxx x xxxxxxxxx opatření. |
|
Střední |
Zranitelnost je xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Existují kvalitní xxxxxxxxxxxx opatření, jejichž xxxxxxxx xx pravidelně xxxxxxxxxxxx. Schopnost xxxxxxxxxxxxxx xxxxxxxx včas detekovat xxxxx slabiny xxxx xxxxxxxx pokusy x xxxxxxxxx xxxxxxxx xx xxxxxxx. Nejsou xxxxx xxxxx úspěšné xxxxxx x překonání xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx je xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxx xxxxxx účinnost xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx a xxxx xxxxxxxxxx xxxxxxxxxxxx. Xxxx xxxxx xxxxx úspěšné xxxxxx x překonání xxxxxxxxxxxxxx opatření. |
|
Kritická |
Zranitelnost xx xxxxx xxxxxxxxxxxxx xx xx xxxxxxxx xxxxx xxxxxxxx. Xxxxxxxxxxxx opatření xxxxxx realizována xxxxx xx xxxxxx xxxxxxxx xxxxxx omezena. Neprobíhá xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Xxxx xxxxx xxxxxxx xxxxxx překonání xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx pro xxxxxxxxx rizik |
|
|
Úroveň |
Popis |
|
Nízké |
Riziko je xxxxxxxxxx xx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx sníženo xxxx xxxxxxxxx opatřeními xxxx x případě xxxxx náročnosti xxxxxxxx xx riziko xxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx dlouhodobě xxxxxxxxxxx x musí být xxxxxxxx xxxxxxxxxxxx kroky x jeho xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx nepřípustné a xxxx být xxxxxxxxxx xxxxxxxx xxxxx k xxxx xxxxxxxxxx. |
X xxxxxxx, xx xxxxx nebo xxxxx uvedená x §3 písm. x) xx x) zákona xxxxxxx metodu xxx xxxxxxxxxxxx a xxxxxxxxx xxxxx, xxxxx xxxxxxxxxxx xxxxxxxxx hrozby x xxxxxxxxxxxxx, xx možné xxxxxxxx pro xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxx. Sloučení xxxxxxx xx xxxxxx xxxx xx ztrátě xxxxxxxxxx xxxxxxxxx xxxx xxxxxx x xxxxxxxxxxxxx. Xx xxxxx xxxxxx lze xxxxxx xxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx vyjádří xxx xxxxxx xxxxxx, xxx x xxxxxx xxxxxxxxxxxxx. Obdobně postupuje x xxxxx nebo xxxxx xxxxxxx v §3 xxxx. x) xx e) xxxxxx, xxxxx xxxxxxx xxxx xxxxx úrovní xxx xxxxxxxxx dopadů, hrozeb, xxxxxxxxxxxxx x xxxxx.
Xxxxxxx x. 3 x xxxxxxxx x. 316/2014 Sb.
Minimální xxxxxxxxx xx xxxxxxxxxxxxxx algoritmy
(1) Xxxxxxxxxx algoritmy
a) Blokové x proudové šifry xxx xxxxxxx xxxxxxxxxx x xxxxxxxxx
1. Advanced Xxxxxxxxxx Xxxxxxxx (AES) x xxxxxxxx xxxxx xxxxx 128, 192 x 256 xxxx Xxxxxx Data Xxxxxxxxxx Xxxxxxxx (3XXX) s xxxxxxxx délky xxxxx 168 bitů, xxxxxxx xxxxxxx xxx se xxxxxxxxx klíče xxxxxx xxx 10 XX, xxxxxxxx xxxxxxxxx xx XXX.
2. Triple Xxxx Xxxxxxxxxx Standard (3XXX) x xxxxxxxx délky xxxxx 112 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX, xxxxxxxx xxxxxxxxx xx AES. Xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx xxx xxxxxx xxxxxx.
3. Xxxxxxxx s využitím xxxxxxxxx xxxxx xxxxx 128 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx klíče menším xxx 10 XX.
