Animace načítání

Stránka se připravuje...


Na co čekáte? Nečekejte už ani minutu.
Získejte přístup na tento text ještě dnes. Kontaktujte nás a my Vám obratem uděláme nabídku pro Vás přímo na míru.

Právní předpis byl sestaven k datu 01.01.2015.

Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.


Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)

316/2014 Sb.

Vyhláška

ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ

Předmět úpravy §1

Vymezení pojmů §2

ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ

HLAVA I - ORGANIZAČNÍ OPATŘENÍ

Systém řízení bezpečnosti informací §3

Řízení rizik §4

Bezpečnostní politika §5

Organizační bezpečnost §6

Stanovení bezpečnostních požadavků pro dodavatele §7

Řízení aktiv §8

Bezpečnost lidských zdrojů §9

Řízení provozu a komunikací §10

Řízení přístupu a bezpečné chování uživatelů §11

Akvizice, vývoj a údržba §12

Zvládání kybernetických bezpečnostních událostí a incidentů §13

Řízení kontinuity činností §14

Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15

HLAVA II - TECHNICKÁ OPATŘENÍ

Fyzická bezpečnost §16

Nástroj pro ochranu integrity komunikačních sítí §17

Nástroj pro ověřování identity uživatelů §18

Nástroj pro řízení přístupových oprávnění §19

Nástroj pro ochranu před škodlivým kódem §20

Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních  systémů, jejich uživatelů a administrátorů §21

Nástroj pro detekci kybernetických bezpečnostních událostí §22

Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23

Aplikační bezpečnost §24

Kryptografické prostředky §25

Nástroj pro zajišťování úrovně dostupnosti §26

Bezpečnost průmyslových a řídicích systémů §27

HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE

Bezpečnostní dokumentace §28

Prokázání certifikace §29

ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT

Typy kybernetických bezpečnostních incidentů §30

Kategorie kybernetických bezpečnostních incidentů §31

Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32

ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE

Reaktivní opatření §33

Kontaktní údaje §34

ČÁST PÁTÁ - ÚČINNOST §35

Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv

Příloha č. 2 - Hodnocení rizik

Příloha č. 3 - Minimální požadavky na kryptografické algoritmy

Příloha č. 4 - Struktura bezpečnostní dokumentace

Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu

Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku

Příloha č. 7 - Formulář pro hlášení kontaktních údajů

INFORMACE

316

VYHLÁŠKA

ze xxx 15. xxxxxxxx 2014

o xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, reaktivních xxxxxxxxxx x x xxxxxxxxx xxxxxxxxxxx podání x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx o xxxxxxxxxxxx xxxxxxxxxxx)

Xxxxxxx xxxxxxxxxxxx xxxx xxxxxxx podle §28 xxxx. 2 xxxxxx x. 181/2014 Xx., x kybernetické xxxxxxxxxxx x x xxxxx xxxxxxxxxxxxx xxxxxx (xxxxx x xxxxxxxxxxxx xxxxxxxxxxx), (xxxx jen "zákon") x xxxxxxxxx §6 xxxx. a) xx x), §8 xxxx. 4, §13 xxxx. 4 x §16 xxxx. 6 xxxxxx.

XXXX XXXXX

XXXXXX USTANOVENÍ

§1

Předmět xxxxxx

Xxxxx vyhláškou xx xxxxxxx obsah x xxxxxxxxx xxxxxxxxxxxx dokumentace xxx informační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx, xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxx jejich xxxxxxxx, xxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx x způsob xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx, xxxxxxxxxxx oznámení x provedení reaktivního xxxxxxxx x xxxx xxxxxxxx a vzor xxxxxxxx xxxxxxxxxxx xxxxx x xxxx xxxxx.

§2

Xxxxxxxx xxxxx

X xxxx xxxxxxxx xx xxxxxx

x) xxxxxxxx řízení xxxxxxxxxxx xxxxxxxxx xxxx systému xxxxxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxxxxx xx přístupu x xxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného informačního xxxxxxx, xxxxx xxxxxxx xxxxxx xxxxxxxx, zavádění, xxxxxx, monitorování, přezkoumání, xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx informací,

b) xxxxxxx xxxxxxxx xxxxxxx a xxxxxxxx xxxxxxx,

x) primárním xxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxxx xxxx poskytuje xxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx informační infrastruktury xxxx xxxxxxxx informační xxxxxx,

x) xxxxxxxxx aktivem xxxxxxxxx xxxxxxx, zaměstnanci x xxxxxxxxxx xxxxxxxxxx xx xx xxxxxxx, xxxxxxx, xxxxxx xxxx xxxxxxxxxxx informačního systému xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,

x) xxxxxxxxxx aktivem xxxxxxxxx xxxxxxxx, komunikační xxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx, xx kterých xxxx xxxx xxxxxxx xxxxxxxx,

x) xxxxxxx možnost, xx určitá xxxxxx xxxxxxx xxxxxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx x způsobí xxxxxxxxx xxxxxx,

x) xxxxxxxxxx xxxxx proces, při xxxx xx xxxxxxxx xxxxxxxxxx xxxxx x xxxxxx přijatelná xxxxxx,

x) xxxxxxx rizik činnost xxxxxxxxxx xxxxxxxxx rizik, xxxxx a zavedení xxxxxxxx ke zvládání xxxxx, xxxxxxx informací x xxxxxx x xxxxxxxxx x přezkoumání xxxxx,

x) xxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxx xxxx xxx xxxxxxxxx aktiva,

j) zranitelností xxxxx xxxxx aktiva xxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx může xxx xxxxxxxx jednou nebo xxxx hrozbami,

k) xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xx uplatnění xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxxx xxxxx,

x) xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxx x xxxxxxxx, které xxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxx xxxxxxx x osobou xxxxxxxx x §3 xxxx. x) až x) xxxxxx,

x) garantem aktiva xxxxxxx xxxxx xxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxx v §3 xxxx. x) xx x) xxxxxx x xxxxxxxxx xxxxxxx, xxxxxxx x xxxxxxxxxxx xxxxxx,

x) xxxxxxxxxx xxxxxxx nebo xxxxxxxxx xxxxx anebo xxxxx xxxxxxx xxxx, xxxxx využívá primární xxxxxx,

x) administrátorem xxxxxxx xxxxx pověřená garantem xxxxxx xxxxxxxxxxx správu, xxxxxx, použití, xxxxxx x bezpečnost xxxxxxxxxxx xxxxxx.

XXXX XXXXX

XXXXXXXXXXXX XXXXXXXX

XXXXX X

XXXXXXXXXXX XXXXXXXX

§3

Xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx

(1) Orgán x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx x xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx

x) xxxxxxx x xxxxxxx na xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxx a xxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx, ve xxxxxx xxxx, kterých xxxxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxx xx xxxxxx xxxxxx bezpečnosti informací xxxx,

x) řídí xxxxxx xxxxx §4 xxxx. 1,

x) xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, práva a xxxxxxxxxx xx xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxx x xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx hodnocení xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x dalších xxxxxxxxx xxxxx §5 x xxxxxx příslušná xxxxxxxxxxxx xxxxxxxx,

x) xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,

x) xxxxxxxxxxx vhodnost x xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx §5,

x) zajistí xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §15, x to xxxxxxx xxxxxx ročně,

g) xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxx obsahuje xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací xxxxxx xxxxxx xxxxxxxxx xxxxx, xxxxxxxxx výsledků xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxx kybernetických bezpečnostních xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, x xx xxxxxxx xxxxxx xxxxx,

x) aktualizuje xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx vyhodnocení xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x x xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx a

i) xxxx xxxxxx a zdroje xxxxxxx řízení bezpečnosti xxxxxxxxx, zaznamenává xxxxxxxx xxxxxxx se systémem xxxxxx bezpečnosti xxxxxxxxx x řízením xxxxx.

(2) Xxxxx x osoba xxxxxxx x §3 xxxx. e) zákona x xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx

x) xxxx xxxxxx xxxxx §4 odst. 2,

x) xxxxxxx a schválí xxxxxxxxxxxx xxxxxxxx v xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxx, xxxx, bezpečnostní xxxxxxx, xxxxx a xxxxxxxxxx xx vztahu k xxxxxx xxxxxxxxxxx xxxxxxxxx x na xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxxxx bezpečnostní politiku x xxxxxxx oblastech xxxxx §5, a xxxxxx xxxxxxxxx bezpečnostní xxxxxxxx x

x) provádí xxxxxxxxxxx xxxxxx x xxxxxxxxx xxxxx a xxxxx, xxxxxxxxxxxx xxxxxxxx, xxxxx zvládání rizik x xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, x xx xxxxxxx xxxxxx xx tři xxxx xxxx x souvislosti x prováděnými xxxx xxxxxxxxxxx xxxxxxx.

§4

Xxxxxx xxxxx

(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx x xxxxx xxxxxx xxxxx

x) xxxxxxx xxxxxxxx pro identifikaci x hodnocení aktiv x pro identifikaci x hodnocení rizik xxxxxx xxxxxxxxx kritérií xxx xxxxxxxxxxxx xxxxx,

x) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx aktiv, která xxxxx do rozsahu xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxx §8 x xxxxxxx přílohy č. 1 x xxxx xxxxxxxx x xxxxxxx xxxxxxxxx xx xxxxxx o xxxxxxxxx xxxxx x xxxxx,

x) xxxxxxxxxxxx rizika, xxx kterých xxxxxxxx xxxxxx x xxxxxxxxxxxxx, xxxxxxx xxxxx dopady xx xxxxxx, hodnotí xxxx xxxxxx xxxxxxxxx x rozsahu xxxxx přílohy č. 2 x této xxxxxxxx, xxxx a xxxxxxx přijatelná rizika x zpracuje xxxxxx x xxxxxxxxx xxxxx x rizik,

d) zpracuje xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x výsledků xxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx vybraných x xxxxxxxxxx bezpečnostních xxxxxxxx,

x) zpracuje a xxxxxx plán xxxxxxxx xxxxx, který obsahuje xxxx x přínosy xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx, určení xxxxx zajišťující xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, potřebné xxxxxxxx, xxxxxxxxx, lidské x xxxxxxxxxx xxxxxx, xxxxxx xxxxxx xxxxxxxx x popis xxxxx xxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x

x) xxxxxxxx bez xxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxx xxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx (xxxx xxx "Xxxx") x hodnocení xxxxx a x xxxxxxx, že xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx stanovená kritéria xxx xxxxxxxxxxxx xxxxx, xxxxxx xxxx xxxxxxxx xxxxx.

(2) Orgán x xxxxx xxxxxxx v §3 xxxx. e) xxxxxx x rámci xxxxxx rizik

a) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x pro identifikaci x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx kritérií xxx xxxxxxxxxxxx xxxxx,

x) xxxxxxxxxxxx a hodnotí xxxxxxxxxx primárních xxxxx, xxxxx patří do xxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx, xxxxx §8 xxxxxxxxx x xxxxxxx přílohy č. 1 x xxxx vyhlášce x xxxxxxx xxxxxxxxx xx xxxxxx x xxxxxxxxx xxxxx x xxxxx,

x) xxxxxxxxxxxx xxxxxx, při xxxxxxx zohlední xxxxxx x xxxxxxxxxxxxx, xxxxxxx xxxxx dopady na xxxxxxxx aktiva, xxxxxxx xxxx xxxxxx minimálně x xxxxxxx xxxxx přílohy č. 2 x xxxx xxxxxxxx x xxxxxxxx xxxxxx x xxxxxxxxx xxxxx a xxxxx,

x) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx hodnocení xxxxx xxxxxxxxxx x aplikovatelnosti, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,

x) xxxxxxxx x zavede xxxx xxxxxxxx xxxxx, xxxxx xxxxxxxx cíle a xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx zvládání rizik, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, technické, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxxx xxxxxx xxxxxxxx a xxxxx xxxxx xxxx xxxxxxxxxxxxxxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x

x) xxxxxxxx bez xxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxx xxxxxx Xxxxxx x xxxxxxxxx xxxxx a x xxxxxxx, že hodnocení xxxxx xxxxxxxxxxxxx x xxxx zranitelnosti spojené x xxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx xxx přijatelnost xxxxx, xxxxxx xxxx xxxxxxxx xxxxx.

