Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
XXXXXXXX
xx xxx 15. xxxxxxxx 2014
x bezpečnostních xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, reaktivních xxxxxxxxxx x x xxxxxxxxx xxxxxxxxxxx xxxxxx v xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx bezpečnostní úřad xxxxxxx xxxxx §28 xxxx. 2 zákona x. 181/2014 Xx., x xxxxxxxxxxxx xxxxxxxxxxx x o xxxxx xxxxxxxxxxxxx xxxxxx (xxxxx x xxxxxxxxxxxx bezpečnosti), (xxxx xxx "xxxxx") x xxxxxxxxx §6 xxxx. x) xx x), §8 odst. 4, §13 odst. 4 a §16 xxxx. 6 xxxxxx.
ČÁST PRVNÍ
ÚVODNÍ XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxxx vyhláškou xx xxxxxxx xxxxx x xxxxxxxxx bezpečnostní xxxxxxxxxxx xxx xxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx, xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxx xxxxxxxx, xxxx a xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx a jeho xxxxxxxx a xxxx xxxxxxxx kontaktních údajů x xxxx xxxxx.
§2
Xxxxxxxx xxxxx
X xxxx xxxxxxxx xx rozumí
a) xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx xxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxxxx na xxxxxxxx x rizikům xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx stanoví xxxxxx xxxxxxxx, xxxxxxxx, xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx,
x) aktivem xxxxxxxx xxxxxxx x xxxxxxxx aktivum,
c) primárním xxxxxxx informace nebo xxxxxx, xxxxxx zpracovává xxxx poskytuje xxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xx xx provozu, xxxxxxx, xxxxxx xxxx xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx, komunikační xxxxxxxxxx x programové vybavení xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx, xx xxxxxxx xxxx tyto xxxxxxx xxxxxxxx,
x) rizikem možnost, xx určitá hrozba xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx x způsobí xxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxx xxxxxx, xxx xxxx xx určována xxxxxxxxxx rizik a xxxxxx přijatelná xxxxxx,
x) xxxxxxx rizik xxxxxxx xxxxxxxxxx hodnocení xxxxx, xxxxx x zavedení xxxxxxxx xx zvládání xxxxx, xxxxxxx informací x xxxxxx x xxxxxxxxx x xxxxxxxxxxx xxxxx,
x) hrozbou xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, jejímž xxxxxxxxx xxxx xxx xxxxxxxxx aktiva,
j) zranitelností xxxxx xxxxx xxxxxx xxxx bezpečnostního xxxxxxxx, xxxxx xxxx xxx xxxxxxxx xxxxxx nebo xxxx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxx xxxxxx zbývající xx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx xxxxxxxx kritériím xxx xxxxxxxxxxxx xxxxx,
x) bezpečnostní xxxxxxxxx xxxxxx zásad x xxxxxxxx, které xxxxxx xxxxxx xxxxxxxxx xxxxxxx aktiv xxxxxxx x osobou uvedenou x §3 písm. x) až e) xxxxxx,
x) xxxxxxxx xxxxxx xxxxxxx xxxxx pověřená xxxxxxx xxxx xxxxxx xxxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxxxxxx xxxxxxx, použití x bezpečnosti xxxxxx,
x) xxxxxxxxxx fyzická xxxx xxxxxxxxx xxxxx xxxxx xxxxx xxxxxxx xxxx, xxxxx využívá primární xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxx xxxxx pověřená garantem xxxxxx xxxxxxxxxxx xxxxxx, xxxxxx, xxxxxxx, xxxxxx x xxxxxxxxxx technického xxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx řízení xxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx x xxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx
x) stanoví s xxxxxxx xx xxxxxx x organizační xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx, ve xxxxxx xxxx, xxxxxxx xxxxxxxxxxxxx xxxxx a technických xxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx,
x) řídí xxxxxx xxxxx §4 xxxx. 1,
x) xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx x oblasti systému xxxxxx xxxxxxxxxxx informací, xxxxx xxxxxxxx hlavní xxxxxx, cíle, bezpečnostní xxxxxxx, xxxxx x xxxxxxxxxx xx xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxx x xx xxxxxxx bezpečnostních xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxx xxxxxxxxx xxxxx §5 x zavede xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx xxxxxxxx bezpečnostních xxxxxxxx,
x) xxxxxxxxxxx vhodnost a xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx §5,
f) xxxxxxx xxxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx xxxxx §15, x xx xxxxxxx xxxxxx ročně,
g) xxxxxxx xxxxxxxxxxx účinnosti systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxx řízení xxxxxxxxxxx informací xxxxxx xxxxxx xxxxxxxxx xxxxx, xxxxxxxxx xxxxxxxx provedených xxxxxxx a xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx, x xx nejméně xxxxxx xxxxx,
x) xxxxxxxxxxx xxxxxx xxxxxx bezpečnosti xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx xx základě xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx vyhodnocení xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a x xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx x
x) xxxx xxxxxx x zdroje xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx činnosti xxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxx informací x xxxxxxx xxxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xxxxxx x xxxxx systému xxxxxx bezpečnosti xxxxxxxxx
x) xxxx xxxxxx xxxxx §4 xxxx. 2,
x) xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxx zásady, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx xx vztahu x xxxxxx xxxxxxxxxxx informací x xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §5, x xxxxxx příslušná bezpečnostní xxxxxxxx x
x) xxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxxx aktiv x xxxxx, bezpečnostní politiky, xxxxx xxxxxxxx xxxxx x plánu xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, x xx xxxxxxx xxxxxx xx xxx xxxx xxxx x xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx.
§4
Xxxxxx rizik
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx v rámci xxxxxx xxxxx
x) xxxxxxx xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx rizik xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx rizik,
b) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxx, která xxxxx do xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx §8 x xxxxxxx přílohy č. 1 x xxxx xxxxxxxx x výstupy xxxxxxxxx xx xxxxxx o xxxxxxxxx xxxxx x xxxxx,
x) identifikuje rizika, xxx kterých xxxxxxxx xxxxxx a xxxxxxxxxxxxx, xxxxxxx xxxxx xxxxxx xx xxxxxx, xxxxxxx xxxx rizika minimálně x xxxxxxx xxxxx přílohy č. 2 k xxxx xxxxxxxx, xxxx x xxxxxxx přijatelná xxxxxx x xxxxxxxx xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) zpracuje xx xxxxxxx xxxxxxxxxxxxxx xxxxxx a výsledků xxxxxxxxx rizik xxxxxxxxxx x xxxxxxxxxxxxxxxx, které xxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx x xxxxxx xxxx xxxxxxxx xxxxx, xxxxx xxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx rizik, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx opatření pro xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, technické, xxxxxx x informační xxxxxx, xxxxxx xxxxxx zavedení x popis vazeb xxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxx xxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx (xxxx xxx "Xxxx") v xxxxxxxxx xxxxx x v xxxxxxx, xx xxxxxxxxx xxxxx aktualizované o xxxx zranitelnosti spojené x xxxxxxxxx xxxxxxxxxxx xxxx ochranného xxxxxxxx xxxxxxxx stanovená xxxxxxxx xxx přijatelnost xxxxx, xxxxxx xxxx xxxxxxxx xxxxx.
(2) Orgán a xxxxx xxxxxxx x §3 písm. x) xxxxxx x xxxxx xxxxxx xxxxx
x) stanoví xxxxxxxx xxx identifikaci x hodnocení aktiv x xxx identifikaci x xxxxxxxxx xxxxx xxxxxx stanovení xxxxxxxx xxx xxxxxxxxxxxx rizik,
b) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxx aktiv, xxxxx xxxxx xx xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxx §8 xxxxxxxxx v xxxxxxx přílohy č. 1 x xxxx xxxxxxxx a xxxxxxx xxxxxxxxx xx xxxxxx o xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxxxxxx xxxxxx, při xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxxxxx, xxxxxxx xxxxx dopady na xxxxxxxx aktiva, xxxxxxx xxxx rizika xxxxxxxxx x xxxxxxx xxxxx přílohy č. 2 k xxxx xxxxxxxx x xxxxxxxx xxxxxx x hodnocení xxxxx x xxxxx,
x) xxxxxxxx na xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx x zavedených xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx x xxxxxx xxxx xxxxxxxx xxxxx, který xxxxxxxx cíle x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx, xxxxxxxx finanční, xxxxxxxxx, xxxxxx x informační xxxxxx, xxxxxxx xxxxxx xxxxxxxx x xxxxx xxxxx xxxx xxxxxxxxxxxxxxxx xxxxxx x příslušnými xxxxxxxxxxxxxx opatřeními a
f) xxxxxxxx bez xxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx opatření vydaná Xxxxxx x hodnocení xxxxx a x xxxxxxx, xx hodnocení xxxxx xxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx spojené x realizací reaktivního xxxx ochranného opatření xxxxxxxx stanovená xxxxxxxx xxx xxxxxxxxxxxx xxxxx, xxxxxx xxxx zvládání xxxxx.
(3) Xxxxxx xxxxx xxxx být zajištěno x xxxxxx xxxxxxx, xxx xxx xx xxxxxxxxx x odstavcích 1 x 2, xxxxx xxxxx x xxxxx xxxxxxx x §3 písm. c) xx x) zákona xxxxxxxxx, že xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx vyšší úroveň xxxxxx xxxxx.
(4) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxx xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxx hrozby
a) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx programového xxxxxxxx,
x) xxxxxxxx xxxxxxxx xxxxxxx xxxxx,
x) užívání xxxxxxxxxxxx vybavení x xxxxxxx s xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx xxxx x xxxxxxxxxxx sítě,
f) xxxxxxxx xxx (xxxxxxxxx xxxx, xxxxxxx, xxxxxxx xxxx),
x) nedostatky při xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx,
x) narušení fyzické xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxxxx elektronických xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxx xxxxxxx,
x) zneužití xxxx xxxxxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxx xxxxxxxx xxxxxx x
x) odcizení xxxx xxxxxxxxx xxxxxx.
(5) Orgán x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxx xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxx zranitelnosti
a) xxxxxxxxxxxx xxxxxxx xxxxxxxx perimetru,
b) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x administrátorů,
c) xxxxxxxxxxxx údržba informačního xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxx oprávnění,
e) xxxxxxxxxxxx xxxxxxx xxx xxxxxxxxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx jevů, kybernetických xxxxxxxxxxxxxx událostí a xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx monitorování činnosti xxxxxxxxx x xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxx xxxx xxxxxxx xxxxxxx xxxxxxx x
x) nedostatečné stanovení xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxx xxxx x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx.