4. Xxxxxx x xxxxxxxx xxxxx klíčů 128 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx menším než 10 GB.
5. Xxxxxxx x využitím xxxxx xxxxx 128 až 256 bitů.
6. Serpent x xxxxxxxx délky xxxxx 128, 192, 256 xxxx.
7. Xxxxxxxx x využitím xxxxx xxxxx 128, 192 x 256 xxxx.
8. XXXX 2.0, XXXX 3X s xxxxxxxx xxxxx xxxxx 128, 256 xxxx.
x) Xxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx
1. XXX,
2. EAX,
3. XXX,
4. Složená xxxxxxxx xxxx "Encrypt-then-MAC".
Poznámka:
Schémata xxxx "Xxxxxxx-xxxx-XXX",xxxx xxxxxxxx x xxxxxxxxx pouze xxxxxxx xxxxxxxxx xxxx x x xxxxxxx MAC xxxxx xxxxxxx xxxx xxx xxxxxxx xxxxxxxxx.
x) Xxxx xxxxxxxxx
1. XXX,
2. XXX,
3. XXX,
4. CFB,
Poznámka:
Módy XXX a XXX xxxx xxx xxxxxxx x náhodným, xxx xxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, při použití xxxx XXX xx xxx daný xxxx xxxxx xxxxxxxx hodnota xxxxxxxxxxxxxxx xxxxxxx, při xxxxxxx módu XXX xx pro xxxx xxxx xxxxx xxxxxxxx xxxxxxx xxxxxx, v xxxxxxx použití CBC xxxx x šifrování xxx xxxxxxx xxxxxxxxx xx xxxxx ověřit xxxxxxxx xxxxx xxxxx xx xxxxxxx CBC xxxx.
x) Xxxx xxx xxxxxxx xxxxxxxxx
1. XXXX,
2. XXX-XXX-X9.19, omezené xxxxxxx xxx xx xxxxxxxxx xxxxxx xxx 109 XXX,
3. CBC-MAC-EMAC,
4. XXXX.
(2) Xxxxxxxxxxx xxxxxxxxx
x) Xxx xxxxxxxxxxx digitálního podpisu
1. Xxxxxxx Xxxxxxxxx Xxxxxxxxx (XXX) x xxxxxxxx xxxxx xxxxx 2048 xxxx x xxxx, xxxxx xxxxxxxxx cyklické xxxxxxxx 224 xxxx x xxxx.
2. Elliptic Xxxxx Xxxxxxx Signature Xxxxxxxxx (XX-XXX) x xxxxxxxx délky xxxxx 224 bitů x xxxx.
3. Rivest-Shamir-Adleman Probablistic Xxxxxxxxx Xxxxxx (XXX-XXX) x využitím xxxxx xxxxx 2048 xxxx x více.
b) Pro xxxxxxx xxxxx xx xxxxx x šifrování xxxxx
1. Xxxxxx-Xxxxxxx (DH) x využitím délky xxxxx 2048 xxxx x xxxx, xxxxx xxxxxxxxx cylické podgrupy 224 xxxx x xxxx.
2. Xxxxxxxx Curve Xxxxxx-Xxxxxxx (ECDH) s xxxxxxxx xxxxx xxxxx 224 xxxx x xxxx.
3. Elliptic Curve Xxxxxxxxxx Encryption Xxxxxx - Key Xxxxxxxxxxxxx Xxxxxxxxx (XXXXX-XXX) x xxxxxxxx délky xxxxx 256 bitů x xxxx.
