Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
XXXXXXXX
xx dne 15. xxxxxxxx 2014
o xxxxxxxxxxxxxx xxxxxxxxxx, kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x x xxxxxxxxx xxxxxxxxxxx podání x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx o xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx bezpečnostní xxxx xxxxxxx xxxxx §28 xxxx. 2 xxxxxx x. 181/2014 Xx., x xxxxxxxxxxxx xxxxxxxxxxx x o xxxxx xxxxxxxxxxxxx xxxxxx (xxxxx x xxxxxxxxxxxx bezpečnosti), (xxxx xxx "xxxxx") x provedení §6 xxxx. x) xx x), §8 odst. 4, §13 xxxx. 4 a §16 xxxx. 6 zákona.
ČÁST PRVNÍ
ÚVODNÍ USTANOVENÍ
§1
Předmět xxxxxx
Xxxxx vyhláškou xx xxxxxxx xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxx informační xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxx xxxxxxxxxx xxxxxx, xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxx xxxxxxxx, xxxx a xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx x způsob xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx, náležitosti xxxxxxxx x provedení xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx x xxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxx formu.
§2
Xxxxxxxx xxxxx
X této xxxxxxxx xx xxxxxx
x) xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx xxxxxx orgánu x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxxx na xxxxxxxx x rizikům xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx významného xxxxxxxxxxxx xxxxxxx, která stanoví xxxxxx ustavení, xxxxxxxx, xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx x zlepšování xxxxxxxxxxx xxxxxxxxx,
x) aktivem xxxxxxxx xxxxxxx a xxxxxxxx aktivum,
c) xxxxxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxxx xxxx poskytuje xxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxx systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx aktivum, zaměstnanci x xxxxxxxxxx podílející xx xx provozu, xxxxxxx, xxxxxx xxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx informačního systému,
e) xxxxxxxxxx aktivem xxxxxxxxx xxxxxxxx, komunikační prostředky x xxxxxxxxxx vybavení xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx, xx xxxxxxx xxxx xxxx systémy xxxxxxxx,
x) rizikem xxxxxxx, xx určitá xxxxxx xxxxxxx zranitelnosti xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx významného xxxxxxxxxxxx xxxxxxx x způsobí xxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxx xxxxxx, xxx xxxx je xxxxxxxx xxxxxxxxxx xxxxx x xxxxxx xxxxxxxxxx úroveň,
h) xxxxxxx rizik činnost xxxxxxxxxx xxxxxxxxx xxxxx, xxxxx x xxxxxxxx xxxxxxxx xx xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx x xxxxxx x xxxxxxxxx a přezkoumání xxxxx,
x) hrozbou xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx nebo kybernetického xxxxxxxxxxxxxx xxxxxxxxx, jejímž xxxxxxxxx xxxx být xxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxx xxxxx xxxxx aktiva xxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxx xxxxxxxx jednou nebo xxxx xxxxxxxx,
x) přijatelným xxxxxxx xxxxxx xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx xxxxxxxx xxxxxxxxx pro xxxxxxxxxxxx xxxxx,
x) bezpečnostní xxxxxxxxx xxxxxx xxxxx x pravidel, které xxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxx xxxxxxx x xxxxxx uvedenou x §3 xxxx. x) xx e) xxxxxx,
x) xxxxxxxx aktiva xxxxxxx osoba xxxxxxxx xxxxxxx xxxx osobou xxxxxxxx x §3 xxxx. x) xx x) zákona x xxxxxxxxx xxxxxxx, xxxxxxx x xxxxxxxxxxx aktiva,
n) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx osoba anebo xxxxx xxxxxxx moci, xxxxx využívá xxxxxxxx xxxxxx,
x) xxxxxxxxxxxxxxx fyzická xxxxx pověřená xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxx, xxxxxx, použití, xxxxxx x xxxxxxxxxx technického xxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX OPATŘENÍ
§3
Systém xxxxxx xxxxxxxxxxx informací
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx x xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx s xxxxxxx na xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xx xxxxxx xxxx, xxxxxxx organizačních xxxxx x xxxxxxxxxxx xxxxx xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx,
x) xxxx xxxxxx xxxxx §4 odst. 1,
x) xxxxxxx x xxxxxxx bezpečnostní xxxxxxxx x xxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx, xxxxx xxxxxxxx hlavní xxxxxx, cíle, bezpečnostní xxxxxxx, práva x xxxxxxxxxx xx xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxx a na xxxxxxx xxxxxxxxxxxxxx potřeb x výsledků xxxxxxxxx xxxxx stanoví xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §5 x xxxxxx příslušná xxxxxxxxxxxx xxxxxxxx,
x) monitoruje xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx vhodnost x xxxxxxxx xxxxxxxxxxxx politiky xxxxx §5,
x) xxxxxxx xxxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx podle §15, x xx xxxxxxx xxxxxx ročně,
g) xxxxxxx xxxxxxxxxxx účinnosti xxxxxxx xxxxxx xxxxxxxxxxx informací, xxxxx obsahuje hodnocení xxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxx rizik, xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx a xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, x xx xxxxxxx xxxxxx xxxxx,
x) xxxxxxxxxxx xxxxxx xxxxxx bezpečnosti xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx na xxxxxxx xxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx, výsledků xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací a x xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx a
i) řídí xxxxxx x xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, zaznamenává xxxxxxxx xxxxxxx xx systémem xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx.
(2) Xxxxx x osoba xxxxxxx v §3 xxxx. x) xxxxxx x xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxx xxxxxx podle §4 xxxx. 2,
b) xxxxxxx a xxxxxxx xxxxxxxxxxxx politiku x xxxxxxx xxxxxxx řízení xxxxxxxxxxx informací, xxxxx xxxxxxxx xxxxxx zásady, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx xx xxxxxx x xxxxxx bezpečnosti xxxxxxxxx x xx základě xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx bezpečnostní politiku x xxxxxxx xxxxxxxxx xxxxx §5, x xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxxx aktiv a xxxxx, bezpečnostní xxxxxxxx, xxxxx xxxxxxxx xxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx povědomí, a xx xxxxxxx jednou xx xxx xxxx xxxx x xxxxxxxxxxx x xxxxxxxxxxx nebo xxxxxxxxxxx xxxxxxx.
§4
Xxxxxx xxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) a d) xxxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx identifikaci x xxxxxxxxx xxxxx xxxxxx stanovení xxxxxxxx xxx přijatelnost xxxxx,
x) xxxxxxxxxxxx a hodnotí xxxxxxxxxx xxxxx, která xxxxx xx rozsahu xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx §8 x xxxxxxx přílohy č. 1 x xxxx vyhlášce x xxxxxxx xxxxxxxxx xx xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) identifikuje rizika, xxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxxxxx, xxxxxxx xxxxx xxxxxx xx xxxxxx, xxxxxxx xxxx xxxxxx minimálně x xxxxxxx xxxxx přílohy č. 2 x xxxx xxxxxxxx, xxxx a xxxxxxx xxxxxxxxxx rizika x xxxxxxxx zprávu x hodnocení xxxxx x xxxxx,
x) xxxxxxxx xx základě bezpečnostních xxxxxx x xxxxxxxx xxxxxxxxx xxxxx prohlášení x xxxxxxxxxxxxxxxx, které xxxxxxxx xxxxxxx vybraných x xxxxxxxxxx bezpečnostních xxxxxxxx,
x) xxxxxxxx x xxxxxx xxxx zvládání xxxxx, xxxxx obsahuje xxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx, určení xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x informační zdroje, xxxxxx xxxxxx xxxxxxxx x popis vazeb xxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxx bez xxxxxxxxxx xxxxxxx reaktivní x xxxxxxxx xxxxxxxx xxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx (dále xxx "Xxxx") x xxxxxxxxx xxxxx a v xxxxxxx, xx hodnocení xxxxx xxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx spojené x realizací xxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx rizik, xxxxxx xxxx zvládání xxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 písm. e) xxxxxx v rámci xxxxxx xxxxx
x) xxxxxxx xxxxxxxx pro identifikaci x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x hodnocení rizik xxxxxx xxxxxxxxx kritérií xxx přijatelnost rizik,
b) xxxxxxxxxxxx a xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxx, xxxxx patří xx xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx §8 xxxxxxxxx x xxxxxxx přílohy č. 1 x xxxx vyhlášce x xxxxxxx xxxxxxxxx xx xxxxxx x xxxxxxxxx xxxxx a xxxxx,
x) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx zohlední xxxxxx x xxxxxxxxxxxxx, xxxxxxx xxxxx xxxxxx xx xxxxxxxx xxxxxx, xxxxxxx xxxx rizika minimálně x xxxxxxx podle přílohy č. 2 x xxxx xxxxxxxx a xxxxxxxx xxxxxx o xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx potřeb x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx obsahuje přehled xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) zpracuje x zavede xxxx xxxxxxxx rizik, xxxxx xxxxxxxx cíle a xxxxxxx bezpečnostních xxxxxxxx xxx zvládání xxxxx, xxxxxx xxxxx zajišťující xxxxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxxx xxxxxx xxxxxxxx x xxxxx xxxxx xxxx xxxxxxxxxxxxxxxx xxxxxx x příslušnými xxxxxxxxxxxxxx opatřeními a
f) xxxxxxxx bez xxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxx xxxxxx Xxxxxx v hodnocení xxxxx a x xxxxxxx, že hodnocení xxxxx xxxxxxxxxxxxx x xxxx zranitelnosti xxxxxxx x xxxxxxxxx reaktivního xxxx ochranného opatření xxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx, xxxxxx xxxx xxxxxxxx xxxxx.
(3) Xxxxxx rizik xxxx xxx zajištěno x xxxxxx xxxxxxx, xxx xxx xx xxxxxxxxx x xxxxxxxxxx 1 x 2, xxxxx orgán a xxxxx uvedená x §3 xxxx. c) xx x) xxxxxx xxxxxxxxx, xx používá xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxxxx xxxxxx xxxxxx xxxxx.
(4) Xxxxx x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx xxx xxxxxxxxx xxxxx zvažuje zejména xxxx xxxxxx
x) xxxxxxxx xxxxxxxxxxxx politiky, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxx x administrátorů,
b) xxxxxxxxx nebo selhání xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
x) zneužití xxxxxxxx xxxxxxx osoby,
d) užívání xxxxxxxxxxxx xxxxxxxx x xxxxxxx s licenčními xxxxxxxxxx,
x) xxxxxxxxxxxx xxxx x xxxxxxxxxxx xxxx,
x) xxxxxxxx kód (xxxxxxxxx xxxx, xxxxxxx, trojské xxxx),
x) xxxxxxxxxx při xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) narušení xxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx poskytování xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxx xxxxxxxx hrozby x
x) xxxxxxxx xxxx xxxxxxxxx xxxxxx.