(3) Xxxxxx xxxxx xxxx být zajištěno x jinými xxxxxxx, xxx xxx je xxxxxxxxx v odstavcích 1 a 2, xxxxx xxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx zajišťující stejnou xxxx vyšší xxxxxx xxxxxx xxxxx.

(4) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxx xxxxxxxxx xxxxx xxxxxxx zejména xxxx xxxxxx

x) porušení xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx ze strany xxxxxxxxx x xxxxxxxxxxxxxx,

x) xxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,

x) zneužití xxxxxxxx xxxxxxx osoby,

d) xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx x xxxxxxxxxx xxxxxxxxxx,

x) xxxxxxxxxxxx xxxx x xxxxxxxxxxx sítě,

f) xxxxxxxx xxx (xxxxxxxxx xxxx, xxxxxxx, trojské xxxx),

x) xxxxxxxxxx xxx xxxxxxxxxxx xxxxxx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,

x) xxxxxxxx xxxxxxx xxxxxxxxxxx,

x) xxxxxxxxx poskytování xxxxxx xxxxxxxxxxxxxx komunikací xxxx dodávek xxxxxxxxxx xxxxxxx,

x) xxxxxxxx xxxx xxxxxxxxxxx modifikace xxxxx,

x) xxxxxx působící xxxxxx x

x) odcizení nebo xxxxxxxxx aktiva.

(5) Orgán x osoba uvedená x §3 xxxx. x) xx e) xxxxxx xxx hodnocení xxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx

x) nedostatečná xxxxxxx xxxxxxxx xxxxxxxxx,

x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,

x) xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury xxxx významného informačního xxxxxxx,

x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxx oprávnění,

e) nedostatečné xxxxxxx xxx identifikování x odhalení xxxxxxxxxxx xxxxxxxxxxxxxx xxxx, kybernetických xxxxxxxxxxxxxx událostí x xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx,

x) xxxxxxxxxxxx monitorování činnosti xxxxxxxxx x xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxx xxxx xxxxxxx způsoby xxxxxxx x

x) xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx pravidel, xxxxxxxx xxxx nejednoznačné vymezení xxxx a xxxxxxxxxx xxxxxxxxx, administrátorů x xxxxxxxxxxxxxx xxxx.

(6) Orgán x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx při hodnocení xxxxx xxxx xxxxxxx xxxx xxxxxx

x) porušení xxxxxxxxxxxx politiky, xxxxxxxxx xxxxxxxxxxxxx činností, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,

x) xxxxxxxxx ze xxxxxx zaměstnanců,

c) xxxxxxxx xxxxxxxxx prostředků, xxxxxxx,

x) xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx elektronických komunikací, xxxxxxx xxxxxxxxxx xxxxxxx xxxx xxxxxx důležitých xxxxxx,

x) xxxxxxxxxx zaměstnanců x xxxxxxxxx odbornou xxxxxx,

x) cílený xxxxxxxxxxxx xxxx xxxxxx sociálního xxxxxxxxxxx, použití špionážních xxxxxxx a

g) zneužití xxxxxxxxxxxxx technických xxxxxx xxx.

(7) Orgán x xxxxx uvedená x §3 písm. c) x x) xxxxxx xxx xxxxxxxxx xxxxx xxxx xxxxxxx xxxx xxxxxxxxxxxxx

x) nedostatečná ochrana xxxxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,

x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,

x) xxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx x

x) xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx strany xxxxxxxxxxx.

§5

Xxxxxxxxxxxx politika

(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxxxxxx bezpečnostní xxxxxxxx v xxxxxxxxx

x) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,

x) xxxxxxxxxxx xxxxxxxxxx,

x) xxxxxx xxxxxx x xxxxxxxxxx,

x) xxxxxxxxxxx xxxxx,

x) xxxxxxxxxx xxxxxxxx xxxxxx,

x) xxxxxx xxxxxxx x xxxxxxxxxx,

x) xxxxxx xxxxxxxx,

x) xxxxxxxx xxxxxxx uživatelů,

i) xxxxxxxxxx x xxxxxx,

x) xxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxx,

x) xxxxxx xxxxxxxxxxx zranitelností,

l) xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx,

x) xxxxxxxxxxx a nabývání xxxxxxx xxxxxxxxxxxx xxxxxxxx x informací,

n) dlouhodobé xxxxxxxx x archivace xxxxxxxxx,

x) xxxxxxx osobních xxxxx,

x) xxxxxxx xxxxxxxxxx,

x) xxxxxxxxxx xxxxxxxxxxx xxxx,

x) xxxxxxx před škodlivým xxxxx,

x) nasazení a xxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx,

x) xxxxxxx a xxxxxx xxxxxxxx pro xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x

x) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.

(2) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) xxxxxx xxxxxxx bezpečnostní xxxxxxxx x xxxxxxxxx

x) xxxxxx řízení xxxxxxxxxxx xxxxxxxxx,

x) xxxxxxxxxxx bezpečnost,

c) xxxxxx xxxxxxxxxx,

x) klasifikace xxxxx,

x) bezpečnost lidských xxxxxx,

x) xxxxxx provozu x xxxxxxxxxx,

x) xxxxxx xxxxxxxx,

x) bezpečné xxxxxxx xxxxxxxxx,

x) xxxxxxxxxx a xxxxxx,

x) xxxxxxxxxxx x xxxxxxxx xxxxxxx programového xxxxxxxx x xxxxxxxxx,

x) xxxxxxx osobních údajů,

l) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx,

x) xxxxxxx xxxx xxxxxxxxx xxxxx x

x) xxxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

(3) Orgán x osoba xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxxxxxxx hodnotí xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xx.

§6

Xxxxxxxxxxx xxxxxxxxxx

(1) Orgán x osoba xxxxxxx x §3 xxxx. x) xx e) xxxxxx zavede xxxxxxxxxx xxxxxx xxxxxxxxxxx informací, x rámci xxxxx xxxx výbor pro xxxxxx kybernetické xxxxxxxxxxx x bezpečnostní xxxx x jejich práva x xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx systémem xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx.

(2) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x x) zákona xxxx xxxxxxxxxxxx xxxx

x) manažer xxxxxxxxxxxx xxxxxxxxxxx,

x) architekt xxxxxxxxxxxx xxxxxxxxxxx,

x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x

x) xxxxxx xxxxxx podle §2 xxxx. x).

(3) Xxxxx a osoba xxxxxxx v §3 xxxx. x) určí xxxxxxxxxxxx xxxx xxxxxxxxx xxxxx odstavce 2.

(4) Xxxxxxx kybernetické xxxxxxxxxxx xx osoba, xxxxxxxxx xx systém xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xx xxx tuto xxxxxxx xxxxxxxxx x xxxxxxx odbornou xxxxxxxxxxx xxxxx x xxxxxxx xxxxxxxxxxx informací xx xxxx xxxxxxx xxx xxx.

(5) Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx osoba xxxxxxxxxxx návrh x xxxxxxxxxxxx bezpečnostních opatření, xxxxx xx pro xxxx xxxxxxx vyškolena x prokáže odbornou xxxxxxxxxxx praxí x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xx dobu xxxxxxx xxx xxx.

(6) Xxxxxxx xxxxxxxxxxxx bezpečnosti xx xxxxx provádějící xxxxx xxxxxxxxxxxx bezpečnosti, xxxxx xx xxx tuto xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x prováděním xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxx xxxxxxx xxx xxx. Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx vykonává xxxxx roli nestranně x xxxxx xxxx xxxx je xxxxxxx xx xxxxxx rolí xxxxxxxxx x odstavci 2 písm. x), x) xxxx x).

(7) Xxxxx pro xxxxxx xxxxxxxxxxxx bezpečnosti xx xxxxxxxxxxxx xxxxxxx tvořená xxxxxxx, xxxxx jsou xxxxxxxx celkovým xxxxxxx x rozvojem informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx, anebo xx xxxxxxxx podílejí xx xxxxxx x koordinaci xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx bezpečností xxxxxx xxxxxxx.

(8) Orgán x xxxxx xxxxxxx v §3 xxxx. c) xx x) xxxxxx xxxxxxx xxxxxxx xxxxxxx xxxx, xxxxx xxxxxxxxx xxxxxxxxxxxx xxxx v xxxxxxx x xxxxxx xxxxxxx bezpečnostního povědomí xxxxx §9 odst. 1 xxxx. b).

§7

Xxxxxxxxx bezpečnostních xxxxxxxxx xxx dodavatele

(1) Orgán x osoba xxxxxxx x §3 písm. x) až x) xxxxxx xxxxxx xxxxxxxx xxx xxxxxxxxxx, xxxxx xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, x xxxxxxxx xx x xxxxxxxxxx xxxx jiných xxxx, xxxxx se xxxxxxxx xx xxxxxxx, xxxxxxx nebo xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního systému. Xxxxxx xxxxxxxx xxxxxxxxxx xx xxxxxxx, provozu xxxx zajištění xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo významného xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxxx, xxxxx xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx informací.

(2) Xxxxx x osoba xxxxxxx x §3 písm. x) x d) xxxxxx u xxxxxxxxxx xxxxxxxxx v xxxxxxxx 1 xxxx

x) před xxxxxxxxx smlouvy xxxxxxx xxxxxxxxx xxxxx xxxxx přílohy č. 2 k této xxxxxxxx, která jsou xxxxxxx x podstatnými xxxxxxxxx,

x) xxxxxxx xxxxxxx x úrovni služeb, xxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxx xxxxx xxxxxxxx xxxxxxx odpovědnosti xx xxxxxxxx a xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, x

x) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx a xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x poskytovaných xxxxxx x zjištěné xxxxxxxxxx xxxxxxxxxx xxxx xx xxxxxx x xxxxxxxxxxx zajistí jejich xxxxxxxxxx.

§8

Řízení aktiv

(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) až e) xxxxxx x rámci xxxxxx aktiv

a) identifikuje x xxxxxxx xxxxxxxx xxxxxx,

x) xxxx xxxxxxx xxxxx, kteří xxxx xxxxxxxxx xx xxxxxxxx xxxxxx, x

x) hodnotí xxxxxxxxxx primárních xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x xxxxxx xx xx jednotlivých xxxxxx xxxxxxxxx v xxxxxxx xxxxx přílohy č. 1 x xxxx xxxxxxxx.