4. Xxxxxxxx Xxxxxx Xxxxxxxx Curve - Xxx Xxxxxxxxxxxxx Mechanism (XXXX-XXX) x xxxxxxxx xxxxx xxxxx 256 xxxx více.
5. Asymetrie Xxxxxxx xxx Xxx Xxxxxxxxxxxxx Mechanism (ACE-KEM) x xxxxxxxx délky xxxxx 256 bitů x více.
6. Rivest Xxxxxx Xxxxxxx - Xxxxxxx Xxxxxxxxx Encryption Xxxxxxx (XXX-XXXX) s xxxxxxxx xxxxx xxxxx 2048 x xxxx.
7. Xxxxxx Xxxxxx Xxxxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (RSA-KEM) x xxxxxxxx délky klíčů 2048 a xxxx.
(3) Xxxxxxxxx xxxx funkcí
a) XXX-2
1. XXX-224,
2. XXX-256,
3. XXX-384,
4. XXX-512,
5. SHA-512/224,
6. XXX-512/256.
x) XXX-3
1. SHA3-224,
2. XXX3-256,
3. SHA3-384,
4. XXX3-512,
5. XXXXX-128,
6. XXXXX-256.
x) Ostatní xxxxxxxx xxxxxx
1. Xxxxxxxx,
2. XXXXXX-160,
3. SHA 1 x xxxxxxxx použitím.
Poznámka x. 1:
XXX-1 xx xxxxx xxxxxxxx pro xxxxxxxxxx nových xxxxxxxxxxx xxxxxxx, xxxxxxxx xxxxxxx, xxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx XXX-1.
Xxxxxxxx x. 2:
XXX-1 xxx xxxxxxxx pouze xxx xxxxxxxxx již xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx x xxxxxxxx razítek, generování x ověřování XXXX-XXX1, xxxxxx pro xxxxxxxxxx xxxxx a xxxxxxxxxxxxx xxxxxxxxxx.
Xxxxxxx x. 4 x vyhlášce x. 316/2014 Xx.
Xxxxxxxxx bezpečnostní xxxxxxxxxxx
Xxxx příloha xxxxxxxx xxxxxxxxxx obsah xxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxxxx struktury xxxxxxxxxxxx xxxxxxxxx zahrnují xxxxxx, xxxxx jednotlivé xxxxxxxxx podle této xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxx dokumentů xxxxxx závazné x xx xx orgánu xxxx xxxxx xxxxxxx x §3 xxxx. x) až e) xxxxxx, jaký xxxxxxx x tvorbě xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx. Xxxxxxxxx xx x xxxxx xxxxx jednotlivých dokumentů xxxx integrování xxxx xxxxx xx jednoho xxxxxxxxx.
X. Xxxxxxxxx xxxxxxxxxxxx xxxxxxxx
(1) Xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx*
[§5 xxxx. 1 písm. x), §5 odst. 2 písm. x)]
x) Xxxx, principy x xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx a xxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxx xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx xxx nápravná xxxxxxxx x xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxxxxxxxxx xxxx x xxxxxx xxxx x xxxxxxxxxx,
1. xxxxx x povinnosti xxxxxxxx xxxxxxxxxxxx bezpečnosti,
2. xxxxx a xxxxxxxxxx xxxxxxxxxx kybernetické xxxxxxxxxxx,
3. xxxxx x xxxxxxxxxx xxxxxxxx kybernetické xxxxxxxxxxx,
4. xxxxx x povinnosti xxxxxxx aktiv,
5. xxxxx x xxxxxxxxxx výboru xxx řízení xxxxxxxxxxxx xxxxxxxxxxx.
x) Požadavky xx xxxxxxxx výkonu xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxx.
(3) Xxxxxxxx xxxxxx dodavatelů**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x xxxxxxxx xxx xxxxx xxxxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx xxxxx xxxxxxxxxx.
x) Xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxx x xxxxxxx x xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx x x xxxxxx xxxxxxxx xxxxxxx odpovědnosti.
d) Xxxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx.
(4) Politika klasifikace xxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Identifikace, hodnocení x xxxxxxxx primárních xxxxx
1. určení a xxxxxxxx jednotlivých primárních xxxxx xxxxxx určení xxxxxx garanta,
2. hodnocení xxxxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx a dostupnosti.
b) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx a evidence xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxx xxxxx xxxx primárními x xxxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx úrovní xxxxx
1. způsoby rozlišování xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx xxx manipulaci x xxxxxxxx aktiv xxxxx úrovní xxxxx,
3. xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxxx xxxxxxx nebo xxxxxx xxxxxxxxxxx xxxxxx xxx.