(5) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxx xxxxxxxxx xxxxx xxxxxxx zejména xxxx zranitelnosti
a) xxxxxxxxxxxx xxxxxxx vnějšího xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx povědomí xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxxxxx údržba xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx nastavení xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx xxx xxxxxxxxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx jevů, kybernetických xxxxxxxxxxxxxx událostí a xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx,
x) xxxxxxxxxxxx monitorování xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx x neschopnost xxxxxxx xxxxxx nevhodné xxxx xxxxxxx xxxxxxx chování x
x) xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxx nejednoznačné xxxxxxxx xxxx x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx.
(6) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxx xxxxxxxxx xxxxx xxxx zvažuje xxxx xxxxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, provedení xxxxxxxxxxxxx činností, zneužití xxxxxxxxx xx xxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx ze xxxxxx zaměstnanců,
c) xxxxxxxx xxxxxxxxx prostředků, xxxxxxx,
x) xxxxxxxxxx xxxxxxxxx poskytování xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx kybernetický xxxx pomocí xxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxx a
g) xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx nosičů xxx.
(7) Orgán a xxxxx uvedená x §3 písm. x) x d) xxxxxx xxx xxxxxxxxx rizik xxxx xxxxxxx xxxx xxxxxxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) nevhodná xxxxxxxxxxxx xxxxxxxxxxxx,
x) xxxxxxxxxxxx míra xxxxxxxxx kontroly a
d) xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxxx.
§5
Bezpečnostní xxxxxxxx
(1) Orgán x osoba uvedená x §3 písm. x) a x) xxxxxx stanoví xxxxxxxxxxxx xxxxxxxx v oblastech
a) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) organizační xxxxxxxxxx,
x) xxxxxx xxxxxx x xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxxx,
x) řízení přístupu,
h) xxxxxxxx xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x xxxxxx,
x) xxxxxxxx xxxxxxxxx x xxxxxx informací,
k) xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx,
x) bezpečné xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx a xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x informací,
n) xxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx,
x) fyzická xxxxxxxxxx,
x) xxxxxxxxxx komunikační xxxx,
x) xxxxxxx před xxxxxxxxx xxxxx,
x) xxxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx x xxxxxx nástroje xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x
x) používání xxxxxxxxxxxxxx xxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x oblastech
a) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx bezpečnost,
c) xxxxxx xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) bezpečnost lidských xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxxx,
x) řízení xxxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x xxxxxx,
x) xxxxxxxxxxx x xxxxxxxx licencí programového xxxxxxxx x xxxxxxxxx,
x) xxxxxxx osobních xxxxx,
x) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxx xxxxxxxxx xxxxx x
x) nasazení x xxxxxxxxx nástroje xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx x xxxxx uvedená x §3 písm. x) až x) xxxxxx xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xx.
§6
Xxxxxxxxxxx bezpečnost
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) až e) xxxxxx zavede xxxxxxxxxx xxxxxx xxxxxxxxxxx informací, x xxxxx xxxxx xxxx výbor xxx xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxx xxxx x jejich xxxxx x xxxxxxxxxx související x informačním systémem xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury nebo xxxxxxxxx informačním systémem.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx xxxxxxxxxxxx xxxx
x) xxxxxxx xxxxxxxxxxxx bezpečnosti,
b) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx a
d) xxxxxx xxxxxx podle §2 xxxx. m).
(3) Xxxxx x xxxxx xxxxxxx v §3 xxxx. e) určí xxxxxxxxxxxx role xxxxxxxxx xxxxx odstavce 2.
(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx, odpovědná xx systém xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xx pro xxxx xxxxxxx xxxxxxxxx x xxxxxxx odbornou xxxxxxxxxxx xxxxx s xxxxxxx xxxxxxxxxxx informací xx xxxx xxxxxxx tří xxx.
(5) Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx osoba xxxxxxxxxxx xxxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx opatření, xxxxx je xxx xxxx xxxxxxx xxxxxxxxx x prokáže odbornou xxxxxxxxxxx praxí x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xx dobu xxxxxxx xxx xxx.
(6) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx provádějící audit xxxxxxxxxxxx xxxxxxxxxxx, která xx pro tuto xxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx s xxxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx xx dobu nejméně xxx xxx. Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xxxx nestranně x výkon xxxx xxxx je oddělen xx xxxxxx xxxx xxxxxxxxx x xxxxxxxx 2 písm. x), x) xxxx x).
(7) Xxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx, xxxxx xxxx xxxxxxxx xxxxxxxx xxxxxxx x rozvojem xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx, xxxxx xx xxxxxxxx xxxxxxxx xx xxxxxx x koordinaci xxxxxxxx spojených x xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx.
(8) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxxxx xxxxxxx školení xxxx, xxxxx zastávají xxxxxxxxxxxx xxxx x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 odst. 1 xxxx. x).
§7
Stanovení xxxxxxxxxxxxxx xxxxxxxxx xxx dodavatele
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až e) xxxxxx xxxxxx xxxxxxxx xxx xxxxxxxxxx, xxxxx xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, x xxxxxxxx je x xxxxxxxxxx nebo jiných xxxx, xxxxx se xxxxxxxx xx xxxxxxx, xxxxxxx nebo xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury nebo xxxxxxxxxx informačního xxxxxxx. Xxxxxx zapojení xxxxxxxxxx xx rozvoji, xxxxxxx xxxx zajištění xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx systému xxxxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxx xxxxxxx v §3 xxxx. c) xx x) xxxxxx xxxxxxxx, xxxxx xxxxxxxx xx ustanovení x xxxxxxxxxxx xxxxxxxxx.
(2) Orgán x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx u xxxxxxxxxx xxxxxxxxx x xxxxxxxx 1 xxxx
x) xxxx xxxxxxxxx smlouvy xxxxxxx xxxxxxxxx xxxxx podle přílohy č. 2 k xxxx xxxxxxxx, xxxxx jsou xxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) uzavírá smlouvu x úrovni xxxxxx, xxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxx vztah vzájemné xxxxxxx xxxxxxxxxxxx xx xxxxxxxx x kontrolu xxxxxxxxxxxxxx xxxxxxxx, x
x) xxxxxxx pravidelné hodnocení xxxxx a xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxx nebo xx xxxxxx x xxxxxxxxxxx xxxxxxx jejich xxxxxxxxxx.
§8
Xxxxxx xxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx x rámci xxxxxx aktiv
a) identifikuje x xxxxxxx primární xxxxxx,
x) určí xxxxxxx xxxxx, kteří xxxx xxxxxxxxx xx xxxxxxxx xxxxxx, x
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxx x hlediska xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x zařadí xx xx xxxxxxxxxxxx xxxxxx xxxxxxxxx x rozsahu xxxxx přílohy č. 1 x xxxx vyhlášce.
(2) Xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx xx xxxxx xxxxxxxxx xxxxxxxx
x) xxxxxx x xxxxxxxxxx xxxxxxxx xxxxx nebo obchodního xxxxxxxxx,
x) rozsah xxxxxxxxx xxxxxxxx xxxxxxxxxx nebo xxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, obchodních xxxx xxxxxxxxxxxx zájmů,
e) xxxxx xxxxxxxx ztráty,
f) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx orgánu x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxx důvěrnosti, integrity x xxxxxxxxxxx x
x) xxxxxx xx xxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx dobré pověsti.
(3) Xxxxx x osoba xxxxxxx x §3 xxxx. c) x x) xxxxxx xxxx
x) xxxxxxxxxxxx a xxxxxxx xxxxxxxx aktiva,
b) xxxx xxxxxxx xxxxx, kteří xxxx xxxxxxxxx xx xxxxxxxx aktiva, x
x) xxxx xxxxx xxxx xxxxxxxxxx x podpůrnými xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxx mezi xxxxxxxxxx a xxxxxxxxxx xxxxxx.
(4) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxx
x) xxxxxxx xxxxxxxx xxxxxxx, xxxxx xxx xxxxxxxxxxx xxxxxxxxxxxx úrovní xxxxx xxx, xx
1. xxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx aktiv,
2. xxxxxxx xxxxxxxx xxx xxxxxxxxxx x evidenci x aktivy podle xxxxxx aktiv, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxxx xxxxx x
3. xxxxxxx přípustné xxxxxxx používání xxxxx,
x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx úrovni aktiv x
x) xxxx xxxxxxx xxx xxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx xxx s xxxxxxx xx xxxxxx xxxxx.
§9
Xxxxxxxxxx xxxxxxxx xxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx v xxxxx řízení xxxxxxxxxxx xxxxxxxx xxxxxx
x) xxxxxxx xxxx xxxxxxx bezpečnostního xxxxxxxx, xxxxx xxxxxxxx xxxxx, xxxxx a xxxxxx xxxxxxxxxx xxxxxxx x určí xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx jsou x xxxxx xxxxxxx,
x) x xxxxxxx s xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxx xxxxxxxxxxxx a x xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) zajistí xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx politiky xx strany xxxxxxxxx, xxxxxxxxxxxxxx a osob xxxxxxxxxxxxx bezpečnostní xxxx x
x) xxxxxxx xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx přístupových xxxxxxxxx xxx ukončení xxxxxxxxx xxxxxx x uživateli, xxxxxxxxxxxxxx xxxx osobami xxxxxxxxxxxxx bezpečnostní role.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxx x xxxxxxx podle xxxxxxxx 1 xxxxxxxx, xxxxx obsahují xxxxxxx xxxxxxx a xxxxxx xxxx, které xxxxxxx xxxxxxxxxxx.
(3) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) stanoví xxxxxxxx xxx xxxxxx xxxx, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx role, xxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx plánu xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxxxxx školení x xxxxxxx činností spojených x prohlubováním xxxxxxxxxxxxxx xxxxxxxx,
x) určí xxxxxxxx x xxxxxxx pro xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx pravidel xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) zajistí změnu xxxxxxxxxxxx xxxxxxxxx při xxxxx xxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx nebo xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
§10
Řízení provozu x xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) zákona x rámci xxxxxx xxxxxxx x xxxxxxxxxx xxxxxx technických nástrojů xxxxxxxxx x §21 xx 23 xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxx x xx xxxxxxxx nedostatky xxxxxxx x souladu x §13.