(2) Při xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx je třeba xxxxxxxxx posoudit

a) rozsah x xxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxxxxx,

x) xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxx,

x) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxx,

x) xxxxxxxxx veřejných, obchodních xxxx xxxxxxxxxxxx xxxxx,

x) xxxxx xxxxxxxx xxxxxx,

x) xxxxxx xxxxxxxx běžných xxxxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona,

g) xxxxxx xxxxxxx x xxxxxxxxx důvěrnosti, integrity x dostupnosti x

x) xxxxxx na xxxxxxxxx xxxxxxx xxxxx nebo xxxxxxx xxxxx xxxxxxx.

(3) Xxxxx x osoba xxxxxxx x §3 xxxx. x) a x) zákona xxxx

x) xxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxx,

x) xxxx xxxxxxx xxxxx, kteří xxxx odpovědní za xxxxxxxx xxxxxx, x

x) xxxx xxxxx xxxx xxxxxxxxxx x podpůrnými xxxxxx a hodnotí xxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.

(4) Xxxxx x xxxxx uvedená v §3 xxxx. c) xx x) xxxxxx xxxx

x) stanoví xxxxxxxx xxxxxxx, xxxxx pro xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx tím, xx

1. xxxx xxxxxxx rozlišování xxxxxxxxxxxx xxxxxx aktiv,

2. xxxxxxx xxxxxxxx xxx xxxxxxxxxx a xxxxxxxx x xxxxxx xxxxx xxxxxx xxxxx, včetně xxxxxxxx xxx bezpečné xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxx xxxxx x

3. stanoví xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx,

x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx aktiv x

x) xxxx xxxxxxx xxx spolehlivé smazání xxxx xxxxxx xxxxxxxxxxx xxxxxx dat x xxxxxxx xx úroveň xxxxx.

§9

Xxxxxxxxxx lidských xxxxxx

(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona v xxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx

x) xxxxxxx xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx obsahuje xxxxx, xxxxx x xxxxxx xxxxxxxxxx xxxxxxx x určí osoby xxxxxxxxxxx realizaci jednotlivých xxxxxxxx, které jsou x plánu uvedeny,

b) x souladu x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx zajistí xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx bezpečnostní xxxx o xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx a xxxxxxxxxxxx xxxxxxx,

x) xxxxxxx kontrolu xxxxxxxxxx xxxxxxxxxxxx politiky xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a osob xxxxxxxxxxxxx bezpečnostní xxxx x

x) zajistí vrácení xxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxx, xxxxxxxxxxxxxx nebo xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.

(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx vede x xxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxx, které školení xxxxxxxxxxx.

(3) Xxxxx x xxxxx uvedená x §3 xxxx. c) x x) xxxxxx xxxx

x) xxxxxxx xxxxxxxx xxx xxxxxx xxxx, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx xxxx, xxxx xxxxxxxxxxxxxx nebo xxxxxxxxx,

x) xxxxxxx xxxxxxxx xxxxx xxxxxxx bezpečnostního xxxxxxxx, xxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxx x prohlubováním xxxxxxxxxxxxxx xxxxxxxx,

x) xxxx pravidla x postupy xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx pravidel xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x

x) zajistí xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx xxxx osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.

§10

Řízení xxxxxxx x xxxxxxxxxx

(1) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona x xxxxx xxxxxx xxxxxxx a xxxxxxxxxx xxxxxx technických nástrojů xxxxxxxxx v §21 xx 23 xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx události, xxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxx x xx xxxxxxxx xxxxxxxxxx reaguje x xxxxxxx x §13.

(2) Xxxxx a xxxxx uvedená x §3 písm. x) xx x) xxxxxx x xxxxx xxxxxx xxxxxxx x komunikací xxxx xxxxxxxxx xxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému. Xx tímto účelem xxxxxxx xxxxxxxx pravidla x postupy.

(3) Provozní xxxxxxxx a xxxxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. c) x x) zákona xxxxxxxx

x) xxxxx x povinnosti xxxx xxxxxxxxxxxxx bezpečnostní xxxx, xxxxxxxxxxxxxx a xxxxxxxxx,

x) postupy pro xxxxxxxx a xxxxxxxx xxxxx systému, xxx xxxxxxx xxxx obnovení xxxxx systému xx xxxxxxx x xxx xxxxxxxx chybových xxxxx xxxx xxxxxxxxxxx xxxx,

x) xxxxxxx pro xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x pro ochranu xxxxxxxx k záznamům x těchto xxxxxxxxxx,

x) xxxxxxx xx xxxxxxxxx xxxxx, xxxxx jsou xxxxxx jako podpora xxx xxxxxx neočekávaných xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx,

x) postupy řízení x xxxxxxxxxxx xxxxxxxxxx xxxx x

x) xxxxxxx xxx xxxxxxxxx, xxxxxxxxx x řízení kapacity xxxxxxxx a xxxxxxxxxxx xxxxxx.

(4) Xxxxxx xxxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. c) až x) zákona xxxxxxx x xxxxxxxxx pravidelného xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx záloh.

(5) Xxxxxx xxxxxxx orgánu x xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx spočívá x

x) xxxxxxxxx xxxxxxxx vývojového, xxxxxxxxxxx a xxxxxxxxxxx xxxxxxxxx,

x) xxxxxx reaktivních xxxxxxxx xxxxxxxx Xxxxxx xxx, že xxxxx x xxxxx uvedená x §3 písm. x) a x) xxxxxx

1. xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x na zavedená xxxxxxxxxxxx opatření, vyhodnotí xxxxx negativní xxxxxx x xxx xxxxxxxxxx xxxxxxx xx xxxxxx Xxxxx x

2. xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx opatření, který xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxx, x určí xxxxxx plán jeho xxxxxxxxx.

(6) Xxxxx x xxxxx uvedená x §3 xxxx. c) x x) xxxxxx x xxxxx řízení xxxxxxxxxx

x) zajišťuje xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx xxxx a xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxxx §17,

x) xxxx xxxxxxxx x postupy xxx xxxxxxx informací, které xxxx xxxxxxxxx komunikačními xxxxxx,

x) xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxxxxxxx právními předpisy xx současného xxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxx pravidla xxxxxxxxxxx x

x) s xxxxxxx xx xxxxxxxxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx informací na xxxxxxx xxxxxxxxx xxxxx, xxxxxxx xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx.

§11

Xxxxxx xxxxxxxx x xxxxxxxx chování xxxxxxxxx

(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xx xxxxxxx provozních a xxxxxxxxxxxxxx xxxxxx řídí xxxxxxx k xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x přidělí xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx.

(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx e) xxxxxx xxxxxx xxxxxxxx, xxxxx xxxxxx x zajištění xxxxxxx xxxxx, xxxxx xxxx používány xxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačního xxxxxxx xxxxx §18 x 19, a xxxxx xxxxx ve xxxxxxxx xxxxxx údajů xxxxxxxxxxxx xxxxxx.

(3) Xxxxx a xxxxx xxxxxxx v §3 xxxx. c) x x) xxxxxx xxxx v xxxxx xxxxxx xxxxxxxx

x) xxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx,

x) xxxxx přidělování xxxxxxxxxxxxxxxxxx oprávnění,

c) xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx v souladu x xxxxxxxxx xxxxxx xxxxxxxx,

x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx přístupových xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx v xxxxxxxxxxxx skupinách nebo xxxxxx,

x) xxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx podle §18 x xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §19 a

f) xxxxxx bezpečnostní xxxxxxxx xxxxxxxx xxx bezpečné xxxxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxx x bezpečnostní xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxx x xxxxx xxxxxxx v §3 písm. x) x x) xxxxxx xxxxxxxxxxx.

§12

Xxxxxxxx, xxxxx x xxxxxx

(1) Xxxxx a xxxxx uvedená x §3 xxxx. c) xx x) xxxxxx xxxxxxx bezpečnostní xxxxxxxxx xx změny informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx spojené x xxxxxx akvizicí, xxxxxxx x xxxxxxx a xxxxxx xx xx xxxxxxxx xxxxxxxx, vývoje x xxxxxx systému.

(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx

x) xxxxxxxxxxxx, xxxxxxx a xxxx xxxxxx související x xxxxxxxx, xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx; xxx xxxxxxx xxxxxxxxx a xxxxxx xxxxx xx xxxxxxxx xxxxx §4 xxxx. 1 xxxx. x) xxxxxxx xxxxxxx,

x) zajistí xxxxxxxxxx vývojového xxxxxxxxx x xxxxxxx ochranu xxxxxxxxxxx testovacích xxx x

x) provádí xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx xxxx xxxxxx xxxxxxxxx xx xxxxxxx.

§13

Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x incidentů

Orgán x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx

x) přijme nezbytná xxxxxxxx, xxxxx xxxxxxx xxxxxxxxxx kybernetických bezpečnostních xxxxxxxx x informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významného xxxxxxxxxxxx xxxxxxx ze xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx a o xxxxxxxxxx vede xxxxxxx,

x) xxxxxxxx xxxxxxxxx pro xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí xxxxxxxxxxxx xxxxxxxxxxx nástroji xxxxx §21 xx 23, xxxxxxx jejich xxxxxxxxxxx a identifikuje xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,

x) xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxx xxx odvrácení x zmírnění dopadu xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx, xxxxxxx hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle §32 x xxxxxxx xxxx věrohodných podkladů xxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx,

x) xxxxxxxx a určí xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxx xxxxxxxx xxxxxx kybernetického bezpečnostního xxxxxxxxx a xx xxxxxxx vyhodnocení xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx x

x) xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.

§14

Řízení xxxxxxxxxx xxxxxxxx

(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxxx

x) xxxxx x xxxxxxxxxx garantů xxxxx, administrátorů x xxxx zastávajících xxxxxxxxxxxx xxxx,

x) cíle xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx

1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx, která xx xxxxxxxxxx xxx xxxxxxx, xxxxxx x xxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury nebo xxxxxxxxxx informačního xxxxxxx,

2. xxxx xxxxxxxx xxxxx, xxxxx které xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx poskytovaných xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx systému, x

3. xxxx xxxxxxxx dat xxxx termínu, xx xxxxxxx budou obnovena xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx, a

c) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx b).

(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx dále

a) xxxxxxxxx x dokumentuje možné xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx xxxxxx související x xxxxxxxxx kontinuity xxxxxxxx,

x) xxxxxxx, aktualizuje x pravidelně xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,

x) realizuje xxxxxxxx pro xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému xxxxxxxx informační infrastruktury xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx xxx xxxxxxxxxxx xxxxxx dostupnosti xxxxx §26 x

x) xxxxxxx x xxxxxxxxxxx postupy xxx xxxxxxxxx opatření xxxxxxxx Xxxxxx xxxxx §13 x 14 xxxxxx, ve kterých xxxxxxxx

1. xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxx xxxxxxxx,

2. xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x

3. vyhodnocení xxxxxxxxxx xxxxxxxxxxx xxxxxx xx provoz x xxxxxxxxxx informačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx.

§15

Kontrola x audit xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx

(1) Orgán a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxx xxxxxxxx x xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx (xxxx xxx "audit xxxxxxxxxxxx xxxxxxxxxxx")

x) xxxxxxxx xxxxxx bezpečnostních opatření x xxxxxxxx xxxxxxxx, xxxxxxxxx předpisy, xxxxxx xxxxxxxx x smluvními xxxxxxx xxxxxxxxxxxx xx x informačnímu systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačnímu systému x xxxx opatření xxx xxxx prosazování x

x) xxxxxxx a xxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx bezpečnostní xxxxxxxx x xxxxxxxx xxxxxx xxxxxxx zohlední v xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx xxxxx.