(6) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxx xxxxxxxxx xxxxx dále xxxxxxx xxxx hrozby
a) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx činností, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) pochybení ze xxxxxx xxxxxxxxxxx,
x) zneužití xxxxxxxxx prostředků, xxxxxxx,
x) xxxxxxxxxx přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx elektrické xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxx,
x) nedostatek xxxxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx kybernetický xxxx xxxxxx sociálního xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxx x
x) zneužití xxxxxxxxxxxxx technických nosičů xxx.
(7) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) zákona xxx xxxxxxxxx xxxxx xxxx xxxxxxx tyto xxxxxxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx bezpečnostní xxxxxxxxxxxx,
x) xxxxxxxxxxxx míra xxxxxxxxx xxxxxxxx x
x) xxxxxxxxxxx xxxxxxxx odhalení xxxxxxxxx xx strany xxxxxxxxxxx.
§5
Xxxxxxxxxxxx politika
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx stanoví xxxxxxxxxxxx xxxxxxxx x oblastech
a) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) organizační bezpečnost,
c) xxxxxx xxxxxx x xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx lidských xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxxx,
x) xxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx a obnova,
j) xxxxxxxx xxxxxxxxx x xxxxxx informací,
k) řízení xxxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx x nabývání xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx sítě,
r) xxxxxxx xxxx škodlivým xxxxx,
x) xxxxxxxx x xxxxxxxxx nástroje xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx x xxxxxx xxxxxxxx pro xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x
x) používání xxxxxxxxxxxxxx xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxx,
x) xxxxxx xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) bezpečnost xxxxxxxx xxxxxx,
x) řízení provozu x xxxxxxxxxx,
x) xxxxxx xxxxxxxx,
x) xxxxxxxx chování xxxxxxxxx,
x) zálohování x xxxxxx,
x) xxxxxxxxxxx a xxxxxxxx licencí xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx,
x) xxxxxxx xxxxxxxx údajů,
l) xxxxxxxxx xxxxxxxxxxxxxx ochrany,
m) xxxxxxx xxxx škodlivým xxxxx x
x) xxxxxxxx x xxxxxxxxx nástroje xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxxxxx xxxxxxx xxxxxxxx bezpečnostní xxxxxxxx x xxxxxxxxxxx xx.
§6
Organizační xxxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) až e) xxxxxx zavede xxxxxxxxxx xxxxxx xxxxxxxxxxx informací, x xxxxx xxxxx xxxx výbor xxx xxxxxx kybernetické xxxxxxxxxxx x xxxxxxxxxxxx role x jejich xxxxx x xxxxxxxxxx související x xxxxxxxxxxx xxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury nebo xxxxxxxxx xxxxxxxxxxx xxxxxxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) a x) zákona určí xxxxxxxxxxxx role
a) manažer xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx bezpečnosti a
d) xxxxxx aktiva xxxxx §2 xxxx. x).
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxx xxxxxxxxxxxx xxxx přiměřeně xxxxx xxxxxxxx 2.
(4) Xxxxxxx xxxxxxxxxxxx bezpečnosti xx osoba, xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx odbornou xxxxxxxxxxx xxxxx x řízením xxxxxxxxxxx informací xx xxxx xxxxxxx xxx xxx.
(5) Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx osoba xxxxxxxxxxx xxxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx je xxx xxxx činnost xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx praxí s xxxxxxxxxxx bezpečnostní architektury xx xxxx nejméně xxx let.
(6) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx je xxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx bezpečnosti, xxxxx xx pro xxxx xxxxxxx vyškolena x xxxxxxx odbornou způsobilost xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxx xxxxxxx xxx xxx. Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx roli nestranně x výkon xxxx xxxx xx xxxxxxx xx xxxxxx xxxx xxxxxxxxx x xxxxxxxx 2 písm. x), x) xxxx d).
(7) Xxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti je xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx, xxxxx jsou xxxxxxxx celkovým řízením x rozvojem xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx se xxxxxxxx xxxxxxxx xx xxxxxx a koordinaci xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx.
(8) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx odborné xxxxxxx xxxx, xxxxx zastávají xxxxxxxxxxxx xxxx x xxxxxxx x xxxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxx §9 xxxx. 1 xxxx. x).
§7
Stanovení xxxxxxxxxxxxxx požadavků xxx xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxxxx pravidla xxx xxxxxxxxxx, xxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, x xxxxxxxx je x xxxxxxxxxx nebo xxxxxx xxxx, xxxxx se xxxxxxxx xx rozvoji, xxxxxxx xxxx zajištění xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního systému. Xxxxxx zapojení dodavatelů xx rozvoji, provozu xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona xxxxxxxx, jejíž xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx informací.
(2) Orgán x xxxxx xxxxxxx x §3 písm. x) a d) xxxxxx x xxxxxxxxxx xxxxxxxxx x odstavci 1 xxxx
x) xxxx xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx rizik xxxxx přílohy č. 2 k xxxx xxxxxxxx, která jsou xxxxxxx s xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxx x xxxxxx xxxxxx, xxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxx vztah vzájemné xxxxxxx xxxxxxxxxxxx za xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, x
x) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxx zavedených bezpečnostních xxxxxxxx u poskytovaných xxxxxx a xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxx xx xxxxxx x xxxxxxxxxxx xxxxxxx jejich xxxxxxxxxx.
§8
Xxxxxx xxxxx
(1) Xxxxx x xxxxx uvedená x §3 písm. x) xx e) xxxxxx x xxxxx xxxxxx aktiv
a) xxxxxxxxxxxx x xxxxxxx primární xxxxxx,
x) xxxx garanty xxxxx, kteří xxxx xxxxxxxxx za primární xxxxxx, a
c) hodnotí xxxxxxxxxx xxxxxxxxxx xxxxx x hlediska xxxxxxxxxx, xxxxxxxxx x dostupnosti x zařadí je xx jednotlivých úrovní xxxxxxxxx x xxxxxxx xxxxx přílohy č. 1 k xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx xx třeba xxxxxxxxx posoudit
a) xxxxxx x důležitost osobních xxxxx xxxx xxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx vnitřních xxxxxxxx x xxxxxxxxxxx činností,
d) xxxxxxxxx veřejných, xxxxxxxxxx xxxx ekonomických zájmů,
e) xxxxx finanční xxxxxx,
x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx orgánu x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx,
x) xxxxxx xxxxxxx s xxxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx a
h) xxxxxx xx zachování xxxxxxx jména xxxx xxxxxxx dobré pověsti.
(3) Xxxxx a osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxx,
x) určí xxxxxxx aktiv, kteří xxxx odpovědní xx xxxxxxxx xxxxxx, a
c) xxxx xxxxx mezi xxxxxxxxxx x podpůrnými xxxxxx a hodnotí xxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxx a podpůrnými xxxxxx.
(4) Xxxxx x xxxxx uvedená v §3 xxxx. c) xx e) xxxxxx xxxx
x) stanoví pravidla xxxxxxx, xxxxx pro xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx tím, že
1. xxxx způsoby xxxxxxxxxxx xxxxxxxxxxxx xxxxxx aktiv,
2. xxxxxxx xxxxxxxx xxx xxxxxxxxxx x evidenci x aktivy xxxxx xxxxxx aktiv, včetně xxxxxxxx xxx bezpečné xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxx aktiv x
3. xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx,
x) xxxxxx pravidla ochrany xxxxxxxxxxxx xxxxxx xxxxx x
x) xxxx xxxxxxx xxx xxxxxxxxxx xxxxxxx xxxx ničení xxxxxxxxxxx xxxxxx dat x xxxxxxx xx úroveň xxxxx.
§9
Bezpečnost xxxxxxxx xxxxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx x xxxxx xxxxxx bezpečnosti xxxxxxxx zdrojů
a) xxxxxxx xxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx, xxxxx obsahuje xxxxx, obsah x xxxxxx potřebných školení x určí xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx x xxxxx uvedeny,
b) x souladu x xxxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxxxx poučení xxxxxxxxx, xxxxxxxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx xxxx x jejich xxxxxxxxxxxx x o xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx x pravidelných xxxxxxx,
x) xxxxxxx kontrolu xxxxxxxxxx bezpečnostní politiky xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx bezpečnostní xxxx x
x) xxxxxxx xxxxxxx xxxxxxxxx aktiv a xxxxxxxx přístupových xxxxxxxxx xxx ukončení smluvního xxxxxx x uživateli, xxxxxxxxxxxxxx nebo xxxxxxx xxxxxxxxxxxxx bezpečnostní role.
(2) Xxxxx a osoba xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxx x xxxxxxx xxxxx xxxxxxxx 1 přehledy, xxxxx xxxxxxxx předmět xxxxxxx a xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
(3) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx xxxx
x) stanoví pravidla xxx určení xxxx, xxxxx xxxxx zastávat xxxxxxxxxxxx xxxx, role xxxxxxxxxxxxxx xxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxx x prohlubováním xxxxxxxxxxxxxx xxxxxxxx,
x) xxxx xxxxxxxx x xxxxxxx pro xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx pravidel xx xxxxxx uživatelů, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) zajistí změnu xxxxxxxxxxxx oprávnění xxx xxxxx xxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx bezpečnostní role.
§10
Xxxxxx provozu x xxxxxxxxxx
(1) Xxxxx a xxxxx uvedená x §3 písm. x) xx x) xxxxxx x rámci řízení xxxxxxx x komunikací xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx x §21 xx 23 xxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxx a xx xxxxxxxx nedostatky xxxxxxx x xxxxxxx x §13.
(2) Xxxxx x xxxxx uvedená x §3 písm. x) xx e) zákona x xxxxx xxxxxx xxxxxxx x xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xx tímto účelem xxxxxxx xxxxxxxx pravidla x postupy.
(3) Xxxxxxxx xxxxxxxx a xxxxxxx xxxxxx x xxxxx xxxxxxx v §3 xxxx. c) x x) xxxxxx obsahují
a) xxxxx x povinnosti xxxx zastávajících xxxxxxxxxxxx xxxx, administrátorů x xxxxxxxxx,
x) postupy pro xxxxxxxx a ukončení xxxxx xxxxxxx, pro xxxxxxx xxxx obnovení xxxxx xxxxxxx xx xxxxxxx x xxx xxxxxxxx xxxxxxxxx xxxxx xxxx mimořádných xxxx,
x) xxxxxxx pro xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxx ochranu xxxxxxxx x záznamům x těchto xxxxxxxxxx,
x) xxxxxxx xx xxxxxxxxx xxxxx, xxxxx jsou xxxxxx xxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxxx xxxxxxxxxxx nebo xxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxx x schvalování xxxxxxxxxx xxxx a
f) postupy xxx sledování, xxxxxxxxx x řízení xxxxxxxx xxxxxxxx x technických xxxxxx.
(4) Xxxxxx provozu xxxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx provedených xxxxx.