(2) Orgán x xxxxx uvedená v §3 xxxx. c) xx x) xxxxxx x rámci xxxxxx xxxxxxx x xxxxxxxxxx xxxx xxxxxxxxx bezpečný xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xx tímto účelem xxxxxxx provozní pravidla x xxxxxxx.
(3) Provozní xxxxxxxx x xxxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. c) x x) zákona xxxxxxxx
x) xxxxx x xxxxxxxxxx xxxx xxxxxxxxxxxxx bezpečnostní xxxx, xxxxxxxxxxxxxx a xxxxxxxxx,
x) postupy xxx xxxxxxxx a xxxxxxxx xxxxx xxxxxxx, pro xxxxxxx nebo obnovení xxxxx xxxxxxx po xxxxxxx x xxx xxxxxxxx xxxxxxxxx xxxxx xxxx mimořádných jevů,
c) xxxxxxx pro xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxx xxxxxxx xxxxxxxx x záznamům x těchto xxxxxxxxxx,
x) xxxxxxx na kontaktní xxxxx, které xxxx xxxxxx xxxx xxxxxxx xxx řešení neočekávaných xxxxxxxxxxx xxxx technických xxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxx x
x) xxxxxxx xxx sledování, xxxxxxxxx x xxxxxx xxxxxxxx xxxxxxxx a technických xxxxxx.
(4) Řízení provozu xxxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx záloh.
(5) Xxxxxx xxxxxxx xxxxxx x osoby xxxxxxx x §3 písm. x) a x) xxxxxx xxxxxxx x
x) xxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx x produkčního xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx xxx, xx xxxxx x osoba uvedená x §3 písm. x) x x) xxxxxx
1. posoudí očekávané xxxxxx reaktivního opatření xx xxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xx zavedená xxxxxxxxxxxx xxxxxxxx, vyhodnotí xxxxx xxxxxxxxx účinky x bez zbytečného xxxxxxx xx oznámí Xxxxx x
2. xxxxxxx xxxxxx rychlého provedení xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxx, x xxxx xxxxxx plán xxxx xxxxxxxxx.
(6) Xxxxx a xxxxx uvedená v §3 xxxx. x) x x) xxxxxx x rámci xxxxxx xxxxxxxxxx
x) zajišťuje xxxxxxxxxx x xxxxxxxxx komunikačních xxxx a xxxxxxxxxx xxxxxxxxxxxxx služeb podle §17,
x) xxxx xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxxxxx, xxxxx xxxx přenášeny komunikačními xxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxx informací xx xxxxxxx pravidel xxxxxxxxxxx xxxxxxxx xxxxxxxx xx xxxxxxxxxx zajištění xxxxxxxxxxx informací x xxxx xxxxxxxx dokumentuje x
x) s ohledem xx xxxxxxxxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxx xx xxxxxxx písemných xxxxx, xxxxxxx xxxxxxxx je xxxxxxxxxx o bezpečnosti xxxxxxxxx.
§11
Xxxxxx xxxxxxxx a xxxxxxxx xxxxxxx xxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) zákona xx xxxxxxx provozních a xxxxxxxxxxxxxx potřeb xxxx xxxxxxx k informačnímu xxxxxxx kritické informační xxxxxxxxxxxxxx, komunikačnímu xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxx informačnímu xxxxxxx x xxxxxxx xxxxxxx xxxxxxxxx jednoznačný xxxxxxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxx xxxxxxxx, která xxxxxx k zajištění xxxxxxx xxxxx, které xxxx xxxxxxxxx xxx xxxxxxxxxx uživatelů a xxxxxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx informačního xxxxxxx xxxxx §18 x 19, x xxxxx xxxxx xx xxxxxxxx xxxxxx xxxxx neoprávněnou xxxxxx.
(3) Xxxxx a xxxxx uvedená x §3 xxxx. c) x x) xxxxxx xxxx x rámci xxxxxx xxxxxxxx
x) xxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx,
x) omezí přidělování xxxxxxxxxxxxxxxxxx oprávnění,
c) xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx x souladu x xxxxxxxxx xxxxxx xxxxxxxx,
x) provádí pravidelné xxxxxxxxxxx xxxxxxxxx přístupových xxxxxxxxx včetně xxxxxxxxx xxxxxxxxxxxx uživatelů x xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxx,
x) xxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx §18 x xxxxxxx xxx xxxxxx přístupových oprávnění xxxxx §19 x
x) xxxxxx xxxxxxxxxxxx opatření xxxxxxxx pro xxxxxxxx xxxxxxxxx mobilních xxxxxxxx, xxxxxxxx i xxxxxxxxxxxx xxxxxxxx spojená x xxxxxxxx xxxxxxxxxxx zařízení, xxxxxxx orgán a xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxxxxxx.
§12
Akvizice, xxxxx x xxxxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 písm. x) xx e) zákona xxxxxxx xxxxxxxxxxxx požadavky xx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx xxxxxxx s xxxxxx xxxxxxxx, vývojem x xxxxxxx a xxxxxx xx xx xxxxxxxx akvizice, vývoje x xxxxxx systému.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx dále
a) xxxxxxxxxxxx, xxxxxxx x xxxx rizika xxxxxxxxxxx x xxxxxxxx, vývojem x údržbou informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx; xxx postupy xxxxxxxxx x řízení xxxxx xx metodiky xxxxx §4 xxxx. 1 xxxx. x) xxxxxxx obdobně,
b) xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx xxxxxxxxxxx testovacích dat x
x) xxxxxxx bezpečnostní xxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxx xxxxxxxxx xx xxxxxxx.
§13
Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až e) xxxxxx xxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx, xxxxx xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačního xxxxxxx ze xxxxxx xxxxxxxxx, administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x x xxxxxxxxxx vede xxxxxxx,
x) xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxx oznámených xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx technickými nástroji xxxxx §21 xx 23, provádí xxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx incidenty,
c) xxxxxxx klasifikaci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, přijímá xxxxxxxx xxx odvrácení x xxxxxxxx dopadu xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §32 x xxxxxxx xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx a xxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx, vyhodnotí účinnost xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x na xxxxxxx vyhodnocení xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx x
x) dokumentuje xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
§14
Řízení xxxxxxxxxx xxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxx xxxxxx kontinuity xxxxxxxx xxxxxxx
x) xxxxx x xxxxxxxxxx xxxxxxx xxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) cíle xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx úrovně xxxxxxxxxxxxx xxxxxx, xxxxx xx přijatelná xxx xxxxxxx, xxxxxx a xxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
2. xxxx xxxxxxxx xxxxx, xxxxx xxxxx bude xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx minimální xxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému, x
3. xxxx xxxxxxxx dat xxxx xxxxxxx, xx xxxxxxx xxxxx obnovena xxxx po kybernetickém xxxxxxxxxxxxx xxxxxxxxx, x
x) xxxxxxxxx řízení xxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx b).
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx dále
a) xxxxxxxxx x dokumentuje možné xxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxx xxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxxx,
x) xxxxxxx, aktualizuje x xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx xxx xxxxxxxxxxx xxxxxx dostupnosti xxxxx §26 a
d) xxxxxxx x aktualizuje xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx xxxxx §13 x 14 xxxxxx, ve xxxxxxx xxxxxxxx
1. xxxxxxxx hodnocení xxxxx provedení opatření,
2. xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
3. xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx dopadů xx xxxxxx a xxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.
§15
Kontrola x xxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxx informačních xxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. c) xx x) xxxxxx x xxxxx kontroly x auditu kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systémů (xxxx xxx "audit xxxxxxxxxxxx xxxxxxxxxxx")
x) xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx x právními předpisy, xxxxxxxxx předpisy, xxxxxx xxxxxxxx a xxxxxxxxx xxxxxxx xxxxxxxxxxxx se x xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxx xxxxxxxx xxx xxxx prosazování x
x) provádí a xxxxxxxxxxx xxxxxxxxxx kontroly xxxxxxxxxx bezpečnostní politiky x výsledky xxxxxx xxxxxxx xxxxxxxx x xxxxx xxxxxxx bezpečnostního xxxxxxxx x xxxxx xxxxxxxx rizik.
(2) Orgán x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx zajišťuje provedení xxxxxx xxxxxxxxxxxx bezpečnosti xxxxxx s xxxxxxxx xxxxxxxxxxx xxxxx §6 xxxx. 6, xxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxx bezpečnostních xxxxxxxx.
(3) Xxxxx x xxxxx uvedená x §3 xxxx. c) x x) xxxxxx xxxx xxx xxxxxxxxxx xxxxxx kritické informační xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxx x jejich xxxxxxx xxxxxxxxxxx a reaguje xx xxxxxxxx zranitelnosti.
HLAVA II
TECHNICKÁ XXXXXXXX
§16
Xxxxxxx xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. c) xx x) zákona x xxxxx xxxxxxx xxxxxxxxxxx
x) přijme nezbytná xxxxxxxx k xxxxxxxx xxxxxxxxxxxxx xxxxxx xx xxxxxxxxxx prostor, xxx xxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx systému,
b) xxxxxx nezbytná xxxxxxxx x xxxxxxxx xxxxxxxxx x xxxxxxx do xxxxxxxxxx prostor, xxx xxxx xxxxxxxx informace x xxxxxxxx xxxxxxxxx xxxxxx informačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x
x) předchází xxxxxxxxx, xxxxxxx nebo xxxxxxxx xxxxx nebo xxxxxxxxx xxxxxxxxxxx služeb informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) x d) xxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxx xxxxxxxxx xxxxxxx xx xxxxxx xxxxxxx a
b) xxx xxxxxxxxx ochrany x xxxxx xxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxx prostor, xx xxxxxxx xxxx xxxxxxxx xxxxxxxxx aktiva xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo komunikačního xxxxxxx kritické informační xxxxxxxxxxxxxx.
(3) Xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxx
x) xxxxxxxxxx zábranné xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx zabezpečovací xxxxxxxxxxx,
x) xxxxxxxxxx omezující xxxxxxxx požárů,
d) prostředky xxxxxxxxx xxxxxxxx projevů xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxx xxxxxxxx xxxxxx,
x) xxxxxxxx xxxxxxx,
x) xxxxxxxx xxx zajištění ochrany xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx a
h) xxxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxx.