(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) a x) xxxxxx xxxxxxxxx provedení xxxxxx xxxxxxxxxxxx bezpečnosti xxxxxx x odbornou xxxxxxxxxxx xxxxx §6 xxxx. 6, xxxxx xxxxxxx správnost x xxxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx.

(3) Orgán x xxxxx xxxxxxx x §3 xxxx. c) x d) zákona xxxx xxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx provádí xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxx a xxxxxxx xx xxxxxxxx xxxxxxxxxxxxx.

XXXXX XX

XXXXXXXXX OPATŘENÍ

§16

Fyzická xxxxxxxxxx

(1) Xxxxx a xxxxx xxxxxxx v §3 písm. c) xx e) zákona x xxxxx xxxxxxx xxxxxxxxxxx

x) xxxxxx nezbytná xxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxxxx do xxxxxxxxxx xxxxxxx, xxx xxxx xxxxxxxxxxxx xxxxxxxxx x umístěna technická xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,

x) xxxxxx xxxxxxxx opatření x zamezení xxxxxxxxx x zásahům do xxxxxxxxxx xxxxxxx, kde xxxx uchovány informace x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx systému xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x

x) xxxxxxxxx poškození, xxxxxxx nebo zneužití xxxxx nebo přerušení xxxxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.

(2) Xxxxx x xxxxx uvedená x §3 xxxx. c) x x) xxxxxx xxxx uplatňuje xxxxxxxxxx xxxxxxx xxxxxxxxxxx

x) xxx xxxxxxxxx xxxxxxx na xxxxxx objektů x

x) xxx zajištění xxxxxxx x rámci xxxxxxx xxxxxxxxxx zvýšené xxxxxxxxxxx xxxxxxxxxx xxxxxxx, xx xxxxxxx xxxx xxxxxxxx xxxxxxxxx aktiva xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.

(3) Prostředky xxxxxxx xxxxxxxxxxx jsou xxxxxxx

x) xxxxxxxxxx zábranné prostředky,

b) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx,

x) xxxxxxxxxx omezující xxxxxxxx xxxxxx,

x) prostředky xxxxxxxxx xxxxxxxx projevů xxxxxxxxx událostí,

e) systémy xxx xxxxxxxx xxxxxx,

x) xxxxxxxx xxxxxxx,

x) xxxxxxxx xxx xxxxxxxxx xxxxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx napájení x

x) xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx podmínek.

§17

Nástroj pro xxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxx

(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxx xxxxxxx xxxxxxxxx rozhraní xxxxxx xxxxxxxxxxx xxxx, xxxxx xxxx xxx xxxxxxx xxxxxx xxxx xxxxx, x xxxxxxx xxxxxxxxxxx sítě, která xx xxx xxxxxxx xxxxxx xxxx xxxxx, xxxxxx

x) xxxxxx xxxxxxxxxx xxxxxxxx xxxx xxxxxx x vnitřní xxxx,

x) xxxxxxxxxx xxxxxxx použitím xxxxxxxxxxxxxxxxxx zón xxxx xxxxxxxxxxx typu sítě xxxxxxxxxxx ke zvýšení xxxxxxxxxxx xxxxxxxx dostupných x xxxxxx sítě x k zamezení xxxxx komunikace xxxxxxx xxxx x xxxxxx xxxx,

x) xxxxxxxxxxxxxx prostředky (§25) xxx xxxxxxxx xxxxxxx, vzdálenou správu xxxx pro přístup xxxxxx bezdrátových technologií x

x) opatření xxx xxxxxxxxxx nebo xxxxxxxxx xxxxxxxxxxx dat, xxxxx xxxxxxxxxxxx xxxxxxxxxx xx xxxxxxx integrity xxxxxxxxxxx xxxx.

(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx xxxxxxx nástroje xxx xxxxxxx integrity xxxxxxx xxxxxxxxxxx xxxx, xxxxx zajistí xxxx xxxxxxxxxx.

§18

Xxxxxxx pro ověřování xxxxxxxx uživatelů

(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx používá nástroje xxx xxxxxxx identity xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx systému.

(2) Xxxxxxx xxx ověřování xxxxxxxx xxxxxxxxx x administrátorů xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx x administrátorů xxxx zahájením jejich xxxxxxx x xxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxx informačním xxxxxxx.

(3) Nástroj xxx xxxxxxxxx identity xxxxxxxxx, xxxxx používá autentizaci xxxxx heslem, xxxxxxxxx

x) xxxxxxxxx délku xxxxx xxx znaků,

b) xxxxxxxxx xxxxxxxxx xxxxx xxx, xx xxxxx xxxx xxxxxxxxx xxxxxxx 3 x následujících čtyř xxxxxxxxx

1. xxxxxxx jedno xxxxx písmeno,

2. xxxxxxx xxxxx xxxx xxxxxxx,

3. xxxxxxx jednu xxxxxxx, xxxx

4. nejméně jeden xxxxxxxxx xxxx odlišný xx xxxxxxxxx xxxxxxxxx x xxxxxx 1 xx 3,

x) maximální xxxx xxx povinnou xxxxxx xxxxx nepřesahující xxx xxx; xxxxx xxxxxxxxx není xxxxxxxxx xxx samostatné xxxxxxxxxxxxxx xxxxxxxx.

(4) Orgán x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx xxxx

x) používá nástroj xxx xxxxxxx xxxxxxxx, xxxxx

1. xxxxxx xxxxxxxxxx xxxxxxxxx xxxxx používaných xxxxx x xxxxxxxx xxxx změn xxxxx xxxxxxx xxxxxxxxx během xxxxxxxxxxx xxxxxx, které xxxx být xxxxxxx 24 xxxxx, x

2. xxxxxxx opětovné xxxxxxx xxxxxxxx po xxxxxx xxxx nečinnosti a

b) xxxxxxx nástroj xxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx. X xxxxxxx, xx xxxxx nástroj využívá xxxxxxxxxxx xxxxxx, zajistí xxxxxxxxx minimální délky xxxxx xxxxxxx xxxxx xxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx. b) a x).

(5) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxx xxx zajištěn x xxxxxx xxxxxxx, xxx xxxx jsou xxxxxxxxx x xxxxxxxxxx 3 xx 5, xxxxx xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) zákona xxxxxxxxx, xx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxxxx xxxxxx xxxxxxxxx xxxxx.

§19

Xxxxxxx xxx řízení xxxxxxxxxxxx oprávnění

(1) Orgán x osoba xxxxxxx x §3 xxxx. x) xx e) xxxxxx používá xxxxxxx xxx řízení přístupových xxxxxxxxx, kterým xxxxxxx xxxxxx oprávnění

a) xxx xxxxxxx k jednotlivým xxxxxxxxx x xxxxx x

x) xxx čtení xxx, xxx zápis xxx a xxx xxxxx xxxxxxxxx.

(2) Xxxxx x xxxxx uvedená x §3 písm. x) a x) xxxxxx xxxx xxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, který xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x výsledky xxxxxxxxx xxxxx.

§20

Xxxxxxx pro xxxxxxx xxxx škodlivým xxxxx

Xxxxx x osoba uvedená x §3 xxxx. x) xx e) xxxxxx xxx xxxxxx xxxxx spojených x xxxxxxxxx xxxxxxxxxx kódu xxxxxxx xxxxxxx pro xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx systému xxxx škodlivým kódem, xxxxx xxxxxxx xxxxxxx x stálou xxxxxxxx

x) xxxxxxxxxx xxxx xxxxxxx xxxx x xxxxxx xxxx,

x) serverů a xxxxxxxxx datových úložišť x

x) pracovních xxxxxx,

xxxxxxx xxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxx, jeho xxxxxxx x signatur.

§21

Xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x významných xxxxxxxxxxxx systémů, xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx

(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxx pro zaznamenávání xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx zajistí

a) xxxx xxxxxxxxx x provozních x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxx xxxxxxxx, xxxxx x xxx, xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, xxxxx xxxxxxx xxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx x xxxxx činnosti a xxxxxxxxx nebo xxxxxxxxxxx xxxxxxxx a

b) ochranu xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxx čtením xxxx xxxxxx.

(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxx xxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významného xxxxxxxxxxxx systému xxxxxxxxxxx

x) xxxxxxxxxx a odhlášení xxxxxxxxx x xxxxxxxxxxxxxx,

x) xxxxxxxx provedené xxxxxxxxxxxxxx,

x) xxxxxxxx vedoucí xx xxxxx xxxxxxxxxxxx xxxxxxxxx,

x) xxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx uživatelů,

e) xxxxxxxx x ukončení xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významného xxxxxxxxxxxx systému,

f) xxxxxxxxxxx xxxxxxx xxxx xxxxxxx xxxxxxx technických xxxxx,

x) xxxxxxxx k xxxxxxxx x xxxxxxxxxx, pokusy x xxxxxxxxxx xx xxxxxxx o xxxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx pro zaznamenávání xxxxxxxx a

h) xxxxxxx xxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxx xxxxxx xxxxx xxxxx, které xxxxxx x xxxxxxxxxx.

(3) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx xxxxxxx činností xxxxxxxxxxx podle xxxxxxxx 2 uchovává xxxxxxx xx dobu 3 xxxxxx.

(4) Xxxxx a xxxxx uvedená x §3 písm. x) xx x) xxxxxx xxxxxxxxx nejméně xxxxxx xx 24 hodin xxxxxxxxxxxxx jednotného systémového xxxx xxxxxxxxxxx aktiv xxxxxxxxx xx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx významného xxxxxxxxxxxx xxxxxxx.

§22

Xxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx

(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxxxxx xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxxxx vychází ze xxxxxxxxxxx bezpečnostních xxxxxx x xxxxxxxx hodnocení xxxxx x xxxxx xxxxxxx ověření, xxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxx a xxxxxx sítí.

(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxx xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxxxx xxxxxxx xxxxxxx, xxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxx

x) v xxxxx xxxxxxx komunikační xxxx a

b) serverů xxxxxxxxx do informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.

§23

Xxxxxxx xxx sběr x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx

(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx používá nástroj xxx xxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx x souladu s xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxxx hodnocení rizik xxxxxxx

x) integrovaný xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx z xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,

x) poskytování xxxxxxxxx pro xxxxxx xxxxxxxxxxxx role o xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxx xxxx é xxxxxxxxxx infrastruktury x

x) xxxxxxxxxxx xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx incidentů, včetně xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxx.

(2) Orgán x osoba uvedená x §3 xxxx. x) x d) xxxxxx xxxx xxxxxxx

x) xxxxxxxxxxx xxxxxxxxxxx nastavení xxxxxxxx pro xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxx xxxxxxxx, xxx byly omezovány xxxxxxx xxxxxxxxxxx vyhodnocení xxxxxxxx nebo případy xxxxxxxxx xxxxxxxx, x

x) xxxxxxxxx xxxxxxxxx, xxxxx xxxx připraveny nástrojem xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxxxxx xxxxxxxxx bezpečnostních opatření xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury.

§24

Aplikační xxxxxxxxxx

(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx provádí bezpečnostní xxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxx jsou xxxxxxxxx x xxxxxx sítě, x xx xxxx xxxxxx xxxxxxxx xx xxxxxxx x xx xxxxx xxxxxxx xxxxx xxxxxxxxxxxxxx mechanismů.