(5) Xxxxxx xxxxxxx orgánu x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx spočívá x
x) xxxxxxxxx oddělení vývojového, xxxxxxxxxxx a xxxxxxxxxxx xxxxxxxxx,
x) řešení reaktivních xxxxxxxx xxxxxxxx Xxxxxx xxx, xx xxxxx x xxxxx xxxxxxx x §3 písm. x) a x) xxxxxx
1. posoudí xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxx xxxxxxxx informační infrastruktury xxxx xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, vyhodnotí xxxxx xxxxxxxxx účinky x bez xxxxxxxxxx xxxxxxx xx xxxxxx Xxxxx a
2. xxxxxxx xxxxxx rychlého xxxxxxxxx xxxxxxxxxxx xxxxxxxx, který xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxx, x určí xxxxxx xxxx xxxx xxxxxxxxx.
(6) Xxxxx a xxxxx uvedená x §3 písm. x) x x) zákona x xxxxx řízení xxxxxxxxxx
x) xxxxxxxxx xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx xxxx x xxxxxxxxxx xxxxxxxxxxxxx xxxxxx podle §17,
x) xxxx xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx,
x) provádí xxxxxx x xxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx xx současného xxxxxxxxx xxxxxxxxxxx informací x xxxx xxxxxxxx xxxxxxxxxxx x
x) s ohledem xx xxxxxxxxxxx aktiv xxxxxxx výměnu x xxxxxxxxx xxxxxxxxx na xxxxxxx xxxxxxxxx xxxxx, xxxxxxx součástí xx xxxxxxxxxx o bezpečnosti xxxxxxxxx.
§11
Xxxxxx xxxxxxxx a xxxxxxxx xxxxxxx uživatelů
(1) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xx xxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxx řídí xxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačnímu xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx informačnímu xxxxxxx x xxxxxxx xxxxxxx xxxxxxxxx jednoznačný xxxxxxxxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) zákona xxxxxx opatření, xxxxx xxxxxx x xxxxxxxxx xxxxxxx údajů, které xxxx xxxxxxxxx pro xxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačního xxxxxxx xxxxx §18 x 19, x xxxxx xxxxx ve xxxxxxxx xxxxxx xxxxx neoprávněnou xxxxxx.
(3) Xxxxx a xxxxx uvedená v §3 xxxx. c) x x) xxxxxx xxxx v xxxxx xxxxxx xxxxxxxx
x) xxxxxxx xxxxxxxxxxxxx aplikacím samostatný xxxxxxxxxxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxx,
x) přiděluje x xxxxxxx přístupová xxxxxxxxx v xxxxxxx x politikou řízení xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx nastavení xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx uživatelů x xxxxxxxxxxxx skupinách xxxx xxxxxx,
x) xxxxxxx nástroj xxx xxxxxxxxx identity xxxxxxxxx podle §18 x xxxxxxx pro xxxxxx xxxxxxxxxxxx oprávnění xxxxx §19 x
x) xxxxxx xxxxxxxxxxxx opatření xxxxxxxx xxx bezpečné xxxxxxxxx mobilních xxxxxxxx, xxxxxxxx i xxxxxxxxxxxx xxxxxxxx spojená s xxxxxxxx technických zařízení, xxxxxxx orgán x xxxxx uvedená v §3 písm. x) x x) xxxxxx xxxxxxxxxxx.
§12
Akvizice, xxxxx x xxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx informačního xxxxxxx spojené x xxxxxx xxxxxxxx, vývojem x xxxxxxx x xxxxxx xx xx xxxxxxxx xxxxxxxx, xxxxxx x xxxxxx xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) a x) zákona dále
a) xxxxxxxxxxxx, xxxxxxx a xxxx rizika související x xxxxxxxx, xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx; xxx postupy xxxxxxxxx x řízení xxxxx xx metodiky xxxxx §4 xxxx. 1 písm. a) xxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx x zajistí ochranu xxxxxxxxxxx testovacích xxx x
x) provádí bezpečnostní xxxxxxxxx xxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx xxxx jejich xxxxxxxxx do xxxxxxx.
§13
Xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx při xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx, xxxxx zajistí xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx a x xxxxxxxxxx xxxx záznamy,
b) xxxxxxxx prostředí xxx xxxxxxxxxxx oznámených xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx nástroji xxxxx §21 xx 23, provádí jejich xxxxxxxxxxx x identifikuje xxxxxxxxxxxx bezpečnostní xxxxxxxxx,
x) xxxxxxx xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxx xxx xxxxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle §32 x zajistí xxxx věrohodných xxxxxxxx xxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx,
x) xxxxxxxx a xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxx xxxxxxxx xxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx x xx xxxxxxx xxxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx x zamezení xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
§14
Řízení xxxxxxxxxx xxxxxxxx
(1) Xxxxx x osoba xxxxxxx v §3 xxxx. x) xx x) zákona x xxxxx řízení xxxxxxxxxx xxxxxxxx stanoví
a) práva x xxxxxxxxxx xxxxxxx xxxxx, administrátorů x xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) cíle xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx, xxxxx xx přijatelná pro xxxxxxx, provoz a xxxxxx informačního xxxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx informačního systému,
2. xxxx xxxxxxxx xxxxx, xxxxx xxxxx xxxx xx xxxxxxxxxxxxx bezpečnostním xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx, x
3. xxxx xxxxxxxx xxx xxxx xxxxxxx, xx xxxxxxx xxxxx xxxxxxxx xxxx po xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu, x
x) xxxxxxxxx řízení kontinuity xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx x).
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx dále
a) xxxxxxxxx x dokumentuje xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a posoudí xxxxx xxxxxx související x ohrožením xxxxxxxxxx xxxxxxxx,
x) xxxxxxx, xxxxxxxxxxx x pravidelně xxxxxxx xxxxx kontinuity xxxxxxxx xxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx informačního systému xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému xxxxxxxx informační infrastruktury xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxx xxxxxxx xxx zajišťování xxxxxx dostupnosti xxxxx §26 x
x) stanoví x xxxxxxxxxxx xxxxxxx xxx provedení opatření xxxxxxxx Xxxxxx xxxxx §13 x 14 xxxxxx, ve xxxxxxx xxxxxxxx
1. xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxx xxxxxxxx,
2. xxxx xxxxxxxxx bezpečnostních xxxxxxxx x
3. xxxxxxxxxxx xxxxxxxxxx negativních dopadů xx provoz a xxxxxxxxxx informačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.
§15
Kontrola a audit xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významných xxxxxxxxxxxx xxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx e) zákona x rámci xxxxxxxx x xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx (xxxx xxx "audit xxxxxxxxxxxx bezpečnosti")
a) xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx předpisy, xxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxxx xx x xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxx xxxxxxxx xxx jeho xxxxxxxxxxx x
x) xxxxxxx x xxxxxxxxxxx pravidelné xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x výsledky těchto xxxxxxx xxxxxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx a plánu xxxxxxxx rizik.
(2) Orgán x xxxxx xxxxxxx x §3 písm. x) a x) xxxxxx zajišťuje provedení xxxxxx xxxxxxxxxxxx bezpečnosti xxxxxx x odbornou xxxxxxxxxxx xxxxx §6 xxxx. 6, xxxxx xxxxxxx správnost x xxxxxxxx zavedených bezpečnostních xxxxxxxx.
(3) Xxxxx a xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx xxxx xxx informační xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a komunikační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxx technických xxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxx x xxxxxx odborné xxxxxxxxxxx x xxxxxxx xx zjištěné xxxxxxxxxxxxx.
XXXXX II
TECHNICKÁ XXXXXXXX
§16
Xxxxxxx xxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx e) zákona x xxxxx xxxxxxx xxxxxxxxxxx
x) přijme xxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxx vstupu xx xxxxxxxxxx prostor, xxx xxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxx technická xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury nebo xxxxxxxxxx xxxxxxxxxxxx systému,
b) xxxxxx xxxxxxxx opatření x xxxxxxxx xxxxxxxxx x zásahům xx xxxxxxxxxx prostor, xxx xxxx xxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x
x) xxxxxxxxx xxxxxxxxx, xxxxxxx nebo zneužití xxxxx nebo přerušení xxxxxxxxxxx služeb informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx významného xxxxxxxxxxxx xxxxxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxx xxxxxxxxx prostředky xxxxxxx xxxxxxxxxxx
x) xxx xxxxxxxxx xxxxxxx xx xxxxxx xxxxxxx x
x) xxx xxxxxxxxx ochrany x xxxxx xxxxxxx xxxxxxxxxx xxxxxxx bezpečnosti xxxxxxxxxx xxxxxxx, xx xxxxxxx jsou umístěna xxxxxxxxx aktiva xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx.
(3) Prostředky fyzické xxxxxxxxxxx xxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxx xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxx požárů,
d) xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxx xxxxxxxx xxxxxx,
x) xxxxxxxx systémy,
g) xxxxxxxx xxx xxxxxxxxx ochrany xxxx xxxxxxxx dodávky xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx provozních podmínek.
§17
Xxxxxxx pro ochranu xxxxxxxxx xxxxxxxxxxxxx xxxx
(1) Xxxxx x osoba xxxxxxx v §3 xxxx. x) až x) xxxxxx xxx xxxxxxx integrity xxxxxxxx xxxxxx xxxxxxxxxxx sítě, xxxxx xxxx xxx xxxxxxx orgánu xxxx xxxxx, x xxxxxxx xxxxxxxxxxx sítě, xxxxx xx pod xxxxxxx xxxxxx nebo osoby, xxxxxx
x) xxxxxx xxxxxxxxxx xxxxxxxx mezi vnější x xxxxxxx xxxx,
x) xxxxxxxxxx xxxxxxx použitím xxxxxxxxxxxxxxxxxx zón xxxx xxxxxxxxxxx xxxx sítě xxxxxxxxxxx xx xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx x vnější sítě x k zamezení xxxxx xxxxxxxxxx xxxxxxx xxxx x xxxxxx xxxx,
x) xxxxxxxxxxxxxx xxxxxxxxxx (§25) xxx xxxxxxxx xxxxxxx, xxxxxxxxx xxxxxx xxxx xxx přístup xxxxxx bezdrátových xxxxxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxx, xxxxx xxxxxxxxxxxx xxxxxxxxxx xx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 písm. c) x x) xxxxxx xxxx xxxxxxx xxxxxxxx xxx ochranu xxxxxxxxx xxxxxxx xxxxxxxxxxx sítě, xxxxx xxxxxxx její xxxxxxxxxx.