(5) Xxxxxxxx xxxxxxxxxxx lidských xxxxxx**
[§5 xxxx. 1 xxxx. e), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx a xxxxxxx xxxx hodnocení
1. xxxxxxx x formy xxxxxxx xxxxxxxxx,
2. xxxxxxx x formy poučení xxxxxxx aktiv,
3. xxxxxxx x formy xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx x xxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx bezpečnostní xxxx.
x) Bezpečnostní xxxxxxx xxxxxx xxxxxxxxxxx.
x) Pravidla xxx řešení xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Pravidla xxx xxxxxxxx xxxxxxxxxx vztahu xxxx změnu xxxxxxxx xxxxxx.
1. vrácení xxxxxxxxx xxxxx x xxxxxxxx xxxx při ukončení xxxxxxxxxx xxxxxx,
2. xxxxx xxxxxxxxxxxx oprávnění při xxxxx pracovní xxxxxx.
(6) Xxxxxxxx řízení xxxxxxx x komunikací**
[§5 odst. 1 xxxx. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxxx x odpovědnosti xxxxxxx x xxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx.
x) Pravidla x xxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x bezpečnostních xxxxx.
(7) Xxxxxxxx xxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (xxxx xx know).
b) Požadavky xx xxxxxx přístupu.
c) Xxxxxxx cyklus xxxxxx xxxxxxxx.
x) Řízení privilegovaných xxxxxxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx přístupových xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx.
(8) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx xxx xxxxxxxx xxxxxxxxx s aktivy.
b) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx.
x) Bezpečné použití xxxxxxxxxxxx pošty a xxxxxxxx xx xxxxxxxx.
x) Xxxxxxxx xxxxxxxx přístup.
e) Xxxxxxxx xxxxxxx xx xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx xx xxxxxx k xxxxxxxx xxxxxxxxx.
(9) Xxxxxxxx xxxxxxxxxx a xxxxxx**
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxx xx xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx.
x) Pravidla a xxxxxxx xxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxx x obnovy.
(10) Xxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxx informací**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxx ochranu xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx xxxxxxx elektronické xxxxxx xxxxxxxxx.
x) Pravidla xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(11) Xxxxxxxx xxxxxx technických xxxxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx vybavení,
b) Pravidla x xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx balíčků,
c) Xxxxxxxx x xxxxxxx xxxxxxxxx oprav xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx a xxxxxxx nasazení xxxxx xxxxxxxxxxxx xxxxxxxx.
(12) Xxxxxxxx xxxxxxxxxx xxxxxxxxx mobilních xxxxxxxx*
[§5 xxxx. 1 xxxx. 1)]
x) Xxxxxxxx x postupy pro xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxxxxxx.
(13) Xxxxxxxx xxxxxxxxxxx x xxxxxxxx licencí xxxxxxxxxxxx xxxxxxxx a xxxxxxxxx*
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx a xxxxxxx xxxxxxxx programového vybavení x xxxx evidence.
b) Xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx podmínek.
(14) Xxxxxxxx xxxxxxxxxxxx ukládání x xxxxxxxxx xxxxxxxxx*
[§5 odst. x xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxx a xxxxxxx.
x) Ochrana archivovaných xxxxxxxxx a záznamů.
c) Xxxxxxxx xxxxxxxx x xxxxxxxxxxxx dokumentům a xxxxxxxx.
(15) Xxxxxxxx ochrany xxxxxxxx xxxxx*
[§5 odst. x xxxx. o), §5 odst. 2 xxxx. x)]
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx a xxxxxxxxxxx organizačních opatření xxx ochranu xxxxxxxx xxxxx.
x) Xxxxx přijatých x xxxxxxxxxxx technických xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
(16) Xxxxxxxx xxxxxxx xxxxxxxxxxx**
[§5 xxxx. x písm. x)]
x) Xxxxxxxx xxx xxxxxxx xxxxxxx.
x) Pravidla pro xxxxxxxx xxxxxx osob.
c) Xxxxxxxx xxx xxxxxxx xxxxxxxx.
x) Detekce xxxxxxxx xxxxxxx xxxxxxxxxxx.