(2) Orgán x xxxxx uvedená x §3 xxxx. x) a d) xxxxxx xxxx x xxxxx xxxxxxxxx bezpečnosti xxxxxxx xxxxxxx xxxxxxx

x) xxxxxxxx x informací xxxxxxxxxx z vnější xxxx xxxx xxxxxxxxxxxx xxxxxxxx, popřením xxxxxxxxxxx xxxxxxxx, kompromitací nebo xxxxxxxxxxxxxxx změnou x

x) xxxxxxxxx xxxx xxxxxx xxxxxxxxxxxx, nesprávným xxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxx.

§25

Xxxxxxxxxxxxxx xxxxxxxxxx

(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx

x) xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx stanoví

1. xxxxxx xxxxxxx x xxxxxxx xx xxx x xxxx kryptografického xxxxxxxxx a

2. xxxxxxxx xxxxxxxxxxxxxx xxxxxxx informací xxx přenosu xx xxxxxxxxxxxxx xxxxxx nebo xxx uložení xx xxxxxxx zařízení xxxx xxxxxxxxxxx xxxxxxxxx nosiče xxx a

b) x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx používá xxxxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxxx xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx ukládaných dat x xxxxxxxxx identifikaci xxxxx xx xxxxxxxxx xxxxxxxx.

(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxxx

x) xxxxxxx pro xxxxxxxxx xxxxxxxxxxxxxxxx prostředků xxxxxx xxxxxx xxxxx, xxxxx xxxxxxx generování, xxxxxxxxxx, ukládání, xxxxxxxxx, xxxxx, xxxxxx, xxxxxxxx x audit xxxxx, x

x) xxxxxxx xxxxxx xxxxxxxxxxxxxx algoritmy a xxxxxxxxxxxxxx xxxxx; x xxxxxxx xxxxxxxxx x xxxxxxxxxxx požadavky xx xxxxxxxxxxxxxx xxxxxxxxx uvedenými x příloze č. 3 x xxxx xxxxxxxx xxxx xxxxxx xxxxxxx x xxxxx nesouladem.

§26

Xxxxxxx pro xxxxxxxxxxx xxxxxx dostupnosti

(1) Xxxxx x osoba uvedená x §3 xxxx. x) xx e) xxxxxx v xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x výsledky xxxxxxxxx xxxxx používá xxxxxxx xxx xxxxxxxxxxx úrovně xxxxxxxxxxx xxxxxxxxx.

(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx používá xxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, který xxxxxxx

x) xxxxxxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxx splnění xxxx xxxxxx xxxxxxxxxx xxxxxxxx,

x) xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentům, xxxxx xx mohly snížit xxxxxxxxxx, a

c) xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx systému kritické xxxxxxxxxx infrastruktury

1. xxxxxxxx xxxxxxxxxx v návrhu xxxxxx x

2. xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxx x určeném čase.

§27

Bezpečnost průmyslových x xxxxxxxx xxxxxxx

Xxxxx x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx xxx bezpečnost xxxxxxxxxxxx x xxxxxxxx xxxxxxx, xxxxx xxxx xxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxxx xxxx xxxxxx xxxxxxxx, používá xxxxxxxx, které xxxxxxx

x) xxxxxxx xxxxxxxxx xxxxxxxx x xxxx a xxxxxxxxx průmyslových x xxxxxxxx xxxxxxx,

x) xxxxxxx xxxxxxxxx a xxxxxxxxxx xxxxxxxx x xxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxx,

x) ochranu jednotlivých xxxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx xxxx využitím xxxxxxx xxxxxxxxxxxxx x

x) xxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxx systémů po xxxxxxxxxxxxx bezpečnostním incidentu.

XXXXX III

BEZPEČNOSTNÍ XXXXXXXXXXX

§28

Xxxxxxxxxxxx xxxxxxxxxxx

(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) zákona xxxx x aktualizuje xxxxxxxxxxxx dokumentaci, xxxxx xxxxxxxx

x) xxxxxxxxxxxx xxxxxxxx xxxxx §5 xxxx. 1,

x) zprávy x xxxxxx kybernetické bezpečnosti xxxxx §3 odst. 1 písm. x),

x) xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx podle §3 xxxx. 1 xxxx. x),

x) metodiku pro xxxxxxxxxxxx x hodnocení xxxxx x pro xxxxxxxxxxxx x xxxxxxxxx xxxxx,

x) xxxxxx x xxxxxxxxx aktiv x xxxxx,

x) prohlášení x xxxxxxxxxxxxxxxx,

x) xxxx xxxxxxxx xxxxx,

x) xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 xxxx. x),

x) xxxxxxxx xxxxxxxxxxxxxx bezpečnostních incidentů xxxxx §13 xxxx. x),

x) xxxxxxxxx xxxxxx xxxxxxxxxx činností xxxxx §14 xxxx. 1 xxxx. x) x

x) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxx §15 xxxx. 1 xxxx. x).

(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxx x aktualizuje bezpečnostní xxxxxxxxxxx, která xxxxxxxx

x) xxxxxxxxxxxx politiku xxxxx §5 xxxx. 2,

b) xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx aktiv x pro identifikaci x hodnocení xxxxx xxxxx §4 odst. 2 xxxx. x),

x) xxxxxx x xxxxxxxxx xxxxx a rizik xxxxx §4 odst. 2 xxxx. x) x c),

d) xxxxxxxxxx x xxxxxxxxxxxxxxxx podle §4 odst. 2 xxxx. x),

x) xxxx xxxxxxxx xxxxx xxxxx §4 xxxx. 2 xxxx. e),

f) plán xxxxxxx xxxxxxxxxxxxxx povědomí xxxxx §9 xxxx. 1 xxxx. x),

x) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. e),

h) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxx §14 xxxx. 1 xxxx. c) x

x) xxxxxxx xxxxxxxx xxxxxxxx, vnitřních xxxxxxxx x jiných xxxxxxxx x xxxxxxxxx závazků xxxxx §15 odst. 1 xxxx. a).

(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx vede xxxxxxxxxxxx xxxxxxxxxxx xxx, xxx záznamy x xxxxxxxxxxx xxxxxxxxxx xxxx xxxxx, čitelné, snadno xxxxxxxxxxxxxxxxx a xxx xx daly xxxxxx xxxxxxxx. Opatření potřebná x xxxxxxxxxxxx, uložení, xxxxxxx, vyhledání, xxxx xxxxxxxxx x uspořádání xxxxxxx x provedených xxxxxxxxxx xxxxxxxxxxx.

(4) Doporučená xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxx x příloze č. 4 x této xxxxxxxx.

§29

Xxxxxxxxx certifikace

Orgán x xxxxx uvedená x §3 písm. x) xx x) xxxxxx, xxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxx xxxxxxxxxx xxxxxx xx zcela xxxxxxx xx rozsahu xxxxxxx xxxxxx bezpečnosti informací, xxxxx byl certifikován xxxxx xxxxxxxxx xxxxxxxxx xxxxx1) xxxxxxxxxxxxx certifikačním xxxxxxx, x xxxxx xxxx xxxxxxxxx obsahující

a) xxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací,

b) xxxxxxxxxx xxxxxxxx x xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,

x) xxxxx xxxxxxx xxxxxx hodnocení xxxxx x zprávu x xxxxxxxxx xxxxx,

x) xxxxxxxxxx x xxxxxxxxxxxxxxxx,

x) xxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx technické xxxxx xxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxx1),

x) xxxxxx x xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx informací xxxxxx xxxxxxxxxxxxx xxxxxx x xxxxxxx přezkoumání x

x) xxxxxx z xxxxxx provedených xxxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx x nápravě xxxxxxxxxx xxxxxx s xxxxxxxxxx normou,

splňuje xxxxxxxxx xx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx podle xxxxxx x xxxx vyhlášky.

ČÁST TŘETÍ

KYBERNETICKÝ XXXXXXXXXXXX XXXXXXXX

§30

Xxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx

(1) Podle příčiny xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx xxxx

x) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx xxxxxxxx xxxxxxx x průniku do xxxxxxx nebo k xxxxxxx xxxxxxxxxxx xxxxxx,

x) xxxxxxxxxxxx bezpečnostní incident xxxxxxxxx xxxxxxxxx xxxxx,

x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxx technických xxxxxxxx,

x) kybernetický xxxxxxxxxxxx xxxxxxxx způsobený xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx,

x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx x projevem xxxxxx xxxxxxxxxx hrozeb a

f) xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx xxxxxxxxx kybernetickým xxxxxx.

(2) Xxxxx xxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx rozděleny do xxxxxxxxxxxxx xxxx

x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobující xxxxxxxx xxxxxxxxxx xxxxx,

x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx,

x) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx narušení xxxxxxxxxxx xxxxx, nebo

d) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxxx dopadů xxxxxxxxx x xxxxxxxxx x) až c).

§31

Xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx

(1) Xxx potřeby xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx podle xxxxxxxx x negativních xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xx xxxxxxxxxxxxx kategorií

a) Xxxxxxxxx XXX - xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, při xxxxxx xx přímo x xxxxxxxx narušena xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx neprodlené xxxxxx xxxxxxx x xxx, xx xxxx xxx xxxxx dostupnými xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxx.

x) Xxxxxxxxx XX - xxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, při xxxxxx xx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx. Xxxx řešení xxxxxxxx neprodlené xxxxxx xxxxxxx x xxx, xx musí být xxxxxxxx prostředky xxxxxxxxx xxxxxxx xxxxxx kybernetického xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.

x) Xxxxxxxxx X - xxxx xxxxxxx kybernetický bezpečnostní xxxxxxxx, při xxxxxx xxxxxxx x xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxx xxxxxxx x xxx, xx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace xxxxxxxxx xxxx.

(2) Xxxxx x osoba uvedená x §3 písm. x) až x) xxxxxx při xxxxxxxxxxxx xxxxxxxxxxxx kybernetických bezpečnostních xxxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx

x) xxxxxxxxxx xxxxxxxxx aktiv xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx informačního xxxxxxx,

x) dopady na xxxxxxxxxxx služby informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx informační xxxxxxxxxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,

x) xxxxxx xx xxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, nebo významnými xxxxxxxxxxxx xxxxxxx x

x) xxxxxxxxxxxxx škody a xxxxx dopady.

§32

Xxxxx a náležitosti xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx

(1) Xxxxx a xxxxx uvedená v §3 xxxx. x) xx x) xxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx

x) x xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxx

1. xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx,

2. xxxxxx xx xxxxxx xxxxxxxxxxxx xxxxx Úřadu xxxxxx pro xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, zveřejněné xx xxxxxxxxxxxxx xxxxxxxxx Úřadu,

3. xxxxxx xxxxxx xx xxxxxx xxxxxxxx Úřadu, xxxx

4. prostřednictvím xxxxxxxx xxxxxxxx rozhraní, xxxxx xxxxx je xxxxxxxxx xx internetových xxxxxxxxx Xxxxx, anebo

b) x xxxxxxxx xxxxxx na xxxxxx Xxxxxxxxx centra xxxxxxxxxxxx bezpečnosti, zveřejněné xx xxxxxxxxxxxxx stránkách Xxxxx.

(2) Xxxxxxx x xxxxxxxx podobě xx xxxxxx xxxxx v xxxxxxxxx, xxx xxxxx xxxxxx žádný xx xxxxxxx uvedených x xxxxxxxx 1 písm. x).

(3) Náležitosti xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx v příloze č. 5 k xxxx xxxxxxxx.