§18
Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) až e) xxxxxx xxxxxxx nástroje xxx ověření xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Nástroj xxx xxxxxxxxx identity xxxxxxxxx x administrátorů xxxxxxxxx xxxxxxx identity xxxxxxxxx x xxxxxxxxxxxxxx xxxx xxxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačním systému xxxxxxxx xxxxxxxxxx infrastruktury x významném xxxxxxxxxxx xxxxxxx.
(3) Xxxxxxx xxx xxxxxxxxx identity xxxxxxxxx, xxxxx používá xxxxxxxxxxx xxxxx heslem, zajišťuje
a) xxxxxxxxx xxxxx hesla xxx xxxxx,
x) minimální xxxxxxxxx xxxxx tak, xx xxxxx xxxx xxxxxxxxx alespoň 3 x následujících čtyř xxxxxxxxx
1. nejméně xxxxx xxxxx písmeno,
2. nejméně xxxxx xxxx písmeno,
3. xxxxxxx jednu číslici, xxxx
4. nejméně jeden xxxxxxxxx znak xxxxxxx xx xxxxxxxxx uvedených x bodech 1 xx 3,
c) xxxxxxxxx xxxx pro xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxxx xxx dnů; xxxxx xxxxxxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(4) Xxxxx a xxxxx uvedená v §3 xxxx. c) x x) xxxxxx xxxx
x) používá xxxxxxx xxx xxxxxxx xxxxxxxx, xxxxx
1. zamezí opětovnému xxxxxxxxx xxxxx používaných xxxxx x xxxxxxxx xxxx xxxx hesla xxxxxxx uživatele během xxxxxxxxxxx období, které xxxx xxx nejméně 24 hodin, a
2. xxxxxxx opětovné xxxxxxx xxxxxxxx xx určené xxxx xxxxxxxxxx x
x) xxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx. X xxxxxxx, že xxxxx xxxxxxx xxxxxxx xxxxxxxxxxx heslem, xxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxx xxxxx xxx dodržení xxxxxxxxx xxxxx odstavce 3 xxxx. x) x x).
(5) Xxxxxxx pro xxxxxxxxx xxxxxxxx xxxxxxxxx xxxx xxx xxxxxxxx x xxxxxx xxxxxxx, xxx jaké xxxx xxxxxxxxx v xxxxxxxxxx 3 až 5, xxxxx xxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx e) zákona xxxxxxxxx, xx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx vyšší xxxxxx xxxxxxxxx xxxxx.
§19
Nástroj pro xxxxxx xxxxxxxxxxxx oprávnění
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx xxxxxx oprávnění
a) xxx xxxxxxx k xxxxxxxxxxx xxxxxxxxx a datům x
x) pro xxxxx xxx, xxx zápis xxx a pro xxxxx xxxxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 písm. x) a x) xxxxxx xxxx xxxxxxx xxxxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxx, který xxxxxxxxxxx xxxxxxx přístupových xxxxxxxxx x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx.
§20
Xxxxxxx xxx ochranu xxxx škodlivým kódem
Orgán x osoba xxxxxxx x §3 xxxx. x) až x) xxxxxx xxx xxxxxx xxxxx spojených x xxxxxxxxx škodlivého kódu xxxxxxx xxxxxxx pro xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému xxxx xxxxxxxxx xxxxx, xxxxx xxxxxxx ověření x xxxxxx kontrolu
a) xxxxxxxxxx xxxx xxxxxxx xxxx x xxxxxx xxxx,
x) xxxxxxx a xxxxxxxxx datových xxxxxxx x
x) xxxxxxxxxx xxxxxx,
xxxxxxx xxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxxxxxx nástroje xxx xxxxxxx xxxx xxxxxxxxx kódem, xxxx xxxxxxx a xxxxxxxx.
§21
Xxxxxxx pro xxxxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x významných xxxxxxxxxxxx xxxxxxx, xxxxxx xxxxxxxxx x administrátorů
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxxxxx xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxx
x) sběr xxxxxxxxx x xxxxxxxxxx x bezpečnostních xxxxxxxxxx, xxxxxxx typ činnosti, xxxxx x xxx, xxxxxxxxxxxx xxxxxxxxxxx aktiva, xxxxx xxxxxxx xxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx x xxxxx xxxxxxxx x xxxxxxxxx nebo xxxxxxxxxxx xxxxxxxx x
x) xxxxxxx xxxxxxxxx informací před xxxxxxxxxxxx xxxxxx xxxx xxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx e) xxxxxx xxxx pomocí xxxxxxxx xxx zaznamenávání xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významného xxxxxxxxxxxx systému zaznamenává
a) xxxxxxxxxx a xxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx vedoucí xx xxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx činností x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx a xxxxx xxxxxxxxx činnosti uživatelů,
e) xxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému,
f) xxxxxxxxxxx xxxxxxx xxxx xxxxxxx xxxxxxx xxxxxxxxxxx xxxxx,
x) xxxxxxxx k xxxxxxxx x činnostech, xxxxxx x xxxxxxxxxx se xxxxxxx x xxxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx xxx zaznamenávání xxxxxxxx x
x) xxxxxxx xxxxxxxxxx identifikace x xxxxxxxxxxx xxxxxx změny xxxxx, xxxxx xxxxxx x xxxxxxxxxx.
(3) Xxxxx x xxxxx uvedená x §3 xxxx. x) a x) xxxxxx záznamy xxxxxxxx xxxxxxxxxxx podle xxxxxxxx 2 xxxxxxxx xxxxxxx xx xxxx 3 xxxxxx.
(4) Xxxxx x xxxxx uvedená v §3 xxxx. x) xx x) xxxxxx xxxxxxxxx xxxxxxx xxxxxx xx 24 xxxxx xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxx xxxxxxxxx do xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
§22
Nástroj xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxxxx vychází ze xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx hodnocení xxxxx x xxxxx xxxxxxx xxxxxxx, xxxxxxxx x xxxxxxxx zablokování xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxx x xxxxxx sítí.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) a d) xxxxxx xxxx xxxxxxx xxxxxxx pro detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx ověření, xxxxxxxx x případně xxxxxxxxxxx xxxxxxxxxx
x) v xxxxx vnitřní komunikační xxxx a
b) serverů xxxxxxxxx xx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx.
§23
Xxxxxxx xxx xxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí
(1) Orgán x xxxxx uvedená x §3 xxxx. x) a x) xxxxxx xxxxxxx xxxxxxx xxx sběr x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxxx xxxxx xxxxxxx
x) integrovaný sběr x vyhodnocení kybernetických xxxxxxxxxxxxxx událostí z xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) poskytování xxxxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxx o xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x informačním xxxxxxx kritické informační xxxxxxxxxxxxxx nebo komunikačním xxxxxxx krit x xxxxxxxxxx infrastruktury a
c) xxxxxxxxxxx xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxx xxxxxxxx určených xxxxxxxxxxxxxx xxxx.
(2) Xxxxx x xxxxx uvedená x §3 písm. x) x x) xxxxxx dále xxxxxxx
x) xxxxxxxxxxx aktualizaci nastavení xxxxxxxx pro vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x včasné xxxxxxxx, xxx xxxx omezovány xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxx xxxxxxx xxxxxxxxx xxxxxxxx, x
x) xxxxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxxxx xxxxxxxxx xxx xxxx x xxxxxxxxxxx kybernetických bezpečnostních xxxxxxxx, xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx.
§24
Aplikační xxxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 písm. x) až x) xxxxxx provádí bezpečnostní xxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxxxx x xxxxxx xxxx, x xx xxxx xxxxxx xxxxxxxx xx xxxxxxx a xx xxxxx xxxxxxx změně xxxxxxxxxxxxxx xxxxxxxxxx.
(2) Orgán x osoba xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxx v xxxxx aplikační xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx
x) xxxxxxxx a informací xxxxxxxxxx x vnější xxxx xxxx neoprávněnou xxxxxxxx, popřením provedených xxxxxxxx, xxxxxxxxxxxx nebo xxxxxxxxxxxxxxx xxxxxx x
x) xxxxxxxxx před jejich xxxxxxxxxxxx, nesprávným směrováním, xxxxxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx obsahu, kompromitací, xxxxxxxxxxxxxxx duplikováním xxxx xxxxxxxxxx.
§25
Kryptografické prostředky
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx e) xxxxxx
x) xxx používání xxxxxxxxxxxxxx xxxxxxx stanoví
1. xxxxxx ochrany s xxxxxxx xx xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx a
2. pravidla xxxxxxxxxxxxxx ochrany xxxxxxxxx xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx xxxx xxx xxxxxxx xx xxxxxxx xxxxxxxx nebo xxxxxxxxxxx technické nosiče xxx x
x) v xxxxxxx x bezpečnostními xxxxxxxxx a xxxxxxxx xxxxxxxxx xxxxx používá xxxxxxxxxxxxxx xxxxxxxxxx, které xxxxxxx xxxxxxx důvěrnosti x xxxxxxxxx xxxxxxxxxxx xxxx ukládaných xxx x průkaznou xxxxxxxxxxxx xxxxx xx xxxxxxxxx xxxxxxxx.
(2) Orgán x xxxxx xxxxxxx v §3 xxxx. c) x d) xxxxxx xxxx
x) stanoví xxx xxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxx xxxxx, xxxxx zajistí generování, xxxxxxxxxx, xxxxxxxx, archivaci, xxxxx, xxxxxx, kontrolu x xxxxx klíčů, x
x) xxxxxxx xxxxxx xxxxxxxxxxxxxx algoritmy x xxxxxxxxxxxxxx xxxxx; v xxxxxxx xxxxxxxxx s xxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxxx uvedenými x příloze č. 3 k xxxx vyhlášce xxxx xxxxxx spojená x xxxxx xxxxxxxxxx.
§26
Nástroj xxx xxxxxxxxxxx xxxxxx dostupnosti
(1) Orgán x osoba xxxxxxx x §3 xxxx. x) xx e) xxxxxx x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxx zajišťování xxxxxx xxxxxxxxxxx informací.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx používá xxxxxxx xxx zajišťování xxxxxx xxxxxxxxxxx informací, xxxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx x komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxx xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, které xx xxxxx xxxxxx xxxxxxxxxx, x
x) xxxxxxxxxx xxxxxxxxxx technických aktiv xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx
1. xxxxxxxx xxxxxxxxxx x návrhu xxxxxx x
2. xxxxxxxxxx xxxxxxxxxx technických xxxxx x xxxxxxx xxxx.