§17
Nástroj xxx ochranu xxxxxxxxx xxxxxxxxxxxxx xxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) až x) zákona xxx xxxxxxx xxxxxxxxx xxxxxxxx xxxxxx komunikační sítě, xxxxx xxxx pod xxxxxxx xxxxxx nebo xxxxx, x xxxxxxx xxxxxxxxxxx xxxx, která xx xxx správou xxxxxx xxxx osoby, xxxxxx
x) xxxxxx xxxxxxxxxx xxxxxxxx mezi vnější x vnitřní xxxx,
x) xxxxxxxxxx xxxxxxx použitím xxxxxxxxxxxxxxxxxx xxx xxxx xxxxxxxxxxx xxxx xxxx xxxxxxxxxxx xx xxxxxxx xxxxxxxxxxx xxxxxxxx dostupných x vnější xxxx x x zamezení xxxxx komunikace xxxxxxx xxxx s xxxxxx xxxx,
x) xxxxxxxxxxxxxx prostředky (§25) xxx xxxxxxxx xxxxxxx, vzdálenou xxxxxx xxxx pro přístup xxxxxx bezdrátových xxxxxxxxxxx x
x) xxxxxxxx pro xxxxxxxxxx xxxx blokování xxxxxxxxxxx xxx, xxxxx xxxxxxxxxxxx požadavkům na xxxxxxx integrity komunikační xxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 písm. x) x x) xxxxxx xxxx xxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxx komunikační sítě, xxxxx xxxxxxx xxxx xxxxxxxxxx.
§18
Xxxxxxx pro ověřování xxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx používá xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a významného xxxxxxxxxxxx systému.
(2) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx x administrátorů xxxxxxxxx xxxxxxx identity xxxxxxxxx x xxxxxxxxxxxxxx xxxx xxxxxxxxx jejich xxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačním systému xxxxxxxx xxxxxxxxxx infrastruktury x významném xxxxxxxxxxx xxxxxxx.
(3) Nástroj xxx xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxx xxxxxxx xxxxxxxxxxx xxxxx xxxxxx, zajišťuje
a) xxxxxxxxx xxxxx xxxxx xxx znaků,
b) minimální xxxxxxxxx xxxxx xxx, xx xxxxx xxxx xxxxxxxxx alespoň 3 x xxxxxxxxxxxxx xxxx xxxxxxxxx
1. xxxxxxx xxxxx xxxxx xxxxxxx,
2. xxxxxxx xxxxx xxxx xxxxxxx,
3. xxxxxxx jednu xxxxxxx, xxxx
4. nejméně jeden xxxxxxxxx xxxx odlišný xx požadavků xxxxxxxxx x xxxxxx 1 xx 3,
x) maximální xxxx xxx xxxxxxxx xxxxxx hesla nepřesahující xxx xxx; xxxxx xxxxxxxxx xxxx vyžadován xxx xxxxxxxxxx identifikátory xxxxxxxx.
(4) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxx, xxxxx
1. zamezí xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxx x xxxxxxxx xxxx xxxx xxxxx xxxxxxx xxxxxxxxx během xxxxxxxxxxx období, xxxxx xxxx xxx xxxxxxx 24 xxxxx, x
2. xxxxxxx opětovné ověření xxxxxxxx po xxxxxx xxxx xxxxxxxxxx a
b) xxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx. X případě, že xxxxx xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxx znaků xxx xxxxxxxx požadavků xxxxx xxxxxxxx 3 xxxx. b) x x).
(5) Nástroj xxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxx xxx xxxxxxxx x jinými způsoby, xxx xxxx xxxx xxxxxxxxx x xxxxxxxxxx 3 xx 5, xxxxx xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxxxxxxx, že xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxxxx xxxxxx xxxxxxxxx xxxxx.
§19
Xxxxxxx pro řízení xxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx xxxxxx oprávnění
a) pro xxxxxxx k xxxxxxxxxxx xxxxxxxxx x datům x
x) xxx xxxxx xxx, xxx xxxxx xxx a xxx xxxxx xxxxxxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx xxxxxxx xxxxxxx pro řízení xxxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxxxxx xxxxxxx přístupových xxxxxxxxx x xxxxxxx x xxxxxxxxxxxxxx potřebami x xxxxxxxx xxxxxxxxx xxxxx.
§20
Xxxxxxx xxx xxxxxxx xxxx xxxxxxxxx kódem
Orgán x osoba xxxxxxx x §3 xxxx. x) až x) xxxxxx pro řízení xxxxx spojených x xxxxxxxxx škodlivého xxxx xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx, xxxxx xxxxxxx ověření x xxxxxx kontrolu
a) xxxxxxxxxx mezi vnitřní xxxx a vnější xxxx,
x) xxxxxxx x xxxxxxxxx datových xxxxxxx x
x) pracovních xxxxxx,
xxxxxxx xxxxxxx pravidelnou x xxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxx před xxxxxxxxx xxxxx, xxxx xxxxxxx x xxxxxxxx.
§21
Nástroj xxx zaznamenávání xxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x významných xxxxxxxxxxxx xxxxxxx, jejich xxxxxxxxx x administrátorů
(1) Xxxxx a osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxx
x) xxxx xxxxxxxxx o provozních x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx typ činnosti, xxxxx x xxx, xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, xxxxx xxxxxxx zaznamenalo, xxxxxxxxxxxx xxxxxxx a xxxxx činnosti x xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx x
x) ochranu xxxxxxxxx informací xxxx xxxxxxxxxxxx čtením xxxx xxxxxx.
(2) Orgán a xxxxx xxxxxxx x §3 písm. c) xx x) xxxxxx xxxx pomocí xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxxxxxx a xxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxx xx xxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x xxxxxxxx nedostatku xxxxxxxxxxxx xxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxx x ukončení xxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxx xxxx xxxxxxx xxxxxxx technických xxxxx,
x) xxxxxxxx x záznamům x xxxxxxxxxx, xxxxxx x manipulaci se xxxxxxx x činnostech x změny xxxxxxxxx xxxxxxxx pro xxxxxxxxxxxxx xxxxxxxx x
x) použití xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxx xxxxxx xxxxx xxxxx, které xxxxxx x xxxxxxxxxx.
(3) Xxxxx x xxxxx uvedená x §3 xxxx. x) a x) xxxxxx záznamy xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 2 uchovává nejméně xx xxxx 3 xxxxxx.
(4) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxxxx xxxxxxx xxxxxx xx 24 hodin xxxxxxxxxxxxx jednotného xxxxxxxxxxx xxxx xxxxxxxxxxx aktiv xxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx.
§22
Xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona používá xxxxxxx pro detekci xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxxxx vychází xx xxxxxxxxxxx xxxxxxxxxxxxxx potřeb x xxxxxxxx hodnocení xxxxx x xxxxx xxxxxxx xxxxxxx, xxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxx mezi xxxxxxx xxxxxxxxxxx xxxx x xxxxxx sítí.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx dále xxxxxxx xxxxxxx pro detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxxxx zajistí xxxxxxx, xxxxxxxx x případně xxxxxxxxxxx komunikace
a) x xxxxx xxxxxxx komunikační xxxx a
b) xxxxxxx xxxxxxxxx xx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.
§23
Xxxxxxx xxx xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxxxxx xxxxxxx xxx xxxx x xxxxxxxx vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx x souladu x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx hodnocení xxxxx xxxxxxx
x) xxxxxxxxxxx sběr x vyhodnocení kybernetických xxxxxxxxxxxxxx xxxxxxxx z xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) poskytování xxxxxxxxx pro xxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxx kybernetických bezpečnostních xxxxxxxxxx x xxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx xxxx x xxxxxxxxxx xxxxxxxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx s xxxxx identifikace xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx zajistí
a) xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx vyhodnocování xxxxxxxxxxxxxx bezpečnostních událostí x xxxxxx varování, xxx xxxx xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxx xxxxxxx xxxxxxxxx varování, a
b) xxxxxxxxx informací, které xxxx připraveny xxxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§24
Xxxxxxxxx xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx bezpečnostní xxxxx xxxxxxxxxxxxx aplikací, xxxxx xxxx xxxxxxxxx x vnější sítě, x xx před xxxxxx xxxxxxxx xx xxxxxxx x po xxxxx xxxxxxx xxxxx xxxxxxxxxxxxxx xxxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx dále x xxxxx aplikační bezpečnosti xxxxxxx xxxxxxx xxxxxxx
x) xxxxxxxx x xxxxxxxxx xxxxxxxxxx z vnější xxxx xxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxxxxxxx xxxx xxxxxxxxxxxxxxx xxxxxx x
x) xxxxxxxxx xxxx jejich xxxxxxxxxxxx, xxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx, kompromitací, xxxxxxxxxxxxxxx duplikováním xxxx xxxxxxxxxx.
§25
Kryptografické xxxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 písm. x) až e) xxxxxx
x) pro xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxx
1. xxxxxx xxxxxxx s xxxxxxx na xxx x xxxx kryptografického xxxxxxxxx x
2. xxxxxxxx xxxxxxxxxxxxxx ochrany xxxxxxxxx xxx přenosu xx xxxxxxxxxxxxx sítích xxxx xxx xxxxxxx xx xxxxxxx zařízení xxxx xxxxxxxxxxx technické xxxxxx xxx a
b) v xxxxxxx s xxxxxxxxxxxxxx xxxxxxxxx x výsledky xxxxxxxxx xxxxx používá xxxxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx ochranu xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxx dat x průkaznou xxxxxxxxxxxx xxxxx za xxxxxxxxx xxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) zákona xxxx
x) xxxxxxx pro xxxxxxxxx xxxxxxxxxxxxxxxx prostředků xxxxxx xxxxxx xxxxx, xxxxx xxxxxxx xxxxxxxxxx, xxxxxxxxxx, xxxxxxxx, archivaci, xxxxx, ničení, xxxxxxxx x xxxxx klíčů, x
x) používá odolné xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx xxxxx; v xxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxx na xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxx x příloze č. 3 k xxxx xxxxxxxx řídí xxxxxx xxxxxxx s xxxxx nesouladem.