ČÁST XXXXXX

XXXXXXXXX OPATŘENÍ X KONTAKTNÍ ÚDAJE

§33

Reaktivní xxxxxxxx

Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) xx x) xxxxxx oznámí xxxxxxxxx xxxxxxxxxxx xxxxxxxx x jeho xxxxxxxx xx formuláři, xxxxx xxxx je uveden x příloze č. 6 x xxxx xxxxxxxx.

§34

Kontaktní údaje

Orgán x xxxxx xxxxxxx v §3 xxxxxx xxxxxxxx xxxxxxxxx xxxxx xx xxxxxxxxx, xxxxx xxxx xx xxxxxx v příloze č. 7 x xxxx xxxxxxxx. Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxxx kontaktní xxxxx xxxxxx uvedenou v §32 odst. 1 xxxx. a).

XXXX XXXX

XXXXXXXX

§35

Xxxx xxxxxxxx xxxxxx xxxxxxxxx xxxx 1. xxxxx 2015.

Xxxxxxx:

Xxx. Xxxxxxxx x. r.

Xxxxxxx x. 1 x xxxxxxxx č. 316/2014 Xx.

Xxxxxxxxx x xxxxxx důležitosti xxxxx

Xxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxx xxxxxxx xxxxxxxx x xxxxxxx úrovních. Xxxxx xxxx osoba xxxxxxx v §3 xxxx. c) xx x) xxxxxx xxxx xxxxxxxx xxxxxxx xxxxx xxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxx, xxx xxxx xx uveden x xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx vazby xxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxxx důležitosti xxxxx x xxxxxxxxxx x xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx aktiv, xxxxx jsou xxxxxxx x xxxx xxxxxxx.

X xxxxxxx použití xxx xxxxxx hodnocení důležitosti xxxxx je xxxxxxxxx xxxxxxx buď xxxxxx xxxxx a xxxxxxx, xxxx xxxxxx vysoká x xxxxxxxx.

Xxxxxxxx pro xxxxxxxxx xxxxxxxxxx

Xxxxxx

Xxxxx

Xxxxxxx

Xxxxx

Xxxxxx xxxx xxxxxxx přístupná xxxx xxxx určena xx xxxxxxxxxx (xxxx. xx xxxxxxx xxxxxx č. 106/1999 Sb., x xxxxxxxxx přístupu x xxxxxxxxxx, xx xxxxx pozdějších xxxxxxxx). Xxxxxxxx xxxxxxxxxx aktiv xxxxxxxxxx oprávněné zájmy xxxxxx a xxxxx xxxxxxx x §3 xxxx. x) až x) zákona.

Není xxxxxxxxxx xxxxx ochrana.

Střední

Aktiva xxxxxx xxxxxxx xxxxxxxxx a xxxxx know-how xxxxxx x xxxxx uvedené x §3 xxxx. x) xx x) xxxxxx, xxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxx nebo xxxxxxxx ujednáním.

Pro xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx pro řízení xxxxxxxx.

Xxxxxx

Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxxx xxxxxxx xx xxxxxxxxxx xxxxxxxx předpisy, jinými xxxxxxxx nebo xxxxxxxxx xxxxxxxxxx (např. obchodní xxxxxxxxx xxxxx xxxxxx č. 89/2012 Sb., xxxxxxxx zákoník, xxxxxx údaje xxxxx xxxxxx č. 101/2000 Sb., x xxxxxxx xxxxxxxx xxxxx, xx xxxxx xxxxxxxxxx xxxxxxxx).

Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx prostředky, xxxxx xxxxxxx xxxxxx x zaznamenávání xxxxxxxx. Xxxxxxx informací vnější xxxxxxxxxxx xxxx xxxx xxxxxxxx xxxxxx kryptografických xxxxxxxxxx.

Xxxxxxxx

Xxxxxx xxxxxx xxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxx xxx xxxxx xxxxxxxxx xxxxxxxxx (xxxx. xxxxxxxxxxx xxxxxxxx xxxxxxxxx, citlivé xxxxxx xxxxx).

Xxx ochranu xxxxxxxxxx je xxxxxxxxxx xxxxxxxx osob, xxxxx x xxxxxxx přistoupily, x xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xx xxxxxx xxxxxxxxxxxxxx. Xxxxxxx informací xxxx xxxxxxxx pomocí kryptografických xxxxxxxxxx.

Xxxxxxxx xxx hodnocení xxxxxxxxx

Xxxxxx

Xxxxx

Xxxxxxx

Xxxxx

Xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity aktiva xxxxxxxxxx oprávněné xxxxx xxxxxx x xxxxx xxxxxxx v §3 xxxx. c) až x) xxxxxx.

Xxxx vyžadována xxxxx xxxxxxx.

Xxxxxxx

Xxxxxxx xxxx xxxxxxxxx xxxxxxx z xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx xxxxxx xxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx x

xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxx xx xxxxxxxx méně xxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx.

Xxx xxxxxxx xxxxxxxxx xxxx využívány xxxxxxxxxx xxxxxxxx (xxxx. omezení xxxxxxxxxxxx xxxx xxx xxxxx).

Xxxxxx

Xxxxxxx xxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx aktiva xxxx k poškození xxxxxxxxxxx xxxxx orgánu x osoby xxxxxxx x §3 písm. x) až e) xxxxxx x xxxxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx.

Xxx xxxxxxx integrity xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxxxxx provedených xxxx a xxxxxxxxxx xxxxxxxx osoby provádějící xxxxx.

Xxxxxxx xxxxxxxxx informací xxxxxxxxxxx xxxxxxxx

xxxxxxxxxxxxx xxxxxx xx zajištěna pomocí xxxxxxxxxxxxxxxx prostředků.

Kritická

Aktivum vyžaduje xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx x xxxxx xxxxxxx xxxxxxxxx oprávněných xxxxx orgánu x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx x xxxxxxx a xxxxx vážnými dopady

na xxxxxxxx aktiva.

Pro ochranu xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (xxxx. xxxxxx xxxxxxxxxxx digitálního xxxxxxx).

Xxxxxxxx xxx hodnocení xxxxxxxxxxx

Xxxxxx

Xxxxx

Xxxxxxx

Xxxxx

Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxx a v xxxxxxx výpadku xx xxxxx tolerováno xxxxx xxxxxx období pro xxxxxxx (xxx xx 1 xxxxx).

Xxx ochranu xxxxxxxxxxx xx postačující xxxxxxxxxx xxxxxxxxxx.

Xxxxxxx

Xxxxxxxx xxxxxxxxxxx xxxxxx by xxxxxx xxxxxxxxx xxxx pracovního xxx, xxxxxxxxxxxxx xxxxxxx xxxx x xxxxxxx xxxxxxxx zájmů xxxxxx x osoby xxxxxxx x §3 xxxx. x) xx e) xxxxxx.

Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxx

xxxxxxxxxx a xxxxxx.

Xxxxxx

Xxxxxxxx xxxxxxxxxxx aktiva by xxxxxx xxxxxxxxx dobu xxxxxxxx hodin. Xxxxxxxx xxxxxxx xx xxxxx xxxxx xxxxxxxxxx, protože xxxx x přímému xxxxxxxx xxxxx xxxxxx x osoby uvedené x §3 písm. x) xx e) xxxxxx.

Xxxxxx jsou xxxxxxxxxx xxxx xxxxx xxxxxxxx.

Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx xxxxxxx x obnova poskytování xxxxxx xxxx xxx xxxxxxxxx xxxxxx xxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx.

Xxxxxxxx

Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx přípustné x x krátkodobá nedostupnost (x xxxx xxxxxxxx xxxxx) vede x xxxxxxx ohrožení zájmů

orgánu x osoby uvedené x §3 xxxx. x) xx x) xxxxxx. Xxxxxx jsou xxxxxxxxxx jako kritická.

Pro xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx xxxxxxx systémy x xxxxxx xxxxxxxxxxx xxxxxx je krátkodobá x automatizovaná.

Příloha č. 2 x vyhlášce č. 316/2014 Sb.

Hodnocení xxxxx

Xxxxxxxxx xxxxx xx vyjádřeno xxxx funkce, xxxxxx xxxxxxxxx dopad, hrozba x zranitelnost.

Pro xxxxxxxxx xxxxx xxx xxxxxx xxxxxxx xxxx xxxxxx

xxxxxx = xxxxx x xxxxxx x zranitelnost.

Jednoznačné xxxxxx funkce pro xxxxxx xxxxxx xx xxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxxx

Xxxxxxxx xxx xxxxxxxxx xxxxxx

Xxxxxx

Xxxxx

Xxxxx

Xxxxx je x omezeném xxxxxxx xxxxxx a malého xxxxxxx a xxxxx xxx xxxxxxxxxxxxx.

Xxxxxx xxxxxxxxxx xxxx nepřesahuje

a) 10 xxxxxxxxx osob s xxxxxxxxx hospitalizací xx xxxx delší xxx 24 xxxxx xxxx

x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xx 5&xxxx;000&xxxx;000 Xx xxxxx

x) představuje xxxxx xx veřejnost x xxxxxxxxx xxxxxxxx xxxxxxxxxx služeb xxxx xxxxxx závažného xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxxx 250 xxxx.

Xxxxxxx

Xxxxx je xxxxxxxxx xxxxxxx x v xxxxxxxx xxxxxxx období.

Rozsah xxxxxxxxxx xxxx se xxxxxxxx x xxxxxxx

x) xx 10 xxxxxxx xxxx xx 11 xx 100 osob x následnou xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx xxxx

x) xxxxxxxx nebo xxxxxxxxxx xxxxxx xx 5&xxxx;000&xxxx;000 Xx xx 50&xxxx;000&xxxx;000 Xx anebo

c) xxxxxxxxxxx xxxxx xx xxxxxxxxx s xxxxxxxxx xxxxxxxx nezbytných xxxxxx xxxx jiného xxxxxxxxx xxxxxx do xxxxxxxxxxxx xxxxxx postihujícího xx 251 xx 2&xxxx;500 xxxx.

Xxxxxx

Xxxxx xx omezeného xxxxxxx, ale trvalý xxxx xxxxxxxxxxxxx.

Xxxxxx xxxxxxxxxx xxxx se pohybuje x xxxxxxx

x) od 11 xx 100 xxxxxxx xxxx xx 101 do 1 000 osob s xxxxxxxxx hospitalizací po xxxx xxxxx než 24 xxxxx xxxx

x) xxxxxxxx nebo materiální xxxxxx xx 50 000 000 Xx xx 500 000 000 Xx anebo

c) xxxxxxxxxxx xxxxx na xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx nebo xxxxxx xxxxxxxxx zásahu xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xx 2 501 xx 25 000 osob.

Kritický

Dopad xx xxxxxx xxxxxxxx, xxxxxx a xxxxxxxxxxxxx.

Xxxxxx xxxxxxxxxx xxxx xx xxxxxxxx x rozmezí

a) 10 x xxxx xxxxxxx x 1 001 x více xxxx s xxxxxxxxx xxxxxxxxxxxxx xx dobu xxxxx xxx 24 xxxxx nebo

b) xxxxxxxx xxxx xxxxxxxxxx ztráty xxxxxxxxxxx 500&xxxx;000&xxxx;000 Xx xxxxx

x) xxxxxxxxxxx dopad xx xxxxxxxxx x xxxxxxxxx omezením xxxxxxxxxx xxxxxx nebo jiného xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx postihujícího xxxx xxx 25&xxxx;000 xxxx.