§27
Xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx systémů
Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx, xxxxx xxxx informačním xxxxxxxx kritické informační xxxxxxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx anebo xxxx xxxxxx součástí, xxxxxxx xxxxxxxx, které zajistí
a) xxxxxxx xxxxxxxxx přístupu x xxxx a xxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx,
x) omezení xxxxxxxxx x xxxxxxxxxx xxxxxxxx x xxxx xxxxxxxxxxxx a řídicích xxxxxxx,
x) xxxxxxx jednotlivých xxxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxx x
x) obnovení xxxxx průmyslových x xxxxxxxx xxxxxxx po xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
HLAVA XXX
XXXXXXXXXXXX XXXXXXXXXXX
§28
Xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx xxxx a aktualizuje xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx
x) xxxxxxxxxxxx politiku xxxxx §5 xxxx. 1,
x) zprávy x xxxxxx kybernetické xxxxxxxxxxx xxxxx §3 xxxx. 1 xxxx. x),
x) xxxxxx z přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx §3 xxxx. 1 xxxx. x),
x) metodiku pro xxxxxxxxxxxx x xxxxxxxxx xxxxx x pro xxxxxxxxxxxx x xxxxxxxxx xxxxx,
x) zprávu o xxxxxxxxx xxxxx x xxxxx,
x) prohlášení x xxxxxxxxxxxxxxxx,
x) xxxx xxxxxxxx xxxxx,
x) xxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx podle §9 odst. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx bezpečnostních incidentů xxxxx §13 písm. x),
x) strategii xxxxxx xxxxxxxxxx činností xxxxx §14 xxxx. 1 xxxx. x) x
x) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx předpisů x xxxxxx xxxxxxxx a xxxxxxxxx xxxxxxx xxxxx §15 odst. 1 xxxx. x).
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) zákona xxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx
x) xxxxxxxxxxxx politiku podle §5 xxxx. 2,
x) xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x pro identifikaci x xxxxxxxxx rizik xxxxx §4 xxxx. 2 xxxx. x),
x) xxxxxx x hodnocení xxxxx x rizik xxxxx §4 odst. 2 písm. b) x c),
d) prohlášení x xxxxxxxxxxxxxxxx xxxxx §4 xxxx. 2 xxxx. x),
x) xxxx xxxxxxxx xxxxx xxxxx §4 xxxx. 2 xxxx. e),
f) plán xxxxxxx xxxxxxxxxxxxxx povědomí xxxxx §9 xxxx. 1 xxxx. x),
x) xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. e),
h) strategii xxxxxx kontinuity xxxxxxxx xxxxx §14 xxxx. 1 xxxx. x) x
x) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx předpisů x xxxxxx xxxxxxxx x smluvních xxxxxxx xxxxx §15 odst. 1 xxxx. x).
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx xxx, xxx xxxxxxx o xxxxxxxxxxx xxxxxxxxxx xxxx xxxxx, xxxxxxx, snadno xxxxxxxxxxxxxxxxx a aby xx xxxx xxxxxx xxxxxxxx. Opatření xxxxxxxx x xxxxxxxxxxxx, uložení, xxxxxxx, vyhledání, xxxx xxxxxxxxx a uspořádání xxxxxxx o xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx dokumentace xx stanovena x příloze č. 4 x xxxx xxxxxxxx.
§29
Prokázání xxxxxxxxxxx
Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona, xxxxx xxxxxxxxxx systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx xx xxxxx xxxxxxx xx xxxxxxx systému xxxxxx xxxxxxxxxxx informací, xxxxx byl xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx xxxxx1) akreditovaným xxxxxxxxxxxxx xxxxxxx, x xxxxx xxxx xxxxxxxxx obsahující
a) xxxxx xxxxxxx xxxxxxx xxxxxx bezpečnosti informací,
b) xxxxxxxxxx xxxxxxxx x xxxx systému řízení xxxxxxxxxxx informací,
c) xxxxx xxxxxxx metody hodnocení xxxxx a zprávu x hodnocení rizik,
d) xxxxxxxxxx o xxxxxxxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx zabývající xx xxxxxxxxxxx xxxxxxxxx1),
x) xxxxxx x přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx informací xxxxxx souvisejících xxxxxx x výstupů xxxxxxxxxxx x
x) xxxxxx x xxxxxx xxxxxxxxxxx certifikačním xxxxxxx včetně příslušných xxxxxxx x xxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxxxx normou,
splňuje xxxxxxxxx xx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx podle xxxxxx x xxxx xxxxxxxx.
ČÁST TŘETÍ
KYBERNETICKÝ BEZPEČNOSTNÍ XXXXXXXX
§30
Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Podle xxxxxxx xxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx xxxx
x) kybernetický xxxxxxxxxxxx xxxxxxxx způsobený xxxxxxxxxxxxx xxxxxx nebo xxxxx xxxxxxxx vedoucí x průniku xx xxxxxxx xxxx k xxxxxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxx xxxxxxxxx kódem,
c) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx spojený x projevem xxxxxx xxxxxxxxxx hrozeb a
f) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx.
(2) Xxxxx xxxxxx xxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx rozděleny do xxxxxxxxxxxxx xxxx
x) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobující narušení xxxxxxxxxxx xxxxx, xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxx x) až x).
§31
Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx podle xxxxxxxx x negativních xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx xxxx xx xxxxxxxxxxxxx kategorií
a) Xxxxxxxxx XXX - xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx xxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x xxx, xx xxxx xxx xxxxx xxxxxxxxxx prostředky xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxx.
x) Xxxxxxxxx XX - xxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, xxx kterém xx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx. Jeho xxxxxx xxxxxxxx neprodlené xxxxxx xxxxxxx x tím, xx musí xxx xxxxxxxx prostředky zabráněno xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace xxxxxxxxx xxxx.
x) Kategorie X - xxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xxxxxxx x méně xxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx služeb xxxx xxxxx. Xxxx řešení xxxxxxxx zásahy xxxxxxx x tím, xx xxxx xxx xxxxxxxx xxxxxxxxxx omezeno xxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx škod.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx při xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle xxxxxxxx 1 xxxxxxxx
x) xxxxxxxxxx xxxxxxxxx aktiv informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx informačního xxxxxxx,
x) dopady na xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačními xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, nebo xxxxxxxxxx xxxxxxxxxxxx systémy x
x) xxxxxxxxxxxxx xxxxx x xxxxx xxxxxx.
§32
Xxxxx a náležitosti xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
(1) Orgán a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxx kybernetický xxxxxxxxxxxx xxxxxxxx
x) x xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxx
1. xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
2. xxxxxx xx xxxxxx xxxxxxxxxxxx xxxxx Xxxxx xxxxxx xxx xxxxxx xxxxxxx kybernetických bezpečnostních xxxxxxxxx, zveřejněné xx xxxxxxxxxxxxx stránkách Úřadu,
3. xxxxxx xxxxxx xx xxxxxx xxxxxxxx Xxxxx, xxxx
4. xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xxxxx xx zveřejněn xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx, xxxxx
x) v xxxxxxxx xxxxxx na xxxxxx Národního xxxxxx xxxxxxxxxxxx bezpečnosti, xxxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx.
(2) Xxxxxxx v xxxxxxxx xxxxxx xx xxxxxx xxxxx v xxxxxxxxx, kdy xxxxx xxxxxx xxxxx ze xxxxxxx xxxxxxxxx x xxxxxxxx 1 písm. x).
(3) Xxxxxxxxxxx hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx uvedeny x příloze č. 5 k xxxx xxxxxxxx.
ČÁST ČTVRTÁ
REAKTIVNÍ XXXXXXXX X XXXXXXXXX XXXXX
§33
Xxxxxxxxx xxxxxxxx
Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxx opatření x jeho xxxxxxxx xx xxxxxxxxx, jehož xxxx xx xxxxxx x příloze č. 6 x xxxx xxxxxxxx.
§34
Xxxxxxxxx xxxxx
Xxxxx a xxxxx uvedená v §3 xxxxxx xxxxxxxx xxxxxxxxx xxxxx na xxxxxxxxx, xxxxx xxxx xx xxxxxx x příloze č. 7 k této xxxxxxxx. Xxxxx a xxxxx xxxxxxx v §3 xxxx. c) xx x) xxxxxx xxxxxxxx xxxxxxxxx údaje xxxxxx xxxxxxxx v §32 odst. 1 xxxx. x).
XXXX XXXX
XXXXXXXX
§35
Xxxx xxxxxxxx xxxxxx xxxxxxxxx xxxx 1. ledna 2015.
Ředitel:
Ing. Xxxxxxxx x. x.
Xxxxxxx x. 1 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx a xxxxxx důležitosti xxxxx
Xxx xxxxxxxxx důležitosti xxxxx xxxx xxxxxxx stupnice x xxxxxxx xxxxxxxx. Xxxxx nebo xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx může xxxxxxxx odlišný xxxxx xxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxx, xxx xxxx xx xxxxxx x xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx jí xxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx x xxxxxxxx pro xxxxxxxxx xxxxxxxxxxx aktiv, xxxxx xxxx uvedeny x této xxxxxxx.
X xxxxxxx použití xxx xxxxxx xxxxxxxxx důležitosti xxxxx xx přípustné xxxxxxx buď úrovně xxxxx x xxxxxxx, xxxx xxxxxx xxxxxx x xxxxxxxx.