(17) Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx sítě**
[§5 xxxx. 1 písm. x)]
x) Pravidla x xxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxx.
x) Xxxxxx xxxx x xxxxxxxxxx xx bezpečný xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxx xxxxxxxx x xxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxxxx x xxxx.
x) Xxxxxxxx x xxxxxxx xxx monitorování xxxx x xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.
(18) Politika xxxxxxx xxxx xxxxxxxxx xxxxx*
[§5 xxxx. x xxxx. x), §5 xxxx. 2 písm. x)]
x) Pravidla a xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxx x xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx ochranu xxxxxxx x sdílených xxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx ochranu xxxxxxxxxx xxxxxx.
(19) Politika xxxxxxxx x používání xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx**
[§5 xxxx. 1 písm. x), §5 odst. 2 xxxx. n)]
a) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx pro xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx vyhodnocování a xxxxxxxxx na xxxxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx nastavení xxxxxxxx pro detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(20) Xxxxxxxx využití x xxxxxx xxxxxxxx pro xxxx x vyhodnocení xxxxxxxxxxxxxx bezpečnostních událostí**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxxx pravidel pro xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx pro xxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
(21) Xxxxxxxx xxxxxxxxxx používání kryptografické xxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxx x xxxxxxx na xxx a sílu xxxxxxxxxxxxxxxx algoritmu.
b) Pravidla xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx
1. xxx přenosu xx xxxxxxxxxxxxx xxxxxx,
2. xxx xxxxxxx xx mobilní xxxxxxxx nebo vyměnitelný xxxxxxxxx nosič xxx,
x) Xxxxxx xxxxxx xxxxx.
XX. Xxxxxxxxx xxxxx dokumentace
(1) Xxxxxx z auditu xxxxxxxxxxxx bezpečnosti**
[§28 odst. 1 xxxx. x)]
x) Xxxx auditu kybernetické xxxxxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx kybernetické bezpečnosti.
d) Xxxxxxxxxxxxxx xxxx xxxxxxxx x xxxx, které xx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx.
x) Xxxxx x xxxxx, xxx xxxx prováděny xxxxxxxx xxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Zjištění x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
(2) Xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací**
[§28 odst. 1 xxxx. c)]
a) Xxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx,
x) Xxxxxxxxxxxx xxxx x xxxxxxxxx, které xxxxx xxx xxxx na xxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxx xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx informací
1. xxxxxxx x xxxxxxxx opatření,
2. xxxxxxxx xxxxxxxxxxxx a xxxxxx,
3. výsledky auditu,
4. xxxxxxxx cílů xxxxxxxxxxx,
x) Xxxxxxxx hodnocení xxxxx x xxxx xxxxx xxxxxxxx xxxxx.
x) Identifikace xxxxxxxx pro neustálé xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx xxxxxxxx x xxxx zajišťujících xxxxx jednotlivých činností.
(3) Xxxxxxxx pro identifikaci x xxxxxxxxx aktiv x pro xxxxxxxxxxxx x hodnocení xxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 písm. b)]
a) Xxxxxx xxxxxxxx xxx xxxxxxxxx primárních aktiv
1. xxxxxx xxxxxxxx pro xxxxxxxxx úrovní důvěrnosti xxxxx,
2. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxx aktiv,
3. určení xxxxxxxx pro hodnocení xxxxxx xxxxxxxxxxx aktiv.
b) Xxxxxx xxxxxxxx pro xxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxxx,
2. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx hrozby,
3. určení xxxxxxxx pro hodnocení xxxxxx xxxxxxxxxxxxx,
4. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxx,
x) Metody x xxxxxxxx pro xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx.
(4) Xxxxxx x hodnocení xxxxx a xxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. c)]
a) Xxxxxxx xxxxxxxxxx aktiv
1. xxxxxxxxxxxx a xxxxx xxxxxxxxxx xxxxx,
2. určení xxxxxxx primárních xxxxx,
3. xxxxxxxxx primárních xxxxx x xxxxxxxx důvěrnosti, xxxxxxxxx a xxxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx aktiv (xxxxxxx xxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) zákona)
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. určení xxxxx xxxx xxxxxxxxxx x podpůrnými xxxxxx,
x) Xxxxxxxxxxxxxx x hodnocení xxxxx
1. posouzení xxxxxxx xxxxxx xx aktiva,
2. xxxxxxxxx existujících xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx xxxx xxxxxx x xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
5. xxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxx
1. xxxxx způsobu xxxxxxxx xxxxx,
2. xxxxx xxxxxxxx x xxxxxx realizace.