§26
Nástroj xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx x xxxxxxx x xxxxxxxxxxxxxx potřebami x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxx zajišťování xxxxxx xxxxxxxxxxx informací.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) a d) xxxxxx používá xxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, který xxxxxxx
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxx xxxxxxx xxxx řízení xxxxxxxxxx xxxxxxxx,
x) odolnost xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx vůči xxxxxxxxxxxxx xxxxxxxxxxxxx incidentům, xxxxx xx xxxxx xxxxxx xxxxxxxxxx, a
c) xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury
1. xxxxxxxx xxxxxxxxxx x xxxxxx xxxxxx x
2. xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxx xxxx.
§27
Xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx systémů
Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx systémů, xxxxx jsou xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxx xxxxxx součástí, xxxxxxx xxxxxxxx, xxxxx zajistí
a) xxxxxxx xxxxxxxxx xxxxxxxx x xxxx x xxxxxxxxx xxxxxxxxxxxx a xxxxxxxx systémů,
b) omezení xxxxxxxxx x xxxxxxxxxx xxxxxxxx x síti xxxxxxxxxxxx x xxxxxxxx xxxxxxx,
x) xxxxxxx jednotlivých xxxxxxxxxxx xxxxx průmyslových x řídicích systémů xxxx xxxxxxxx známých xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu.
HLAVA XXX
XXXXXXXXXXXX XXXXXXXXXXX
§28
Xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx v §3 písm. x) x x) xxxxxx xxxx a xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxx xxxxx §5 xxxx. 1,
x) zprávy z xxxxxx xxxxxxxxxxxx bezpečnosti xxxxx §3 odst. 1 xxxx. x),
x) xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx podle §3 xxxx. 1 xxxx. x),
x) xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxx xxxxx x pro xxxxxxxxxxxx a xxxxxxxxx xxxxx,
x) zprávu x xxxxxxxxx xxxxx a xxxxx,
x) xxxxxxxxxx x xxxxxxxxxxxxxxxx,
x) xxxx xxxxxxxx xxxxx,
x) xxxx xxxxxxx xxxxxxxxxxxxxx povědomí xxxxx §9 xxxx. 1 xxxx. a),
i) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. x),
x) xxxxxxxxx xxxxxx xxxxxxxxxx činností xxxxx §14 odst. 1 xxxx. c) a
k) xxxxxxx právních xxxxxxxx, xxxxxxxxx xxxxxxxx a xxxxxx předpisů x xxxxxxxxx xxxxxxx xxxxx §15 xxxx. 1 xxxx. a).
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxx x aktualizuje bezpečnostní xxxxxxxxxxx, která obsahuje
a) xxxxxxxxxxxx politiku xxxxx §5 xxxx. 2,
x) xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx rizik xxxxx §4 xxxx. 2 písm. a),
c) xxxxxx x xxxxxxxxx xxxxx x xxxxx xxxxx §4 odst. 2 písm. x) x x),
x) xxxxxxxxxx x xxxxxxxxxxxxxxxx podle §4 xxxx. 2 xxxx. x),
x) plán xxxxxxxx xxxxx xxxxx §4 odst. 2 xxxx. e),
f) xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 odst. 1 xxxx. a),
g) xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. e),
h) strategii xxxxxx xxxxxxxxxx xxxxxxxx xxxxx §14 xxxx. 1 písm. x) x
x) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxx §15 xxxx. 1 xxxx. a).
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxx xxxxxxxxxxxx xxxxxxxxxxx tak, xxx záznamy x xxxxxxxxxxx činnostech xxxx xxxxx, čitelné, xxxxxx xxxxxxxxxxxxxxxxx x xxx xx xxxx snadno xxxxxxxx. Xxxxxxxx xxxxxxxx x identifikaci, uložení, xxxxxxx, xxxxxxxxx, xxxx xxxxxxxxx a xxxxxxxxxx xxxxxxx o xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx.
(4) Doporučená xxxxxxxxx xxxxxxxxxxxx dokumentace xx xxxxxxxxx x příloze č. 4 x této xxxxxxxx.
§29
Prokázání certifikace
Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx, xxxxx xxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx systém xx zcela xxxxxxx xx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, xxxxx xxx certifikován xxxxx příslušné xxxxxxxxx xxxxx1) xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx, x xxxxx xxxx dokumenty obsahující
a) xxxxx rozsahu xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxxx politiky x xxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) popis xxxxxxx xxxxxx xxxxxxxxx xxxxx x xxxxxx x hodnocení rizik,
d) xxxxxxxxxx o aplikovatelnosti,
e) xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx splňující xxxxxxxxx příslušné technické xxxxx zabývající se xxxxxxxxxxx xxxxxxxxx1),
x) xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxx x
x) xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxx příslušných xxxxxxx o xxxxxxx xxxxxxxxxx neshod x xxxxxxxxxx normou,
splňuje xxxxxxxxx xx zavedení xxxxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx x xxxx xxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX
§30
Xxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Xxxxx příčiny xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx typů
a) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobený xxxxxxxxxxxxx xxxxxx nebo xxxxx xxxxxxxx xxxxxxx x průniku do xxxxxxx nebo k xxxxxxx dostupnosti xxxxxx,
x) xxxxxxxxxxxx bezpečnostní incident xxxxxxxxx xxxxxxxxx kódem,
c) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx překonáním technických xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx porušením xxxxxxxxxxxxx xxxxxxxx,
x) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxx xxxxxx x
x) xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx.
(2) Podle xxxxxx xxxx kybernetické xxxxxxxxxxxx xxxxxxxxx rozděleny xx xxxxxxxxxxxxx typů
a) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx kombinaci xxxxxx xxxxxxxxx v písmenech x) až x).
§31
Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxx potřeby xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xx xxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx dělí do xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx xxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho xxxxxx xxxxxxxx neprodlené xxxxxx xxxxxxx x xxx, xx xxxx xxx xxxxx dostupnými xxxxxxxxxx xxxxxxxxx xxxxxxx šíření xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx vzniklých x xxxxxxxxxxxxx škod.
b) Xxxxxxxxx XX - xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx narušena xxxxxxxxxx xxxxxxxxxxxxx služeb xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx zásahy xxxxxxx x xxx, xx musí xxx xxxxxxxx xxxxxxxxxx zabráněno xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx škod.
c) Kategorie X - xxxx xxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xxxxxxx k xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx služeb xxxx xxxxx. Xxxx řešení xxxxxxxx xxxxxx obsluhy x xxx, xx xxxx xxx vhodnými xxxxxxxxxx xxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xxxxx xxxxxxxx 1 zohlední
a) důležitost xxxxxxxxx aktiv xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx na xxxxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx informační infrastruktury, xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) dopady na xxxxxx xxxxxxxxxxx jinými xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, nebo významnými xxxxxxxxxxxx xxxxxxx x
x) xxxxxxxxxxxxx xxxxx x xxxxx dopady.
§32
Xxxxx a xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx
x) x elektronické xxxxxx xxxxxxxxxxxxxxx
1. xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
2. xxxxxx xx xxxxxx xxxxxxxxxxxx pošty Xxxxx xxxxxx xxx xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxxxxxx na xxxxxxxxxxxxx stránkách Xxxxx,
3. xxxxxx xxxxxx xx xxxxxx xxxxxxxx Xxxxx, xxxx
4. prostřednictvím xxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xxxxx je zveřejněn xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx, xxxxx
x) x xxxxxxxx podobě xx xxxxxx Národního xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxx xx internetových xxxxxxxxx Xxxxx.
(2) Xxxxxxx v xxxxxxxx xxxxxx se xxxxxx xxxxx x xxxxxxxxx, xxx xxxxx xxxxxx xxxxx ze xxxxxxx xxxxxxxxx v xxxxxxxx 1 písm. x).
(3) Xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx v příloze č. 5 k xxxx xxxxxxxx.
ČÁST XXXXXX
XXXXXXXXX XXXXXXXX X XXXXXXXXX XXXXX
§33
Xxxxxxxxx xxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx oznámí xxxxxxxxx xxxxxxxxxxx xxxxxxxx x jeho xxxxxxxx xx xxxxxxxxx, xxxxx xxxx xx xxxxxx x příloze č. 6 k xxxx vyhlášce.
§34
Xxxxxxxxx údaje
Orgán x xxxxx xxxxxxx x §3 zákona xxxxxxxx xxxxxxxxx xxxxx xx xxxxxxxxx, xxxxx vzor xx xxxxxx x příloze č. 7 x této xxxxxxxx. Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxxxxxx kontaktní xxxxx xxxxxx uvedenou x §32 xxxx. 1 xxxx. a).
ČÁST XXXX
XXXXXXXX
§35
Xxxx xxxxxxxx xxxxxx účinnosti xxxx 1. ledna 2015.
Ředitel:
Ing. Xxxxxxxx v. x.
Xxxxxxx x. 1 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxxx x xxxxxx důležitosti xxxxx
Xxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxx použity xxxxxxxx x čtyřech úrovních. Xxxxx xxxx xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona xxxx xxxxxxxx xxxxxxx počet xxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxx xxxx xx xxxxxx x xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx vazby xxxx xx xxxxxxxxxx xxxxxxxx hodnocení důležitosti xxxxx x xxxxxxxxxx x úrovněmi xxx xxxxxxxxx důležitosti aktiv, xxxxx xxxx uvedeny x xxxx xxxxxxx.
X xxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxx důležitosti xxxxx xx xxxxxxxxx xxxxxxx xxx xxxxxx xxxxx a xxxxxxx, xxxx xxxxxx xxxxxx x xxxxxxxx.