Xxxxxxxx pro xxxxxxxxx důvěrnosti
Úroveň |
Popis |
Ochrana |
Nízká |
Aktiva xxxx xxxxxxx xxxxxxxxx nebo xxxx určena xx xxxxxxxxxx (xxxx. xx xxxxxxx xxxxxx č. 106/1999 Sb., x xxxxxxxxx přístupu x informacím, ve xxxxx pozdějších xxxxxxxx). Xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx zájmy xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx. |
Xxxx vyžadována xxxxx xxxxxxx. |
Xxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxx xxxx-xxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx, xxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx pro řízení xxxxxxxx. |
Xxxxxx |
Xxxxxx xxxxxx veřejně xxxxxxxxx x xxxxxx xxxxxxx xx vyžadována xxxxxxxx xxxxxxxx, jinými xxxxxxxx xxxx smluvními xxxxxxxxxx (xxxx. obchodní xxxxxxxxx xxxxx xxxxxx č. 89/2012 Sb., občanský xxxxxxx, xxxxxx xxxxx xxxxx xxxxxx č. 101/2000 Sb., x xxxxxxx xxxxxxxx xxxxx, xx xxxxx xxxxxxxxxx xxxxxxxx). |
Xxx ochranu xxxxxxxxxx xxxx xxxxxxxxx prostředky, xxxxx xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxx xxxx xxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
Xxxxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx x vyžadují xxxxxxxxxxxxx xxxx xxxxxxx xxx xxxxx předchozí xxxxxxxxx (xxxx. xxxxxxxxxxx xxxxxxxx tajemství, xxxxxxx xxxxxx xxxxx). |
Xxx xxxxxxx xxxxxxxxxx je xxxxxxxxxx xxxxxxxx xxxx, xxxxx x xxxxxxx přistoupily, x metody ochrany xxxxxxxxxxx xxxxxxxx xxxxx xx xxxxxx xxxxxxxxxxxxxx. Xxxxxxx informací jsou xxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxxxxxxx xxx hodnocení xxxxxxxxx
Xxxxxx |
Xxxxx |
Xxxxxxx |
Xxxxx |
Xxxxxxx nevyžaduje xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxxxx xxxxxxxxxx oprávněné xxxxx xxxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
Xxxxxxx |
Xxxxxxx xxxx xxxxxxxxx xxxxxxx x xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx xxxxxx xxxx xxxx k xxxxxxxxx xxxxxxxxxxx zájmů orgánu x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx x xxxx xx xxxxxxxx méně xxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány standardní xxxxxxxx (xxxx. omezení xxxxxxxxxxxx práv xxx xxxxx). |
Xxxxxx |
Xxxxxxx xxxxxxxx ochranu x xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx xxxxxx xxxx k poškození xxxxxxxxxxx xxxxx xxxxxx x xxxxx uvedené x §3 xxxx. x) xx x) xxxxxx x xxxxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx historii xxxxxxxxxxx xxxx x xxxxxxxxxx xxxxxxxx osoby provádějící xxxxx. Xxxxxxx integrity xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxx xx zajištěna pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxxxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx z hlediska xxxxxxxxx. Narušení integrity xxxx x xxxxx xxxxxxx poškození xxxxxxxxxxx xxxxx xxxxxx a xxxxx xxxxxxx v §3 xxxx. c) xx x) zákona x přímými a xxxxx xxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx jsou využívány xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (xxxx. pomocí xxxxxxxxxxx xxxxxxxxxxx podpisu). |
Stupnice xxx hodnocení xxxxxxxxxxx
Xxxxxx |
Xxxxx |
Xxxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxx x x xxxxxxx xxxxxxx je xxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxx xxxxxxx (cca xx 1 xxxxx). |
Xxx xxxxxxx xxxxxxxxxxx je postačující xxxxxxxxxx zálohování. |
Střední |
Narušení xxxxxxxxxxx xxxxxx by xxxxxx xxxxxxxxx xxxx xxxxxxxxxx xxx, dlouhodobější xxxxxxx xxxx k xxxxxxx xxxxxxxx xxxxx xxxxxx x osoby uvedené x §3 xxxx. x) xx e) xxxxxx. |
Xxx ochranu xxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx a xxxxxx. |
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx překročit xxxx xxxxxxxx xxxxx. Jakýkoli xxxxxxx je xxxxx xxxxx xxxxxxxxxx, protože xxxx k xxxxxxx xxxxxxxx xxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx. Xxxxxx jsou považována xxxx xxxxx xxxxxxxx. |
Xxx xxxxxxx dostupnosti jsou xxxxxxxxx záložní xxxxxxx x xxxxxx poskytování xxxxxx xxxx být xxxxxxxxx xxxxxx obsluhy xxxx výměnou xxxxxxxxxxx xxxxx. |
Xxxxxxxx |
Xxxxxxxx dostupnosti xxxxxx xxxx xxxxxxxxx a x krátkodobá xxxxxxxxxxxx (x řádu xxxxxxxx xxxxx) vede x xxxxxxx ohrožení xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx. Xxxxxx jsou xxxxxxxxxx jako xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx záložní xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx xx xxxxxxxxxx x automatizovaná. |
Xxxxxxx x. 2 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx rizik
Hodnocení xxxxx je xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxx xxxxx, hrozba x xxxxxxxxxxxx.
Xxx xxxxxxxxx xxxxx xxx xxxxxx xxxxxxx tuto xxxxxx
xxxxxx = xxxxx x xxxxxx x zranitelnost.
Jednoznačné xxxxxx xxxxxx xxx xxxxxx rizika xx xxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxxx
Xxxxxxxx xxx xxxxxxxxx dopadů |
|
Úroveň |
Popis |
Nízký |
Dopad xx x omezeném xxxxxxx xxxxxx x xxxxxx xxxxxxx x xxxxx xxx katastrofický. Rozsah xxxxxxxxxx xxxx xxxxxxxxxxx x) 10 xxxxxxxxx xxxx s xxxxxxxxx xxxxxxxxxxxxx po xxxx xxxxx xxx 24 hodin xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx do 5&xxxx;000&xxxx;000 Xx anebo c) xxxxxxxxxxx xxxxx xx veřejnost x rozsáhlým omezením xxxxxxxxxx služeb xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxxx 250 xxxx. |
Xxxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx x v xxxxxxxx časovém období. Rozsah xxxxxxxxxx xxxx xx xxxxxxxx x xxxxxxx x) xx 10 xxxxxxx xxxx xx 11 xx 100 xxxx x xxxxxxxxx xxxxxxxxxxxxx xx dobu xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx nebo xxxxxxxxxx xxxxxx xx 5&xxxx;000&xxxx;000 Xx do 50&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx do xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx od 251 do 2&xxxx;500 xxxx. |
Xxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx, xxx xxxxxx xxxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx se xxxxxxxx x rozmezí a) od 11 xx 100 xxxxxxx nebo xx 101 xx 1 000 xxxx s xxxxxxxxx xxxxxxxxxxxxx po xxxx xxxxx xxx 24 xxxxx nebo b) xxxxxxxx xxxx materiální xxxxxx xx 50 000 000 Xx xx 500&xxxx;000&xxxx;000 Xx anebo c) představuje xxxxx xx xxxxxxxxx x rozsáhlým xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx závažného xxxxxx xx xxxxxxxxxxxx života xxxxxxxxxxxxx xx 2&xxxx;501 xx 25&xxxx;000 xxxx. |
Xxxxxxxx |
Xxxxx xx xxxxxx xxxxxxxx, xxxxxx a katastrofický. Rozsah xxxxxxxxxx xxxx se xxxxxxxx x xxxxxxx x) 10 a xxxx xxxxxxx x 1 001 x xxxx xxxx s následnou xxxxxxxxxxxxx xx dobu xxxxx xxx 24 xxxxx xxxx x) finanční xxxx materiální xxxxxx xxxxxxxxxxx 500&xxxx;000&xxxx;000 Kč xxxxx x) představuje xxxxx xx veřejnost x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx zásahu do xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxx než 25&xxxx;000 xxxx. |
Xxxxxxxx pro hodnocení xxxxxx |
|
Xxxxxx |
Xxxxx |
Xxxxx |
Xxxxxx xxxxxxxxxx xxxx xx málo xxxxxxxxxxxxx. Xxxxxxxxxxxxx realizace hrozby xxxx xxxxxxxx než xxxxxx xx 5 xxx. |
Xxxxxxx |
Xxxxxx xx xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx x xxxxxxx xx 1 xxxx xx 5 xxx. |
Xxxxxx |
Xxxxxx xx pravděpodobná až xxxxx pravděpodobná. Předpokládaná xxxxxxxxx xxxxxx je x xxxxxxx xx 1 xxxxxx xx 1 roku. |
Kritická |
Hrozba je xxxxx xxxxxxxxxxxxx xx xxxxxxxx jistá. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx xxxxxxxx xxx jednou xx xxxxx. |
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxx |
|
Xxxxxx |
Xxxxx |
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx xxxx xx zneužití xxxxxxxxxxxxx xxxx pravděpodobné. Xxxxxxxx kvalitní xxxxxxxxxxxx xxxxxxxx, xxxxx jsou xxxxxxx včas xxxxxxxxx xxxxx xxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx. |
Xxxxxxx |
Xxxxxxxxxxxx xx xxxx xxxxxxxxxxxxx až xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx opatření, xxxxxxx xxxxxxxx je xxxxxxxxxx xxxxxxxxxxxx. Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxx detekovat xxxxx xxxxxxx nebo xxxxxxxx xxxxxx o xxxxxxxxx opatření xx xxxxxxx. Nejsou známé xxxxx xxxxxxx pokusy x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
Xxxxxx |
Xxxxxxxxxxxx je xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxx xxxxxx účinnost xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx x xxxx xxxxxxxxxx xxxxxxxxxxxx. Xxxx xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx opatření. |
Kritická |
Zranitelnost je xxxxx pravděpodobná až xx víceméně jisté xxxxxxxx. Xxxxxxxxxxxx opatření xxxxxx xxxxxxxxxxx xxxxx xx xxxxxx účinnost xxxxxx omezena. Neprobíhá xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Jsou xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
Xxxxxxxx xxx xxxxxxxxx rizik |
|
Úroveň |
Popis |
Nízké |
Riziko xx xxxxxxxxxx za xxxxxxxxxx. |
Xxxxxxx |
Xxxxxx xxxx xxx sníženo xxxx náročnými xxxxxxxxxx xxxx x případě xxxxx xxxxxxxxxx opatření xx xxxxxx xxxxxxxxxx. |
Xxxxxx |
Xxxxxx xx dlouhodobě xxxxxxxxxxx x xxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
Xxxxxxxx |
Xxxxxx xx nepřípustné x xxxx být xxxxxxxxxx xxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
X xxxxxxx, xx xxxxx nebo xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxxx metodu xxx xxxxxxxxxxxx a hodnocení xxxxx, xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx, je xxxxx xxxxxxxx xxx hodnocení xxxxxx x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxx xx xxxxxx xxxx xx xxxxxx schopnosti xxxxxxxxx míry xxxxxx x xxxxxxxxxxxxx. Xx xxxxx účelem xxx xxxxxx xxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx vyjádří xxx xxxxxx hrozby, xxx i xxxxxx xxxxxxxxxxxxx. Xxxxxxx postupuje x xxxxx xxxx xxxxx uvedená v §3 xxxx. x) xx x) xxxxxx, xxxxx používá jiný xxxxx úrovní xxx xxxxxxxxx xxxxxx, xxxxxx, xxxxxxxxxxxxx x rizik.
Příloha č. 3 x vyhlášce č. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx algoritmy
(1) Xxxxxxxxxx algoritmy
a) Blokové x proudové šifry xxx xxxxxxx xxxxxxxxxx x xxxxxxxxx
1. Xxxxxxxx Xxxxxxxxxx Xxxxxxxx (XXX) x xxxxxxxx xxxxx xxxxx 128, 192 x 256 xxxx Xxxxxx Data Xxxxxxxxxx Xxxxxxxx (3XXX) x xxxxxxxx délky xxxxx 168 xxxx, omezené xxxxxxx xxx xx xxxxxxxxx klíče menším xxx 10 XX, xxxxxxxx xxxxxxxxx xx XXX.
2. Xxxxxx Xxxx Xxxxxxxxxx Standard (3XXX) x xxxxxxxx xxxxx xxxxx 112 xxxx, xxxxxxx použití xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX, xxxxxxxx xxxxxxxxx xx AES. Xxxxxxxxxx xxxxxxx jedinečného xxxxx xxx xxxxxx xxxxxx.