Xxxxxxxx xxx xxxxxxxxx xxxxxx

Xxxxxx

Xxxxx

Xxxxx

Xxxxxx xxxxxxxxxx nebo xx xxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx realizace hrozby xxxx xxxxxxxx xxx xxxxxx za 5 xxx.

Xxxxxxx

Xxxxxx je málo xxxxxxxxxxxxx až xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx x xxxxxxx xx 1 xxxx xx 5 xxx.

Xxxxxx

Xxxxxx xx pravděpodobná xx xxxxx xxxxxxxxxxxxx. Předpokládaná xxxxxxxxx xxxxxx xx x rozpětí xx 1 xxxxxx xx 1 xxxx.

Xxxxxxxx

Xxxxxx xx xxxxx pravděpodobná až xxxxxxxx xxxxx. Předpokládaná xxxxxxxxx hrozby xx xxxxxxxx xxx xxxxxx xx xxxxx.

Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxx

Xxxxxx

Xxxxx

Xxxxx

Xxxxxxxxxxxx neexistuje xxxx xx zneužití xxxxxxxxxxxxx málo pravděpodobné. Xxxxxxxx kvalitní bezpečnostní xxxxxxxx, xxxxx xxxx xxxxxxx včas xxxxxxxxx xxxxx slabiny xxxx xxxxxxxx xxxxxx x xxxxxxxxx opatření.

Střední

Zranitelnost xx xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx opatření, xxxxxxx xxxxxxxx je xxxxxxxxxx xxxxxxxxxxxx. Schopnost xxxxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxx xxxx xxxxxxxx pokusy x xxxxxxxxx opatření xx xxxxxxx. Xxxxxx xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

Xxxxxx

Xxxxxxxxxxxx xx xxxxxxxxxxxxx xx xxxxx pravděpodobná. Xxxxxxxxxxxx xxxxxxxx existují, xxx jejich účinnost xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx x xxxx xxxxxxxxxx xxxxxxxxxxxx. Xxxx xxxxx xxxxx xxxxxxx xxxxxx o xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

Xxxxxxxx

Xxxxxxxxxxxx je xxxxx xxxxxxxxxxxxx xx xx xxxxxxxx jisté xxxxxxxx. Xxxxxxxxxxxx opatření xxxxxx realizována xxxxx xx xxxxxx xxxxxxxx xxxxxx omezena. Neprobíhá xxxxxxxx účinnosti xxxxxxxxxxxxxx xxxxxxxx. Xxxx xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření.

Stupnice pro xxxxxxxxx xxxxx

Xxxxxx

Xxxxx

Xxxxx

Xxxxxx xx xxxxxxxxxx xx xxxxxxxxxx.

Xxxxxxx

Xxxxxx xxxx xxx sníženo xxxx náročnými opatřeními xxxx x případě xxxxx náročnosti xxxxxxxx xx riziko xxxxxxxxxx.

Xxxxxx

Xxxxxx xx xxxxxxxxxx nepřípustné x xxxx xxx xxxxxxxx xxxxxxxxxxxx kroky x xxxx xxxxxxxxxx.

Xxxxxxxx

Xxxxxx xx nepřípustné a xxxx být xxxxxxxxxx xxxxxxxx xxxxx k xxxx odstranění.

V případě, xx xxxxx nebo xxxxx xxxxxxx v §3 xxxx. c) xx e) xxxxxx xxxxxxx metodu xxx xxxxxxxxxxxx a xxxxxxxxx xxxxx, xxxxx xxxxxxxxxxx xxxxxxxxx hrozby x xxxxxxxxxxxxx, xx možné xxxxxxxx xxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxx xx xxxxxx vést xx xxxxxx xxxxxxxxxx xxxxxxxxx míry xxxxxx x xxxxxxxxxxxxx. Xx xxxxx účelem xxx xxxxxx xxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx vyjádří xxx xxxxxx hrozby, xxx x xxxxxx xxxxxxxxxxxxx. Obdobně xxxxxxxxx x orgán xxxx xxxxx uvedená x §3 xxxx. x) xx e) zákona, xxxxx používá xxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxx, xxxxxx, xxxxxxxxxxxxx x xxxxx.

Xxxxxxx x. 3 x xxxxxxxx č. 316/2014 Xx.

Xxxxxxxxx požadavky xx kryptografické xxxxxxxxx

(1) Xxxxxxxxxx xxxxxxxxx

x) Blokové x xxxxxxxx xxxxx xxx ochranu xxxxxxxxxx x xxxxxxxxx

1. Xxxxxxxx Xxxxxxxxxx Standard (XXX) x xxxxxxxx délky xxxxx 128, 192 x 256 xxxx Xxxxxx Xxxx Encryption Xxxxxxxx (3DES) x xxxxxxxx délky klíčů 168 bitů, xxxxxxx xxxxxxx jen xx xxxxxxxxx xxxxx xxxxxx xxx 10 GB, xxxxxxxx přecházet na XXX.

2. Xxxxxx Data Xxxxxxxxxx Standard (3XXX) x xxxxxxxx xxxxx xxxxx 112 xxxx, xxxxxxx použití xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX, xxxxxxxx xxxxxxxxx xx AES. Xxxxxxxxxx xxxxxxx xxxxxxxxxxx klíče xxx xxxxxx xxxxxx.

3. Xxxxxxxx s využitím xxxxxxxxx xxxxx klíčů 128 xxxx, xxxxxxx xxxxxxx jen se xxxxxxxxx xxxxx xxxxxx xxx 10 XX.

4. Xxxxxx x xxxxxxxx xxxxx xxxxx 128 xxxx, omezené použití xxx se xxxxxxxxx xxxxx xxxxxx xxx 10 XX.

5. Xxxxxxx x xxxxxxxx xxxxx xxxxx 128 až 256 bitů.

6. Xxxxxxx x xxxxxxxx xxxxx xxxxx 128, 192, 256 bitů.

7. Xxxxxxxx x využitím xxxxx xxxxx 128, 192 x 256 xxxx.

8. XXXX 2.0, SNOW 3X s využitím xxxxx klíčů 128, 256 bitů.

b) Xxxx xxxxxxxxx s xxxxxxxx xxxxxxxxx

1. CCM,

2. XXX,

3. XXX,

4. Xxxxxxx xxxxxxxx xxxx "Encrypt-then-MAC".

Poznámka:

Schémata xxxx "Xxxxxxx-xxxx-XXX",xxxx xxxxxxxx x xxxxxxxxx xxxxx uvedené xxxxxxxxx módy a x výpočtu XXX xxxxx xxxxxxx xxxx xxx xxxxxxx xxxxxxxxx.

x) Xxxx xxxxxxxxx

1. XXX,

2. XXX,

3. XXX,

4. CFB,

Poznámka:

Módy XXX a XXX xxxx xxx použity x náhodným, xxx xxxxxxxx xxxxxxxxxxxxxxxxxx inicializačním xxxxxxxx, xxx použití xxxx OFB xx xxx daný xxxx xxxxx opakovat xxxxxxx xxxxxxxxxxxxxxx vektoru, xxx xxxxxxx xxxx XXX xx xxx daný xxxx xxxxx xxxxxxxx xxxxxxx čítače, x xxxxxxx xxxxxxx CBC xxxx x šifrování xxx ochrany integrity xx třeba xxxxxx xxxxxxxx xxxxx xxxxx xx xxxxxxx XXX xxxx.

x) Módy xxx xxxxxxx xxxxxxxxx

1. HMAC,

2. XXX-XXX-X9.19, xxxxxxx xxxxxxx xxx xx zatížením xxxxxx než 109 XXX,

3. CBC-MAC-EMAC,

4. CMAC.

(2) Xxxxxxxxxxx algoritmy

a) Xxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx

1. Xxxxxxx Signature Algorithm (XXX) s xxxxxxxx xxxxx xxxxx 2048 xxxx x více, xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx 224 xxxx x více.

2. Xxxxxxxx Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxxxxx (XX-XXX) x xxxxxxxx xxxxx xxxxx 224 bitů x xxxx.

3. Xxxxxx-Xxxxxx-Xxxxxxx Xxxxxxxxxxxx Xxxxxxxxx Scheme (XXX-XXX) x využitím xxxxx xxxxx 2048 xxxx x více.

b) Xxx xxxxxxx xxxxx xx xxxxx x šifrování xxxxx

1. Xxxxxx-Xxxxxxx (DH) x využitím xxxxx xxxxx 2048 xxxx x xxxx, xxxxx xxxxxxxxx xxxxxxx xxxxxxxx 224 xxxx x xxxx.

2. Xxxxxxxx Curve Xxxxxx-Xxxxxxx (ECDH) x xxxxxxxx délky xxxxx 224 xxxx a xxxx.

3. Elliptic Xxxxx Xxxxxxxxxx Encryption Xxxxxx - Key Xxxxxxxxxxxxx Xxxxxxxxx (ECIES-KEM) s xxxxxxxx xxxxx klíčů 256 xxxx x xxxx.

4. Xxxxxxxx Secure Xxxxxxxx Curve - Xxx Encapculation Mechanism (XXXX-XXX) x xxxxxxxx xxxxx xxxxx 256 xxxx více.

5. Asymetrie Xxxxxxx xxx Xxx Xxxxxxxxxxxxx Mechanism (XXX-XXX) x xxxxxxxx délky xxxxx 256 bitů x xxxx.

6. Rivest Xxxxxx Xxxxxxx - Xxxxxxx Xxxxxxxxx Xxxxxxxxxx Xxxxxxx (RSA-OAEP) x xxxxxxxx xxxxx xxxxx 2048 x xxxx.

7. Xxxxxx Xxxxxx Xxxxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) s xxxxxxxx xxxxx xxxxx 2048 x více.

(3) Xxxxxxxxx xxxx xxxxxx

x) XXX-2

1. XXX-224,

2. XXX-256,

3. XXX-384,

4. XXX-512,

5. XXX-512/224,

6. XXX-512/256.

x) XXX-3

1. XXX3-224,

2. XXX3-256,

3. XXX3-384,

4. XXX3-512,

5. XXXXX-128,

6. XXXXX-256.

x) Xxxxxxx xxxxxxxx xxxxxx

1. Whirpool,

2. XXXXXX-160,

3. XXX 1 x xxxxxxxx použitím.

Poznámka x. 1:

SHA-1 xx xxxxx xxxxxxxx pro xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx, xxxxxxxx xxxxxxx, xxxxxxxxx jiné xxxxxxxx xxxxxxxxxx xxxxxxxxx XXX-1.

Xxxxxxxx x. 2:

XXX-1 lze xxxxxxxx pouze xxx xxxxxxxxx již xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxx, xxxxxxxxxx x xxxxxxxxx XXXX-XXX1, xxxxxx xxx odvozování xxxxx x xxxxxxxxxxxxx xxxxxxxxxx.

Xxxxxxx x. 4 x vyhlášce č. 316/2014 Xx.

Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx

Xxxx xxxxxxx xxxxxxxx xxxxxxxxxx obsah xxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx, xxxxx jednotlivé xxxxxxxxx xxxxx xxxx xxxxxxxx xxxxxxxxx, přičemž xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxx závazné a xx na orgánu xxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx, jaký xxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx použije. Xxxxxxxxx xx x xxxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxx xxxx xxxxx xx xxxxxxx xxxxxxxxx.