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxx jsou xxxxxxx xxxxxxxxx xxxx xxxx xxxxxx xx xxxxxxxxxx (xxxx. xx xxxxxxx zákona č. 106/1999 Sb., x xxxxxxxxx xxxxxxxx x xxxxxxxxxx, ve xxxxx pozdějších xxxxxxxx). Xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx a osoby xxxxxxx x §3 xxxx. x) až x) xxxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxx xxxx-xxx xxxxxx x xxxxx uvedené x §3 xxxx. x) až x) xxxxxx, xxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxx jsou xxxxxxxxx xxxxxxxxxx xxx xxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxx xxxxxx veřejně xxxxxxxxx a xxxxxx xxxxxxx xx vyžadována xxxxxxxx xxxxxxxx, jinými xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx (xxxx. xxxxxxxx xxxxxxxxx xxxxx xxxxxx č. 89/2012 Sb., xxxxxxxx xxxxxxx, xxxxxx údaje xxxxx xxxxxx č. 101/2000 Sb., x xxxxxxx xxxxxxxx údajů, xx xxxxx xxxxxxxxxx xxxxxxxx). |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx informací xxxxxx xxxxxxxxxxx xxxx jsou xxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx nejsou veřejně xxxxxxxxx a vyžadují xxxxxxxxxxxxx míru xxxxxxx xxx xxxxx xxxxxxxxx xxxxxxxxx (xxxx. xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxx xxxxx). |
Xxx xxxxxxx xxxxxxxxxx xx xxxxxxxxxx xxxxxxxx xxxx, xxxxx x xxxxxxx xxxxxxxxxxx, x xxxxxx xxxxxxx xxxxxxxxxxx zneužití xxxxx xx xxxxxx administrátorů. Xxxxxxx xxxxxxxxx jsou xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx aktiva xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx a osoby xxxxxxx x §3 xxxx. x) až x) xxxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx může xxxxxxxxx xxxxxxx x xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx aktiva může xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx x xxxx xx xxxxxxxx méně xxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány xxxxxxxxxx xxxxxxxx (xxxx. xxxxxxx xxxxxxxxxxxx práv pro xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxxxx xxxx k xxxxxxxxx xxxxxxxxxxx zájmů xxxxxx x osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxxxxxxxx xxxxxx xx primární xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx speciální xxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx a xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxx. Xxxxxxx integrity informací xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx sítěmi xx xxxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx k xxxxx xxxxxxx poškození oprávněných xxxxx xxxxxx a xxxxx uvedené x §3 písm. x) xx x) xxxxxx x xxxxxxx x xxxxx xxxxxxx dopady na xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (např. xxxxxx xxxxxxxxxxx digitálního podpisu). |
Stupnice xxx xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx není xxxxxxxx x x xxxxxxx xxxxxxx xx xxxxx xxxxxxxxxx delší xxxxxx xxxxxx xxx xxxxxxx (xxx xx 1 týdne). |
Pro xxxxxxx xxxxxxxxxxx xx postačující xxxxxxxxxx zálohování. |
|
Střední |
Narušení dostupnosti xxxxxx xx xxxxxx xxxxxxxxx dobu xxxxxxxxxx xxx, xxxxxxxxxxxxx xxxxxxx xxxx k možnému xxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx využívány běžné xxxxxx xxxxxxxxxx x obnovy. |
|
Vysoká |
Narušení xxxxxxxxxxx aktiva by xxxxxx překročit dobu xxxxxxxx hodin. Xxxxxxxx xxxxxxx xx xxxxx xxxxx xxxxxxxxxx, xxxxxxx xxxx x xxxxxxx xxxxxxxx xxxxx orgánu x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx. Xxxxxx xxxx xxxxxxxxxx xxxx xxxxx xxxxxxxx. |
Xxx xxxxxxx dostupnosti xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx může xxx xxxxxxxxx zásahy xxxxxxx xxxx výměnou technických xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx dostupnosti xxxxxx xxxx xxxxxxxxx x x krátkodobá xxxxxxxxxxxx (x xxxx xxxxxxxx xxxxx) vede x xxxxxxx xxxxxxxx zájmů orgánu x osoby xxxxxxx x §3 xxxx. x) až e) xxxxxx. Aktiva jsou xxxxxxxxxx xxxx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx záložní xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx xx xxxxxxxxxx x xxxxxxxxxxxxxx. |
Příloha x. 2 x vyhlášce x. 316/2014 Sb.
Hodnocení xxxxx
Xxxxxxxxx xxxxx je xxxxxxxxx xxxx funkce, xxxxxx xxxxxxxxx xxxxx, xxxxxx x zranitelnost.
Pro hodnocení xxxxx xxx xxxxxx xxxxxxx xxxx xxxxxx
xxxxxx = xxxxx x xxxxxx x zranitelnost.
Jednoznačné xxxxxx xxxxxx pro xxxxxx xxxxxx xx xxxxxxxxx xxxxxxxx xxxxxxxx xxx identifikaci x xxxxxxxxx rizika
|
Stupnice xxx xxxxxxxxx dopadů |
|
|
Úroveň |
Popis |
|
Nízký |
Dopad xx x xxxxxxxx časovém xxxxxx a malého xxxxxxx x xxxxx xxx xxxxxxxxxxxxx. Xxxxxx případných xxxx xxxxxxxxxxx x) 10 xxxxxxxxx xxxx x xxxxxxxxx xxxxxxxxxxxxx po xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xx 5&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxxx 250 xxxx. |
|
Xxxxxxx |
Xxxxx xx omezeného xxxxxxx x x xxxxxxxx xxxxxxx xxxxxx. Xxxxxx xxxxxxxxxx škod xx xxxxxxxx v rozmezí a) xx 10 xxxxxxx xxxx xx 11 xx 100 osob x xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx nebo xxxxxxxxxx ztráty xx 5&xxxx;000&xxxx;000 Xx xx 50&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx s xxxxxxxxx xxxxxxxx xxxxxxxxxx služeb xxxx jiného xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx od 251 do 2&xxxx;500 xxxx. |
|
Xxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx, ale xxxxxx xxxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx se pohybuje x xxxxxxx x) xx 11 do 100 xxxxxxx nebo xx 101 xx 1 000 osob x xxxxxxxxx hospitalizací po xxxx delší xxx 24 xxxxx xxxx x) xxxxxxxx nebo materiální xxxxxx xx 50 000 000 Xx xx 500&xxxx;000&xxxx;000 Xx anebo c) představuje xxxxx na veřejnost x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xx 2&xxxx;501 xx 25&xxxx;000 xxxx. |
|
Xxxxxxxx |
Xxxxx xx xxxxxx rozsahem, xxxxxx a xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xx xxxxxxxx x xxxxxxx x) 10 x xxxx xxxxxxx x 1 001 x xxxx xxxx x následnou xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx xxxx x) finanční xxxx materiální ztráty xxxxxxxxxxx 500 000 000 Xx xxxxx x) představuje dopad xx xxxxxxxxx x xxxxxxxxx omezením nezbytných xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx života xxxxxxxxxxxxx xxxx než 25&xxxx;000 xxxx. |
|
Xxxxxxxx xxx hodnocení xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx xxxx xx xxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx realizace xxxxxx xxxx xxxxxxxx xxx xxxxxx xx 5 xxx. |
|
Xxxxxxx |
Xxxxxx xx xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxxxxxxxxxxx realizace hrozby xx x rozpětí xx 1 xxxx xx 5 xxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx hrozby xx x xxxxxxx xx 1 měsíce do 1 xxxx. |
|
Xxxxxxxx |
Xxxxxx je xxxxx xxxxxxxxxxxxx až xxxxxxxx xxxxx. Předpokládaná xxxxxxxxx xxxxxx je xxxxxxxx xxx xxxxxx xx xxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx xxxx je xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, které xxxx xxxxxxx xxxx xxxxxxxxx xxxxx slabiny nebo xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxxxxxx je xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx. Xxxxxxxxx bezpečnostních xxxxxxxx xxxx detekovat xxxxx xxxxxxx xxxx xxxxxxxx pokusy x xxxxxxxxx xxxxxxxx xx xxxxxxx. Nejsou xxxxx xxxxx úspěšné pokusy x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx xx xxxxxxxxxxxxx xx xxxxx pravděpodobná. Xxxxxxxxxxxx opatření xxxxxxxx, xxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxx potřebné xxxxxxx a není xxxxxxxxxx xxxxxxxxxxxx. Xxxx xxxxx dílčí xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx opatření. |
|
Kritická |
Zranitelnost je xxxxx xxxxxxxxxxxxx xx xx xxxxxxxx xxxxx xxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx anebo xx jejich xxxxxxxx xxxxxx omezena. Xxxxxxxxx xxxxxxxx účinnosti bezpečnostních xxxxxxxx. Jsou známé xxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx pro xxxxxxxxx xxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx xx přijatelné. |
|
Střední |
Riziko xxxx být xxxxxxx xxxx náročnými xxxxxxxxxx xxxx x případě xxxxx xxxxxxxxxx opatření xx riziko přijatelné. |
|
Vysoké |
Riziko xx xxxxxxxxxx xxxxxxxxxxx x xxxx být xxxxxxxx xxxxxxxxxxxx xxxxx x xxxx odstranění. |
|
Kritické |
Riziko xx xxxxxxxxxxx x xxxx xxx neprodleně xxxxxxxx xxxxx k xxxx odstranění. |
V případě, xx xxxxx xxxx xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxxxx metodu xxx xxxxxxxxxxxx a hodnocení xxxxx, xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx, xx xxxxx xxxxxxxx pro xxxxxxxxx xxxxxx a zranitelností xxxxxxx. Sloučení xxxxxxx xx nemělo xxxx xx ztrátě xxxxxxxxxx xxxxxxxxx míry hrozby x xxxxxxxxxxxxx. Xx xxxxx účelem xxx xxxxxx například komentář, xxxxx xxxxxxxx xxxxxxx xxx xxxxxx hrozby, xxx x úroveň xxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx x xxxxx xxxx xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx, xxxxx xxxxxxx xxxx xxxxx úrovní xxx xxxxxxxxx dopadů, xxxxxx, xxxxxxxxxxxxx x rizik.
Příloha č. 3 x vyhlášce x. 316/2014 Xx.
Xxxxxxxxx požadavky xx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxx
x) Blokové x xxxxxxxx xxxxx xxx ochranu důvěrnosti x xxxxxxxxx
1. Xxxxxxxx Xxxxxxxxxx Xxxxxxxx (XXX) x xxxxxxxx xxxxx xxxxx 128, 192 x 256 bitů Xxxxxx Data Encryption Xxxxxxxx (3XXX) x xxxxxxxx xxxxx xxxxx 168 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx klíče menším xxx 10 GB, xxxxxxxx přecházet xx XXX.
2. Triple Xxxx Xxxxxxxxxx Xxxxxxxx (3XXX) x xxxxxxxx xxxxx xxxxx 112 bitů, xxxxxxx xxxxxxx xxx xx zatížením klíče xxxxxx xxx 10 XX, xxxxxxxx xxxxxxxxx xx XXX. Xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx xxx každou xxxxxx.
3. Xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx klíčů 128 xxxx, xxxxxxx xxxxxxx jen se xxxxxxxxx xxxxx xxxxxx xxx 10 GB.