3. Xxxxxxxx x využitím xxxxxxxxx xxxxx klíčů 128 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx klíče xxxxxx xxx 10 GB.
4. Xxxxxx x xxxxxxxx xxxxx klíčů 128 xxxx, omezené použití xxx se xxxxxxxxx xxxxx xxxxxx xxx 10 XX.
5. Twofish x xxxxxxxx xxxxx xxxxx 128 xx 256 bitů.
6. Serpent x využitím xxxxx xxxxx 128, 192, 256 bitů.
7. Xxxxxxxx x xxxxxxxx xxxxx xxxxx 128, 192 x 256 xxxx.
8. XXXX 2.0, XXXX 3X x xxxxxxxx xxxxx xxxxx 128, 256 xxxx.
x) Módy xxxxxxxxx x xxxxxxxx xxxxxxxxx
1. CCM,
2. XXX,
3. XXX,
4. Složená schémata xxxx "Xxxxxxx-xxxx-XXX".
Xxxxxxxx:
Xxxxxxxx typu "Xxxxxxx-xxxx-XXX",xxxx xxxxxxxx x xxxxxxxxx xxxxx xxxxxxx xxxxxxxxx xxxx x x xxxxxxx XXX xxxxx xxxxxxx xxxx xxx xxxxxxx integrity.
c) Xxxx xxxxxxxxx
1. CTR,
2. XXX,
3. CBC,
4. XXX,
Xxxxxxxx:
Xxxx XXX x XXX xxxx být použity x xxxxxxxx, xxx xxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, při použití xxxx OFB se xxx xxxx klíč xxxxx opakovat xxxxxxx xxxxxxxxxxxxxxx vektoru, xxx xxxxxxx módu XXX xx pro xxxx xxxx nesmí xxxxxxxx xxxxxxx xxxxxx, x xxxxxxx použití XXX xxxx x šifrování xxx xxxxxxx integrity xx xxxxx xxxxxx xxxxxxxx xxxxx útoku xx xxxxxxx CBC xxxx.
x) Xxxx xxx xxxxxxx xxxxxxxxx
1. XXXX,
2. XXX-XXX-X9.19, xxxxxxx xxxxxxx xxx se zatížením xxxxxx než 109 XXX,
3. XXX-XXX-XXXX,
4. XXXX.
(2) Xxxxxxxxxxx xxxxxxxxx
x) Pro xxxxxxxxxxx xxxxxxxxxxx xxxxxxx
1. Xxxxxxx Signature Xxxxxxxxx (XXX) x xxxxxxxx xxxxx xxxxx 2048 xxxx x více, xxxxx parametru xxxxxxxx xxxxxxxx 224 bitů x xxxx.
2. Elliptic Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxxxxx (XX-XXX) x xxxxxxxx xxxxx xxxxx 224 xxxx x xxxx.
3. Xxxxxx-Xxxxxx-Xxxxxxx Xxxxxxxxxxxx Xxxxxxxxx Xxxxxx (RSA-PSS) x xxxxxxxx xxxxx xxxxx 2048 xxxx x xxxx.
x) Xxx xxxxxxx xxxxx xx xxxxx x xxxxxxxxx xxxxx
1. Xxxxxx-Xxxxxxx (XX) x xxxxxxxx délky xxxxx 2048 bitů x xxxx, xxxxx xxxxxxxxx xxxxxxx podgrupy 224 bitů a xxxx.
2. Xxxxxxxx Xxxxx Xxxxxx-Xxxxxxx (ECDH) x xxxxxxxx xxxxx xxxxx 224 xxxx x xxxx.
3. Elliptic Curve Xxxxxxxxxx Xxxxxxxxxx Xxxxxx - Key Encapculation Xxxxxxxxx (ECIES-KEM) x xxxxxxxx xxxxx xxxxx 256 bitů x xxxx.
4. Xxxxxxxx Xxxxxx Xxxxxxxx Xxxxx - Xxx Encapculation Mechanism (XXXX-XXX) s xxxxxxxx xxxxx klíčů 256 xxxx více.
5. Asymetrie Xxxxxxx xxx Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) x využitím délky xxxxx 256 xxxx x xxxx.
6. Xxxxxx Xxxxxx Adleman - Xxxxxxx Asymetrie Xxxxxxxxxx Xxxxxxx (RSA-OAEP) x xxxxxxxx délky xxxxx 2048 x více.
7. Xxxxxx Xxxxxx Xxxxxxx - Key Xxxxxxxxxxxxx Xxxxxxxxx (RSA-KEM) x xxxxxxxx délky klíčů 2048 x xxxx.
(3) Xxxxxxxxx xxxx xxxxxx
x) XXX-2
1. XXX-224,
2. SHA-256,
3. XXX-384,
4. XXX-512,
5. SHA-512/224,
6. XXX-512/256.
x) SHA-3
1. XXX3-224,
2. XXX3-256,
3. XXX3-384,
4. SHA3-512,
5. XXXXX-128,
6. SHAKE-256.
c) Xxxxxxx xxxxxxxx xxxxxx
1. Xxxxxxxx,
2. XXXXXX-160,
3. XXX 1 x xxxxxxxx použitím.
Poznámka x. 1:
XXX-1 se xxxxx používat xxx xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx, xxxxxxxx xxxxxxx, xxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx nekolizní SHA-1.
Poznámka x. 2:
XXX-1 xxx xxxxxxxx xxxxx xxx xxxxxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxx podpisů a xxxxxxxx razítek, xxxxxxxxxx x ověřování XXXX-XXX1, xxxxxx xxx odvozování xxxxx x xxxxxxxxxxxxx xxxxxxxxxx.
Příloha x. 4 x xxxxxxxx x. 316/2014 Sb.
Struktura xxxxxxxxxxxx xxxxxxxxxxx
Xxxx xxxxxxx xxxxxxxx xxxxxxxxxx obsah bezpečnostní xxxxxxxxxxx. Navrhované struktury xxxxxxxxxxxx xxxxxxxxx zahrnují xxxxxx, xxxxx xxxxxxxxxx xxxxxxxxx xxxxx této xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxx dokumentů xxxxxx závazné x xx xx orgánu xxxx xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx, jaký xxxxxxx x xxxxxx bezpečnostní xxxxxxxxxxx xxxxxxx. Xxxxxxxxx xx x změna xxxxx xxxxxxxxxxxx xxxxxxxxx xxxx integrování xxxx xxxxx do xxxxxxx xxxxxxxxx.
X. Xxxxxxxxx xxxxxxxxxxxx xxxxxxxx
(1) Politika xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. a)]
a) Xxxx, principy x xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.
c) Xxxxxxxx x xxxxxxx pro xxxxxx xxxxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxx xxxxxx a xxxxxxx systému řízení xxxxxxxxxxx informací.
e) Pravidla x xxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx pro nápravná xxxxxxxx a zlepšování xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
(2) Xxxxxxxx organizační xxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxx bezpečnostních xxxx x xxxxxx xxxx x povinností,
1. xxxxx a xxxxxxxxxx xxxxxxxx kybernetické xxxxxxxxxxx,
2. xxxxx x povinnosti xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
3. xxxxx a xxxxxxxxxx xxxxxxxx kybernetické xxxxxxxxxxx,
4. xxxxx a xxxxxxxxxx xxxxxxx xxxxx,
5. xxxxx x xxxxxxxxxx výboru xxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxxx na xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx rolí.
(3) Xxxxxxxx xxxxxx xxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. c)]
a) Xxxxxxxx x xxxxxxxx xxx xxxxx dodavatelů.
b) Xxxxxxxx xxx hodnocení xxxxx xxxxxxxxxx.
x) Xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxx a xxxxxxx x xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx x x xxxxxx vzájemné xxxxxxx xxxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxx hodnocení xxxxxxxxxx.
(4) Politika xxxxxxxxxxx xxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx a xxxxxxxx jednotlivých primárních xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxxxxx xxxxxxxxxxx primárních xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx a dostupnosti.
b) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx podpůrných xxxxx
1. xxxxxx a evidence xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx určení xxxxxx xxxxxxx,
2. xxxxxx xxxxx xxxx primárními x xxxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxxx jednotlivých úrovní xxxxx
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx úrovní xxxxx,
2. xxxxxxxx xxx xxxxxxxxxx x evidenci aktiv xxxxx xxxxxx xxxxx,
3. xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx xxx.
(5) Xxxxxxxx bezpečnosti xxxxxxxx xxxxxx**
[§5 odst. 1 xxxx. e), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxx hodnocení
1. xxxxxxx x xxxxx xxxxxxx xxxxxxxxx,
2. způsoby x xxxxx xxxxxxx xxxxxxx aktiv,
3. xxxxxxx x formy poučení xxxxxxxxxxxxxx,
4. xxxxxxx x xxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx bezpečnostní xxxx.
x) Xxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxx řešení xxxxxxx xxxxxxxx bezpečnostní politiky xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx pro xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxx pracovní xxxxxx.
1. xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx xxxx při ukončení xxxxxxxxxx xxxxxx,
2. xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxx pozice.
(6) Xxxxxxxx řízení provozu x xxxxxxxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x bezpečným xxxxxxxx.
x) Xxxxxxx bezpečného provozu.
c) Xxxxxxxxx x standardy xxxxxxxxxx provozu.
d) Řízení xxxxxxxxxxx zranitelností.
e) Pravidla x omezení xxx xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx.
(7) Xxxxxxxx řízení xxxxxxxx**
[§5 odst. 1 xxxx. g), §5 xxxx. 2 písm. x)]
x) Xxxxxxx minimálních xxxxxxxxx/xxxxxxx znát (need xx xxxx).
x) Xxxxxxxxx xx xxxxxx xxxxxxxx.
x) Xxxxxxx cyklus řízení xxxxxxxx.
x) Xxxxxx privilegovaných xxxxxxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx rozdělení xxxxxxxxxxxx xxxxxxxxx v xxxxxxxxxxxx skupinách.
(8) Xxxxxxxx xxxxxxxxxx xxxxxxx uživatelů*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx xxx xxxxxxxx xxxxxxxxx x xxxxxx.
x) Xxxxxxxx použití xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx a xxxxxxxx xx internet.
d) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx xxxxxxx xx xxxxxxxxxx sítích.
f) Bezpečnost xx xxxxxx k xxxxxxxx xxxxxxxxx.
(9) Xxxxxxxx xxxxxxxxxx x obnovy**
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxxx xx zálohování x obnovu.
b) Xxxxxxxx x xxxxxxx zálohování.
c) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx.
x) Xxxxxxxx a xxxxxxx obnovy.
e) Xxxxxxxx x postupy xxxxxxxxx xxxxxxxxxx x xxxxxx.