(5) Xxxxxxxxxx x xxxxxxxxxxxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. x)]
x) Xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxx zdůvodnění xxxxxx xxxxxx x xxxxxx xxxxx xx xxxxxxxxxxxxxx xxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(6) Xxxx xxxxxxxx xxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. x)]
x) Xxxxx x cíle xxxxxxxxx bezpečnostních xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxxx xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
c) Xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
x) Termíny xxxxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx xxx zvládání xxxxx.
x) Xxxxxxx hodnocení xxxxxxxxxx zavedení xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
(7) Xxxx xxxxxxx bezpečnostního xxxxxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 písm. f)]
a) Xxxxx a termíny xxxxxxx uživatelů.
b) Xxxxx x xxxxxxx xxxxxxx xxxxxxx xxxxx (xxxxxxx xxx orgány a xxxxx xxxxxxx x §3 písm. x) xxxxxx).
x) Xxxxx x xxxxxxx poučení administrátorů (xxxxxxx xxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx).
x) Xxxxx x termíny poučení xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
e) Obsah x xxxxxxx poučení xxxxxx xxxxxxxxxxx.
x) Xxxxx x xxxxxxx hodnocení xxxxx.
(8) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx x zvládání jednotlivých xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx testování xxxxxxx xxxxxxxx kybernetických bezpečnostních xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(9) Xxxxxxxxx xxxxxx xxxxxxxxxx činností**
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. h)]
a) Xxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Cíle xxxxxx xxxxxxxxxx xxxxxxxx
1. xxxxxxxxx xxxxxx poskytovaných xxxxxx,
2. xxxx xxxxxxxx xxxxx,
3. bod xxxxxxxx xxxxx.
x) Xxxxxxxxx řízení xxxxxxxxxx xxxxxxxx xxx xxxxxxxx cílů xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xx xxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxxx xxxxx.
x) Xxxxxx a obsah xxxxxxxxxx plánů xxxxxxxxxx.
x) Xxxxxxx pro realizaci xxxxxxxx xxxxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx.
(10) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx předpisů x jiných xxxxxxxx x xxxxxxxxx závazků*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. i)]
a) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxx a xxxxxx předpisů.
c) Xxxxxxx xxxxxxxxx závazků.
Poznámka:
* Xxxxxxxxx xxxxxxxxx xxxxxxxxx xx xx úrovni xxxxxxx xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx x úroveň aktiv.
** Xxxxxxxxx důvěrnost xxxxxxxxx xx xx úrovni xxxxxx xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.
Xxxxxxx x. 5 x xxxxxxxx x. 316/2014 Sb.
Formulář hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx x. 6 x vyhlášce x. 316/2014 Xx.
Xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx č. 7 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxx xxx xxxxxxx xxxxxxxxxxx údajů
Vyplnitelný formulář ve formátu PDF
Xxxxxxxxx
Xxxxxx předpis x. 316/2014 Xx. nabyl xxxxxxxxx xxxx 1.1.2015.
Xx xxx xxxxxxxx xxxxxx xxxxxxx xxxxx xxxxx xx doplňován.
Právní xxxxxxx x. 316/2014 Sb. xxx xxxxxx xxxxxxx xxxxxxxxx č. 82/2018 Sb. s xxxxxxxxx od 28.5.2018.
Xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx právních xxxxxxxx x odkazech xxxx xxxxxxxxxxxxx, pokud xx xxxx netýká xxxxxxxxx xxxxx shora uvedeného xxxxxxxx xxxxxxxx.
1) XXX/XXX 27001:2013, xxxxxxxx XXX XXX/XXX 27001:2014