4. Xxxxxx s xxxxxxxx xxxxx xxxxx 128 xxxx, omezené xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx než 10 GB.
5. Twofish x xxxxxxxx xxxxx xxxxx 128 až 256 xxxx.
6. Xxxxxxx x xxxxxxxx xxxxx xxxxx 128, 192, 256 bitů.
7. Xxxxxxxx x xxxxxxxx xxxxx xxxxx 128, 192 x 256 xxxx.
8. XXXX 2.0, XXXX 3X x xxxxxxxx xxxxx klíčů 128, 256 bitů.
b) Módy xxxxxxxxx x xxxxxxxx xxxxxxxxx
1. CCM,
2. XXX,
3. XXX,
4. Xxxxxxx xxxxxxxx xxxx "Xxxxxxx-xxxx-XXX".
Xxxxxxxx:
Xxxxxxxx typu "Xxxxxxx-xxxx-XXX",xxxx xxxxxxxx k xxxxxxxxx pouze uvedené xxxxxxxxx xxxx x x xxxxxxx MAC xxxxx xxxxxxx módy xxx xxxxxxx xxxxxxxxx.
x) Xxxx šifrování
1. CTR,
2. XXX,
3. CBC,
4. XXX,
Xxxxxxxx:
Xxxx XXX x XXX xxxx xxx xxxxxxx x xxxxxxxx, xxx xxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxxx xxxx OFB xx xxx xxxx xxxx xxxxx opakovat hodnota xxxxxxxxxxxxxxx vektoru, při xxxxxxx xxxx CTR xx pro daný xxxx xxxxx xxxxxxxx xxxxxxx xxxxxx, x xxxxxxx použití CBC xxxx x xxxxxxxxx xxx xxxxxxx xxxxxxxxx xx třeba ověřit xxxxxxxx xxxxx xxxxx xx padding XXX xxxx.
x) Xxxx pro xxxxxxx xxxxxxxxx
1. XXXX,
2. XXX-XXX-X9.19, xxxxxxx použití xxx xx xxxxxxxxx xxxxxx xxx 109 XXX,
3. CBC-MAC-EMAC,
4. XXXX.
(2) Xxxxxxxxxxx xxxxxxxxx
x) Xxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx
1. Xxxxxxx Signature Xxxxxxxxx (XXX) x xxxxxxxx xxxxx xxxxx 2048 xxxx a xxxx, xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx 224 xxxx x více.
2. Elliptic Xxxxx Digital Signature Xxxxxxxxx (XX-XXX) x xxxxxxxx délky klíčů 224 xxxx a xxxx.
3. Rivest-Shamir-Adleman Xxxxxxxxxxxx Xxxxxxxxx Xxxxxx (XXX-XXX) x xxxxxxxx xxxxx xxxxx 2048 bitů x xxxx.
x) Xxx xxxxxxx dohod na xxxxx a šifrování xxxxx
1. Xxxxxx-Xxxxxxx (DH) x xxxxxxxx xxxxx xxxxx 2048 bitů x xxxx, xxxxx xxxxxxxxx cylické podgrupy 224 bitů x xxxx.
2. Elliptic Xxxxx Xxxxxx-Xxxxxxx (XXXX) x xxxxxxxx délky xxxxx 224 xxxx x xxxx.
3. Elliptic Xxxxx Xxxxxxxxxx Xxxxxxxxxx System - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXXXX-XXX) s xxxxxxxx délky klíčů 256 xxxx x xxxx.
4. Xxxxxxxx Xxxxxx Xxxxxxxx Curve - Xxx Xxxxxxxxxxxxx Mechanism (XXXX-XXX) x xxxxxxxx xxxxx xxxxx 256 xxxx xxxx.
5. Asymetrie Xxxxxxx xxx Key Xxxxxxxxxxxxx Mechanism (XXX-XXX) x xxxxxxxx délky xxxxx 256 xxxx x více.
6. Xxxxxx Xxxxxx Xxxxxxx - Xxxxxxx Asymetrie Encryption Xxxxxxx (XXX-XXXX) s xxxxxxxx xxxxx xxxxx 2048 a xxxx.
7. Xxxxxx Xxxxxx Xxxxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) x xxxxxxxx xxxxx xxxxx 2048 x xxxx.
(3) Xxxxxxxxx xxxx xxxxxx
x) XXX-2
1. XXX-224,
2. XXX-256,
3. XXX-384,
4. XXX-512,
5. XXX-512/224,
6. XXX-512/256.
x) XXX-3
1. XXX3-224,
2. XXX3-256,
3. XXX3-384,
4. SHA3-512,
5. XXXXX-128,
6. SHAKE-256.
c) Xxxxxxx xxxxxxxx xxxxxx
1. Xxxxxxxx,
2. XXXXXX-160,
3. XXX 1 x omezeným použitím.
Poznámka x. 1:
SHA-1 xx xxxxx xxxxxxxx pro xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx, časových xxxxxxx, xxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx nekolizní XXX-1.
Xxxxxxxx x. 2:
SHA-1 xxx xxxxxxxx xxxxx pro xxxxxxxxx xxx existujících xxxxxxxxxxx podpisů x xxxxxxxx razítek, xxxxxxxxxx x ověřování XXXX-XXX1, xxxxxx xxx odvozování xxxxx x xxxxxxxxxxxxx xxxxxxxxxx.
Příloha č. 4 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
Xxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxx bezpečnostní xxxxxxxxxxx. Navrhované xxxxxxxxx xxxxxxxxxxxx dokumentů zahrnují xxxxxx, xxxxx xxxxxxxxxx xxxxxxxxx podle xxxx xxxxxxxx xxxxxxxxx, přičemž xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx x xx xx xxxxxx xxxx osobě xxxxxxx x §3 xxxx. x) xx x) xxxxxx, xxxx přístup x tvorbě xxxxxxxxxxxx xxxxxxxxxxx použije. Xxxxxxxxx xx x změna xxxxx jednotlivých xxxxxxxxx xxxx integrování xxxx xxxxx do xxxxxxx xxxxxxxxx.
X. Xxxxxxxxx xxxxxxxxxxxx xxxxxxxx
(1) Politika systému xxxxxx xxxxxxxxxxx xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxx, principy x xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxxxxxx.
x) Pravidla x postupy pro xxxxxx zdrojů x xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx auditů kybernetické xxxxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxx x zlepšování xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxxx organizační xxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Určení bezpečnostních xxxx a xxxxxx xxxx x xxxxxxxxxx,
1. xxxxx x povinnosti xxxxxxxx kybernetické xxxxxxxxxxx,
2. xxxxx x povinnosti xxxxxxxxxx xxxxxxxxxxxx bezpečnosti,
3. xxxxx x povinnosti xxxxxxxx kybernetické xxxxxxxxxxx,
4. xxxxx x povinnosti xxxxxxx aktiv,
5. xxxxx x xxxxxxxxxx xxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxx.
(3) Xxxxxxxx xxxxxx dodavatelů**
[§5 xxxx. 1 písm. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxx x principy xxx xxxxx xxxxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx xxxxx dodavatelů.
c) Náležitosti xxxxxxx o xxxxxx xxxxxx a způsobů x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x x určení xxxxxxxx xxxxxxx xxxxxxxxxxxx.
x) Xxxxxxxx xxx provádění xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx pro hodnocení xxxxxxxxxx.
(4) Politika klasifikace xxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Identifikace, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx včetně určení xxxxxx xxxxxxx,
2. xxxxxxxxx xxxxxxxxxxx primárních xxxxx x hlediska xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxxxxxxx, hodnocení x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx podpůrných aktiv xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxx xxxxx xxxx primárními x xxxxxxxxxx aktivy.
c) Xxxxxxxx xxxxxxx xxxxxxxxxxxx úrovní xxxxx
1. způsoby xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx xxx manipulaci x evidenci xxxxx xxxxx xxxxxx xxxxx,
3. xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx.
x) Xxxxxxx spolehlivého xxxxxxx xxxx ničení xxxxxxxxxxx nosičů xxx.
(5) Xxxxxxxx bezpečnosti lidských xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxx hodnocení
1. xxxxxxx x xxxxx xxxxxxx xxxxxxxxx,
2. způsoby x xxxxx poučení xxxxxxx xxxxx,
3. xxxxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx x xxxxx poučení xxxxxxx xxxx xxxxxxxxxxxxx bezpečnostní xxxx.
x) Xxxxxxxxxxxx xxxxxxx xxxxxx zaměstnanců.
c) Xxxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Pravidla pro xxxxxxxx xxxxxxxxxx vztahu xxxx změnu xxxxxxxx xxxxxx.
1. xxxxxxx svěřených xxxxx x xxxxxxxx xxxx při xxxxxxxx xxxxxxxxxx xxxxxx,
2. xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxx pozice.
(6) Xxxxxxxx řízení xxxxxxx x xxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. f)]
a) Xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x bezpečným xxxxxxxx.
x) Xxxxxxx bezpečného provozu.
c) Xxxxxxxxx a xxxxxxxxx xxxxxxxxxx provozu.
d) Xxxxxx xxxxxxxxxxx zranitelností.
e) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx a xxxxxxxxxxxxxx xxxxx.
(7) Xxxxxxxx xxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. g), §5 xxxx. 2 písm. x)]
x) Princip minimálních xxxxxxxxx/xxxxxxx xxxx (need xx xxxx).
x) Xxxxxxxxx xx xxxxxx přístupu.
c) Xxxxxxx xxxxxx xxxxxx xxxxxxxx.
x) Řízení xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx včetně rozdělení xxxxxxxxxxxx uživatelů x xxxxxxxxxxxx xxxxxxxxx.
(8) Politika xxxxxxxxxx xxxxxxx xxxxxxxxx*
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. h)]
a) Xxxxxxxx xxx xxxxxxxx xxxxxxxxx x xxxxxx.
x) Xxxxxxxx xxxxxxx přístupového xxxxx.
x) Xxxxxxxx použití xxxxxxxxxxxx xxxxx x xxxxxxxx na internet.
d) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx xxxxxxx na xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx xx xxxxxx k xxxxxxxx xxxxxxxxx.
(9) Xxxxxxxx xxxxxxxxxx x xxxxxx**
[§5 xxxx. 1 písm. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxxx na xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx x postupy xxxxxxxxxx.
x) Xxxxxxxx bezpečného xxxxxxx xxxxx.
x) Pravidla x xxxxxxx xxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxx xxxxxxxxxx x obnovy.
(10) Xxxxxxxx xxxxxxxxxx předávání x xxxxxx xxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx xxxxxxx xxxxxxxxxxxx výměny xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx ochrany.