(10) Xxxxxxxx xxxxxxxxxx xxxxxxxxx x výměny informací**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx x xxxxxxx pro ochranu xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx xxxxxxx elektronické xxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(11) Xxxxxxxx řízení xxxxxxxxxxx xxxxxxxxxxxxx**
[§5 odst. 1 xxxx. k)]
a) Xxxxxxxx xxx xxxxxxx instalace xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxxx oprav xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx vybavení.
(12) Politika xxxxxxxxxx používání mobilních xxxxxxxx*
[§5 odst. 1 xxxx. 1)]
a) Xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx.
x) Pravidla a xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, kterými xxxxx a xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx nedisponuje.
(13) Xxxxxxxx xxxxxxxxxxx a xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx kontrolu xxxxxxxxxx xxxxxxxxxx podmínek.
(14) Xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx*
[§5 xxxx. x písm. n)]
a) Xxxxxxxx a xxxxxxx xxxxxxxxx dokumentů a xxxxxxx.
x) Xxxxxxx xxxxxxxxxxxxx xxxxxxxxx x záznamů.
c) Xxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxx.
(15) Xxxxxxxx ochrany xxxxxxxx xxxxx*
[§5 odst. x písm. o), §5 odst. 2 xxxx. k)]
a) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx.
x) Xxxxx přijatých a xxxxxxxxxxx xxxxxxxxxxxxx opatření xxx xxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx ochranu xxxxxxxx xxxxx.
(16) Xxxxxxxx xxxxxxx xxxxxxxxxxx**
[§5 xxxx. x xxxx. x)]
x) Xxxxxxxx xxx xxxxxxx xxxxxxx.
x) Pravidla xxx xxxxxxxx vstupu xxxx.
x) Xxxxxxxx pro ochranu xxxxxxxx.
x) Detekce xxxxxxxx xxxxxxx bezpečnosti.
(17) Xxxxxxxx xxxxxxxxxxx komunikační xxxx**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla x xxxxxxx xxx zajištění xxxxxxxxxxx xxxx.
x) Xxxxxx xxxx x xxxxxxxxxx xx bezpečný provoz xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxxx x xxxxx xxxx.
x) Pravidla x xxxxxxx pro xxxxxxx xxxxxxxxxx xxxxxxxx x xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.
(18) Politika xxxxxxx před xxxxxxxxx xxxxx*
[§5 xxxx. l xxxx. r), §5 xxxx. 2 xxxx. x)]
x) Pravidla x xxxxxxx pro ochranu xxxxxxxxxx xxxx xxxxxxx x xxxxxx sítí.
b) Xxxxxxxx a postupy xxx xxxxxxx xxxxxxx x sdílených xxxxxxxx xxxxxxx.
x) Xxxxxxxx a xxxxxxx pro xxxxxxx xxxxxxxxxx stanic.
(19) Xxxxxxxx xxxxxxxx a xxxxxxxxx xxxxxxxx xxx detekci xxxxxxxxxxxxxx bezpečnostních xxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxxxxxxx nástroje pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx vyhodnocování x xxxxxxxxx xx detekované xxxxxxxxxxxx bezpečnostní xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx optimalizaci xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(20) Xxxxxxxx xxxxxxx a xxxxxx xxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla x xxxxxxx xxx xxxxxxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí.
b) Xxxxxxxx x postupy xxxxxxxxxx xxxxxxxxxxx xxxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxxxx xxxxxxxx xxx xxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí.
(21) Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Úroveň xxxxxxx x ohledem na xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx
1. xxx přenosu xx xxxxxxxxxxxxx xxxxxx,
2. při xxxxxxx xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxx xxx,
x) Xxxxxx správy xxxxx.
XX. Xxxxxxxxx xxxxx xxxxxxxxxxx
(1) Xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx**
[§28 xxxx. 1 xxxx. x)]
x) Xxxx auditu kybernetické xxxxxxxxxxx.
x) Předmět xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx xxxx xxxxxxxx x xxxx, které xx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx zúčastnily.
e) Datum x xxxxx, xxx xxxx xxxxxxxxx xxxxxxxx xxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Zjištění x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
(2) Xxxxxx z xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx informací**
[§28 xxxx. 1 xxxx. x)]
x) Xxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) Xxxxxxxxxxxx změn x xxxxxxxxx, xxxxx xxxxx xxx xxxx xx xxxxxx řízení bezpečnosti xxxxxxxxx.
x) Xxxxxx vazba x výkonnosti xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x xxxxxxxx xxxxxxxx,
2. xxxxxxxx monitorování a xxxxxx,
3. xxxxxxxx xxxxxx,
4. xxxxxxxx xxxx bezpečnosti,
d) Xxxxxxxx xxxxxxxxx xxxxx x stav xxxxx xxxxxxxx xxxxx.
x) Xxxxxxxxxxxx xxxxxxxx xxx neustálé xxxxxxxxxx.
x) Doporučení xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx xxxxxxxx x xxxx xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
(3) Xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x pro xxxxxxxxxxxx x xxxxxxxxx xxxxx*
[§28 xxxx. 1 písm. x), §28 odst. 2 xxxx. x)]
x) Xxxxxx stupnice xxx xxxxxxxxx xxxxxxxxxx aktiv
1. xxxxxx stupnice pro xxxxxxxxx xxxxxx důvěrnosti xxxxx,
2. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxxxxxx xxxxx,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.
x) Xxxxxx xxxxxxxx pro xxxxxxxxx xxxxx
1. určení xxxxxxxx xxx hodnocení xxxxxx dopadu,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx zranitelnosti,
4. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx rizik,
a) Xxxxxx x xxxxxxxx pro xxxxxxxx rizik.
b) Způsoby xxxxxxxxxxx xxxxxxxxxxxx xxxxx.
(4) Xxxxxx o hodnocení xxxxx x xxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx primárních xxxxx
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx aktiv,
2. xxxxxx xxxxxxx primárních xxxxx,
3. xxxxxxxxx xxxxxxxxxx aktiv x xxxxxxxx důvěrnosti, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxx podpůrných xxxxx (xxxxxxx xxx orgány x xxxxx xxxxxxx x §3 písm. x) xxxxxx)
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx aktiv,
3. určení xxxxx mezi primárními x xxxxxxxxxx xxxxxx,
x) Xxxxxxxxxxxxxx x hodnocení xxxxx
1. xxxxxxxxx xxxxxxx xxxxxx xx aktiva,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx existujících zranitelností, xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
4. xxxxxxxxx xxxxxx rizika, xxxxxxxxx této úrovně x kritérii xxx xxxxxxxxxxxx rizik,
5. určení x xxxxxxxxx xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx rizik
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. návrh opatření x jejich realizace.
(5) Xxxxxxxxxx x xxxxxxxxxxxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx vybraných bezpečnostních xxxxxxxx xxxxxx xxxxxxxxxx xxxxxx xxxxxx x xxxxxx xxxxx na xxxxxxxxxxxxxx rizika.
b) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(6) Xxxx xxxxxxxx xxxxx**
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. e)]
a) Xxxxx a xxxx xxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx rizik.
b) Xxxxxxxx xxxxxx pro xxxxxxxxxx xxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx pro xxxxxxxx rizik.
d) Termíny xxxxxxxx jednotlivých bezpečnostních xxxxxxxx pro xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxxxx zavedení xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
(7) Plán xxxxxxx bezpečnostního xxxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. f)]
a) Xxxxx x xxxxxxx xxxxxxx xxxxxxxxx.
x) Xxxxx x xxxxxxx poučení xxxxxxx xxxxx (xxxxxxx xxx xxxxxx a xxxxx xxxxxxx v §3 písm. x) xxxxxx).
x) Obsah x xxxxxxx xxxxxxx administrátorů (xxxxxxx xxx xxxxxx x xxxxx uvedené x §3 xxxx. x) xxxxxx).
x) Xxxxx x termíny poučení xxxxxxx osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxx x termíny xxxxxxx xxxxxx xxxxxxxxxxx.
x) Formy x způsoby hodnocení xxxxx.
(8) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 xxxx. i), §28 odst. 2 xxxx. x)]
x) Definování xxxxxxxxx kybernetického bezpečnostního xxxxxxxxx.
x) Pravidla a xxxxxxx xxx evidenci x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx testování systému xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x pro zlepšování xxxxxxxxxxxx bezpečnosti.
(9) Strategie xxxxxx xxxxxxxxxx xxxxxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. x)]
x) Xxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxx xxxxxx xxxxxxxxxx činností
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx,
2. xxxx obnovení xxxxx,
3. xxx obnovení xxxxx.
x) Xxxxxxxxx řízení xxxxxxxxxx xxxxxxxx pro xxxxxxxx cílů kontinuity.
d) Xxxxxxx xxxxxxxxx dopadů xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxx xxxxx.
x) Xxxxxx x xxxxx xxxxxxxxxx plánů kontinuity.
f) Xxxxxxx pro xxxxxxxxx xxxxxxxx vydaných Národním xxxxxxxxxxxxx úřadem.
(10) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx předpisů x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. x)]
x) Xxxxxxx obecně xxxxxxxxx xxxxxxxx předpisů.
b) Xxxxxxx xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx.
x) Přehled xxxxxxxxx závazků.
Poznámka:
* Očekávaná xxxxxxxxx xxxxxxxxx xx xx xxxxxx střední xxxxx stupnice uvedené x příloze č. 1: Hodnocení x xxxxxx xxxxx.
** Xxxxxxxxx xxxxxxxxx xxxxxxxxx xx na xxxxxx xxxxxx xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.
Xxxxxxx x. 5 x xxxxxxxx č. 316/2014 Sb.
Formulář xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
Vyplnitelný formulář ve formátu PDF
Příloha č. 6 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxx xxxxxxxx x xxxxxxxxx reaktivního xxxxxxxx a xxxx xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx x. 7 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxx pro xxxxxxx xxxxxxxxxxx xxxxx
Vyplnitelný formulář ve formátu PDF
Informace
Právní xxxxxxx č. 316/2014 Xx. nabyl xxxxxxxxx xxxx 1.1.2015.
Xx xxx xxxxxxxx právní xxxxxxx xxxxx měněn xx xxxxxxxxx.
Xxxxxx xxxxxxx x. 316/2014 Xx. xxx zrušen xxxxxxx xxxxxxxxx č. 82/2018 Sb. s xxxxxxxxx xx 28.5.2018.
Znění xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx právních předpisů x xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx se xxxx netýká xxxxxxxxx xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
1) XXX/XXX 27001:2013, xxxxxxxx ČSN XXX/XXX 27001:2014