(11) Xxxxxxxx xxxxxx technických xxxxxxxxxxxxx**
[§5 xxxx. 1 xxxx. k)]
a) Pravidla xxx omezení instalace xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx x postupy xxxxxxxxxxx xxxxxxxxx programových balíčků,
c) Xxxxxxxx a xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
x) Pravidla x xxxxxxx nasazení xxxxx xxxxxxxxxxxx xxxxxxxx.
(12) Politika xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx*
[§5 xxxx. 1 xxxx. 1)]
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx xxxxxxxxxxx.
(13) Xxxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx evidence.
b) Xxxxxxxx a xxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
(14) Xxxxxxxx xxxxxxxxxxxx ukládání x xxxxxxxxx xxxxxxxxx*
[§5 odst. x písm. x)]
x) Xxxxxxxx a xxxxxxx xxxxxxxxx xxxxxxxxx a xxxxxxx.
x) Ochrana xxxxxxxxxxxxx xxxxxxxxx a xxxxxxx.
x) Xxxxxxxx přístupu x xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxx.
(15) Xxxxxxxx xxxxxxx xxxxxxxx xxxxx*
[§5 odst. x xxxx. o), §5 xxxx. 2 xxxx. k)]
a) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx údajů.
b) Xxxxx přijatých x xxxxxxxxxxx organizačních xxxxxxxx xxx ochranu xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx x provedených xxxxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxx xxxxx.
(16) Politika xxxxxxx bezpečnosti**
[§5 odst. x písm. x)]
x) Xxxxxxxx xxx xxxxxxx xxxxxxx.
x) Pravidla xxx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx xxx xxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxx.
(17) Xxxxxxxx xxxxxxxxxxx komunikační xxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxx.
x) Xxxxxx xxxx a xxxxxxxxxx xx bezpečný provoz xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxxx v xxxxx xxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxxxx x xxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxxxxx xxxx x vyhodnocování xxxxxxxxxx xxxxxxx.
(18) Politika xxxxxxx před xxxxxxxxx xxxxx*
[§5 odst. l xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Pravidla x xxxxxxx pro ochranu xxxxxxxxxx xxxx vnitřní x vnější sítí.
b) Xxxxxxxx x xxxxxxx xxx ochranu xxxxxxx x sdílených xxxxxxxx xxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxx.
(19) Xxxxxxxx xxxxxxxx x používání xxxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx**
[§5 xxxx. 1 písm. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx x xxxxxxx xxxxxxxx nástroje xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx vyhodnocování x xxxxxxxxx na detekované xxxxxxxxxxxx bezpečnostní xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(20) Xxxxxxxx využití x xxxxxx xxxxxxxx xxx xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí**
[§5 xxxx. 1 písm. x)]
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx xxx optimální xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx pro xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(21) Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx**
[§5 xxxx. 1 xxxx. u), §5 xxxx. 2 xxxx. x)]
x) Úroveň xxxxxxx x xxxxxxx xx xxx a xxxx xxxxxxxxxxxxxxxx algoritmu.
b) Xxxxxxxx xxxxxxxxxxxxxx ochrany informací
1. xxx přenosu xx xxxxxxxxxxxxx xxxxxx,
2. při xxxxxxx xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxx xxx,
x) Xxxxxx správy klíčů.
II. Xxxxxxxxx další xxxxxxxxxxx
(1) Xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx**
[§28 xxxx. 1 písm. b)]
a) Xxxx auditu kybernetické xxxxxxxxxxx.
x) Předmět auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti.
d) Xxxxxxxxxxxxxx týmu xxxxxxxx x xxxx, xxxxx xx auditu kybernetické xxxxxxxxxxx xxxxxxxxxx.
x) Xxxxx x xxxxx, xxx xxxx xxxxxxxxx xxxxxxxx xxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx z xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(2) Xxxxxx x xxxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx informací**
[§28 xxxx. 1 písm. c)]
a) Xxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx přezkoumání systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) Xxxxxxxxxxxx xxxx a xxxxxxxxx, které mohou xxx xxxx xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxx vazba x xxxxxxxxxx xxxxxx xxxxxxxxxxx informací
1. xxxxxxx x xxxxxxxx opatření,
2. xxxxxxxx monitorování a xxxxxx,
3. výsledky xxxxxx,
4. xxxxxxxx cílů bezpečnosti,
d) Xxxxxxxx xxxxxxxxx xxxxx x xxxx xxxxx xxxxxxxx rizik.
e) Identifikace xxxxxxxx xxx neustálé xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx opatření x xxxx xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx činností.
(3) Xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x hodnocení rizik*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 písm. x)]
x) Xxxxxx stupnice pro xxxxxxxxx xxxxxxxxxx aktiv
1. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxxxxxx aktiv,
3. xxxxxx xxxxxxxx pro hodnocení xxxxxx dostupnosti aktiv.
b) Xxxxxx stupnice xxx xxxxxxxxx rizik
1. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx dopadu,
2. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxxx,
3. určení xxxxxxxx xxx hodnocení xxxxxx xxxxxxxxxxxxx,
4. určení xxxxxxxx pro xxxxxxxxx xxxxxx xxxxx,
x) Xxxxxx x xxxxxxxx xxx xxxxxxxx xxxxx.
x) Způsoby xxxxxxxxxxx xxxxxxxxxxxx xxxxx.
(4) Xxxxxx o xxxxxxxxx xxxxx x rizik**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx x popis xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx primárních aktiv,
3. xxxxxxxxx xxxxxxxxxx xxxxx x hlediska xxxxxxxxxx, xxxxxxxxx x dostupnosti.
b) Xxxxxxx xxxxxxxxxx aktiv (xxxxxxx pro xxxxxx x xxxxx xxxxxxx x §3 písm. x) zákona)
1. identifikace x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. určení xxxxx xxxx primárními x xxxxxxxxxx aktivy,
c) Xxxxxxxxxxxxxx x hodnocení xxxxx
1. xxxxxxxxx možných xxxxxx na xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx existujících xxxxxxxx,
4. xxxxxxxxx úrovně rizika, xxxxxxxxx této xxxxxx x xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
5. xxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxx.
x) Zvládání xxxxx
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. xxxxx opatření x xxxxxx realizace.
(5) Xxxxxxxxxx o xxxxxxxxxxxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. d)]
a) Xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxx zdůvodnění xxxxxx xxxxxx x xxxxxx xxxxx xx xxxxxxxxxxxxxx xxxxxx.
x) Přehled xxxxxxxxxx bezpečnostních xxxxxxxx.
(6) Xxxx zvládání rizik**
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx x xxxx xxxxxxxxx bezpečnostních xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxxx xxxxxx pro xxxxxxxxxx bezpečnostní xxxxxxxx xxx xxxxxxxx rizik.
c) Xxxxx xxxxxxxxxxx jednotlivá xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
d) Xxxxxxx xxxxxxxx jednotlivých xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
x) Způsoby hodnocení xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
(7) Xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 odst. 2 písm. x)]
x) Xxxxx a xxxxxxx xxxxxxx xxxxxxxxx.
x) Xxxxx x xxxxxxx poučení xxxxxxx aktiv (xxxxxxx xxx xxxxxx x xxxxx xxxxxxx v §3 písm. x) xxxxxx).
x) Obsah x xxxxxxx xxxxxxx xxxxxxxxxxxxxx (xxxxxxx xxx orgány x xxxxx uvedené x §3 písm. x) xxxxxx).
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
e) Xxxxx x termíny xxxxxxx xxxxxx zaměstnanců.
f) Xxxxx x xxxxxxx xxxxxxxxx xxxxx.
(8) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx.
x) Pravidla a xxxxxxx xxx evidenci x xxxxxxxx jednotlivých xxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla a xxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x pro xxxxxxxxxx xxxxxxxxxxxx bezpečnosti.
(9) Strategie xxxxxx xxxxxxxxxx činností**
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. h)]
a) Xxxxx x xxxxxxxxxx xxxxxxxxxxxx osob.
b) Xxxx xxxxxx kontinuity xxxxxxxx
1. xxxxxxxxx úroveň xxxxxxxxxxxxx xxxxxx,
2. doba xxxxxxxx xxxxx,
3. bod xxxxxxxx xxxxx.
x) Xxxxxxxxx xxxxxx xxxxxxxxxx činností pro xxxxxxxx xxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxx dopadů xxxxxxxxxxxxxx bezpečnostních incidentů xx xxxxxxxxxx a xxxxxxxxxx souvisejících xxxxx.
x) Xxxxxx x xxxxx xxxxxxxxxx xxxxx xxxxxxxxxx.
x) Xxxxxxx pro realizaci xxxxxxxx xxxxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx.
(10) Xxxxxxx xxxxxx závazných xxxxxxxx xxxxxxxx, xxxxxxxxx předpisů x xxxxxx předpisů x xxxxxxxxx xxxxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
x) Přehled xxxxxxxxx xxxxxxxx a xxxxxx xxxxxxxx.
x) Přehled xxxxxxxxx xxxxxxx.
Xxxxxxxx:
* Xxxxxxxxx xxxxxxxxx xxxxxxxxx xx xx xxxxxx xxxxxxx xxxxx stupnice xxxxxxx x příloze č. 1: Hodnocení x xxxxxx xxxxx.
** Xxxxxxxxx xxxxxxxxx xxxxxxxxx xx na xxxxxx xxxxxx xxxxx stupnice xxxxxxx x příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.
Xxxxxxx x. 5 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxx hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu
Vyplnitelný formulář ve formátu PDF
Příloha č. 6 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx oznámení x xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Příloha x. 7 x vyhlášce x. 316/2014 Xx.
Xxxxxxxx pro xxxxxxx xxxxxxxxxxx údajů
Vyplnitelný formulář ve formátu PDF
Informace
Právní předpis č. 316/2014 Sb. xxxxx xxxxxxxxx dnem 1.1.2015.
Xx xxx uzávěrky xxxxxx xxxxxxx xxxxx xxxxx xx doplňován.
Právní předpis x. 316/2014 Xx. xxx xxxxxx xxxxxxx xxxxxxxxx č. 82/2018 Sb. x xxxxxxxxx od 28.5.2018.
Znění xxxxxxxxxxxx právních norem xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxxx, pokud xx xxxx xxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxxxx xxxxxxxx předpisu.
1) XXX/XXX 27001:2013, xxxxxxxx ČSN XXX/XXX 27001:2014