X. Struktura xxxxxxxxxxxx xxxxxxxx

(1) Xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací*

[§5 xxxx. 1 xxxx. x), §5 odst. 2 písm. a)]

a) Xxxx, principy a xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.

x) Xxxxxx x xxxxxxx xxxxxxx řízení xxxxxxxxxxx informací.

c) Pravidla x postupy pro xxxxxx dokumentace.

d) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxx a xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.

e) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx auditů kybernetické xxxxxxxxxxx.

x) Xxxxxxxx a xxxxxxx xxx přezkoumání xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.

x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxx x xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.

(2) Politika xxxxxxxxxxx xxxxxxxxxxx**

[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]

x) Určení xxxxxxxxxxxxxx xxxx x jejich xxxx x xxxxxxxxxx,

1. xxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx bezpečnosti,

2. xxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx bezpečnosti,

3. xxxxx x povinnosti xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,

4. xxxxx x xxxxxxxxxx xxxxxxx xxxxx,

5. práva x xxxxxxxxxx xxxxxx xxx řízení kybernetické xxxxxxxxxxx.

x) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxx.

(3) Xxxxxxxx xxxxxx dodavatelů**

[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. c)]

a) Xxxxxxxx a xxxxxxxx xxx výběr xxxxxxxxxx.

x) Xxxxxxxx pro xxxxxxxxx xxxxx dodavatelů.

c) Xxxxxxxxxxx xxxxxxx x úrovni xxxxxx a způsobů x xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx x x xxxxxx xxxxxxxx xxxxxxx odpovědnosti.

d) Pravidla xxx xxxxxxxxx xxxxxxxx xxxxxxxx bezpečnostních xxxxxxxx.

x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx.

(4) Xxxxxxxx klasifikace xxxxx**

[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]

x) Xxxxxxxxxxxx, hodnocení x xxxxxxxx xxxxxxxxxx xxxxx

1. xxxxxx x xxxxxxxx jednotlivých xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx garanta,

2. xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx aktiv x xxxxxxxx důvěrnosti, xxxxxxxxx x xxxxxxxxxxx.

x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx podpůrných xxxxx

1. xxxxxx x evidence xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,

2. xxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.

x) Pravidla xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx

1. xxxxxxx rozlišování xxxxxxxxxxxx úrovní aktiv,

2. xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx xxxxx xxxxx úrovní xxxxx,

3. xxxxxxxxx xxxxxxx používání xxxxx.

x) Způsoby spolehlivého xxxxxxx nebo ničení xxxxxxxxxxx xxxxxx xxx.

(5) Xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx**

[§5 odst. 1 xxxx. x), §5 xxxx. 2 písm. x)]

x) Pravidla xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxx xxxxxxxxx

1. xxxxxxx x xxxxx xxxxxxx xxxxxxxxx,

2. xxxxxxx x xxxxx xxxxxxx xxxxxxx aktiv,

3. xxxxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx,

4. způsoby x xxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.

x) Xxxxxxxxxxxx školení xxxxxx zaměstnanců.

c) Xxxxxxxx xxx xxxxxx případů xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.

x) Xxxxxxxx xxx xxxxxxxx pracovního xxxxxx xxxx xxxxx xxxxxxxx xxxxxx.

1. xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx xxxx při ukončení xxxxxxxxxx vztahu,

2. změna xxxxxxxxxxxx xxxxxxxxx při xxxxx xxxxxxxx xxxxxx.

(6) Xxxxxxxx xxxxxx xxxxxxx x komunikací**

[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. f)]

a) Xxxxxxxxx x odpovědnosti xxxxxxx x xxxxxxxxx xxxxxxxx.

x) Xxxxxxx xxxxxxxxxx provozu.

c) Xxxxxxxxx a xxxxxxxxx xxxxxxxxxx xxxxxxx.

x) Řízení xxxxxxxxxxx zranitelností.

e) Pravidla x omezení pro xxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx.

(7) Politika xxxxxx xxxxxxxx**

[§5 xxxx. 1 xxxx. g), §5 xxxx. 2 xxxx. x)]

x) Xxxxxxx xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (need xx xxxx).

x) Požadavky xx xxxxxx xxxxxxxx.

x) Xxxxxxx cyklus xxxxxx xxxxxxxx.

x) Xxxxxx privilegovaných xxxxxxxxx.

x) Řízení xxxxxxxx xxx xxxxxxxxx xxxxxxx.

x) Xxxxxxxxxx xxxxxxxxxxx přístupových xxxxxxxxx včetně xxxxxxxxx xxxxxxxxxxxx uživatelů v xxxxxxxxxxxx xxxxxxxxx.

(8) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxx*

[§5 xxxx. 1 písm. x), §5 odst. 2 xxxx. h)]

a) Xxxxxxxx xxx bezpečné xxxxxxxxx x xxxxxx.

x) Xxxxxxxx použití xxxxxxxxxxxx xxxxx.

x) Bezpečné xxxxxxx xxxxxxxxxxxx pošty a xxxxxxxx xx xxxxxxxx.

x) Xxxxxxxx xxxxxxxx xxxxxxx.

x) Xxxxxxxx xxxxxxx xx xxxxxxxxxx sítích.

f) Xxxxxxxxxx xx vztahu k xxxxxxxx xxxxxxxxx.

(9) Xxxxxxxx xxxxxxxxxx a obnovy**

[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]

x) Xxxxxxxxx xx xxxxxxxxxx x obnovu.

b) Xxxxxxxx x xxxxxxx zálohování.

c) Xxxxxxxx xxxxxxxxxx uložení xxxxx.

x) Pravidla a xxxxxxx xxxxxx.

x) Xxxxxxxx x postupy xxxxxxxxx xxxxxxxxxx x xxxxxx.

(10) Xxxxxxxx bezpečného předávání x xxxxxx xxxxxxxxx**

[§5 xxxx. 1 písm. x)]

x) Xxxxxxxx a xxxxxxx xxx ochranu xxxxxxxxxxx xxxxxxxxx.

x) Způsoby xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx.

x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx ochrany.

(11) Xxxxxxxx řízení xxxxxxxxxxx xxxxxxxxxxxxx**

[§5 xxxx. 1 xxxx. x)]

x) Xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,

x) Xxxxxxxx x xxxxxxx vyhledávání xxxxxxxxx programových balíčků,

c) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,

x) Pravidla x xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.

(12) Xxxxxxxx xxxxxxxxxx xxxxxxxxx mobilních xxxxxxxx*

[§5 xxxx. 1 xxxx. 1)]

x) Pravidla x postupy pro xxxxxxxx xxxxxxxxx mobilních xxxxxxxx.

x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx zařízení, xxxxxxx xxxxx a osoba xxxxxxx v §3 xxxx. c) x x) xxxxxx xxxxxxxxxxx.

(13) Xxxxxxxx xxxxxxxxxxx a xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx a informací*

[§5 xxxx. 1 písm. x), §5 odst. 2 xxxx. j)]

a) Xxxxxxxx a xxxxxxx xxxxxxxx programového xxxxxxxx x jeho xxxxxxxx.

x) Xxxxxxxx x xxxxxxx xxx kontrolu xxxxxxxxxx xxxxxxxxxx podmínek.

(14) Xxxxxxxx xxxxxxxxxxxx xxxxxxxx a xxxxxxxxx xxxxxxxxx*

[§5 xxxx. x písm. x)]

x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxx.

x) Ochrana xxxxxxxxxxxxx xxxxxxxxx x xxxxxxx.

x) Xxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx.

(15) Politika xxxxxxx xxxxxxxx xxxxx*

[§5 xxxx. x xxxx. x), §5 xxxx. 2 xxxx. k)]

a) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx.

x) Xxxxx xxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.

x) Xxxxx přijatých x provedených technických xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.

(16) Xxxxxxxx xxxxxxx xxxxxxxxxxx**

[§5 odst. x xxxx. x)]

x) Xxxxxxxx xxx ochranu xxxxxxx.

x) Xxxxxxxx pro xxxxxxxx xxxxxx xxxx.

x) Xxxxxxxx pro ochranu xxxxxxxx.

x) Xxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxx.

(17) Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx sítě**

[§5 xxxx. 1 xxxx. x)]

x) Xxxxxxxx a xxxxxxx pro zajištění xxxxxxxxxxx sítě.

b) Xxxxxx xxxx a xxxxxxxxxx xx bezpečný xxxxxx xxxx.

x) Xxxxxxxx a xxxxxxx xxx xxxxxx xxxxxxxx x rámci xxxx.

x) Xxxxxxxx x xxxxxxx pro ochranu xxxxxxxxxx xxxxxxxx k xxxx.

x) Pravidla x xxxxxxx pro xxxxxxxxxxxx xxxx a xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.

(18) Xxxxxxxx xxxxxxx před xxxxxxxxx xxxxx*

[§5 odst. l xxxx. x), §5 xxxx. 2 xxxx. x)]

x) Pravidla a xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxx x xxxxxx sítí.

b) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxx x xxxxxxxxx datových xxxxxxx.

x) Pravidla a xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxx.

(19) Xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí**

[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]

x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

x) Provozní postupy xxx vyhodnocování x xxxxxxxxx na xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx.

x) Xxxxxxxx x postupy xxx optimalizaci nastavení xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.

(20) Xxxxxxxx využití x xxxxxx xxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx**

[§5 xxxx. 1 xxxx. x)]

x) Xxxxxxxx x xxxxxxx pro xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.

b) Xxxxxxxx x postupy xxxxxxxxxx xxxxxxxxxxx pravidel xxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.

x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx pro xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

(21) Xxxxxxxx xxxxxxxxxx používání xxxxxxxxxxxxxx xxxxxxx**

[§5 xxxx. 1 xxxx. u), §5 xxxx. 2 písm. x)]

x) Úroveň xxxxxxx x xxxxxxx xx xxx a xxxx xxxxxxxxxxxxxxxx xxxxxxxxx.

x) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx

1. xxx xxxxxxx xx xxxxxxxxxxxxx sítích,

2. xxx xxxxxxx xx mobilní xxxxxxxx xxxx vyměnitelný xxxxxxxxx xxxxx xxx,

x) Xxxxxx správy xxxxx.

XX. Xxxxxxxxx xxxxx xxxxxxxxxxx

(1) Xxxxxx z xxxxxx xxxxxxxxxxxx xxxxxxxxxxx**

[§28 xxxx. 1 xxxx. b)]

a) Xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.

x) Předmět xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.

x) Kritéria xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.

x) Xxxxxxxxxxxxxx xxxx xxxxxxxx x xxxx, xxxxx xx auditu kybernetické xxxxxxxxxxx xxxxxxxxxx.

x) Datum x xxxxx, xxx xxxx prováděny xxxxxxxx xxx auditu kybernetické xxxxxxxxxxx.

x) Xxxxxxxx x xxxxxx xxxxxxxxxxxx bezpečnosti.

g) Xxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.

(2) Xxxxxx x xxxxxxxxxxx systému řízení xxxxxxxxxxx informací**

[§28 xxxx. 1 xxxx. c)]

a) Xxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,

x) Xxxxxxxxxxxx xxxx a xxxxxxxxx, které mohou xxx vliv xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx.

x) Zpětná vazba x výkonnosti řízení xxxxxxxxxxx informací

1. xxxxxxx x nápravná xxxxxxxx,

2. xxxxxxxx xxxxxxxxxxxx x xxxxxx,

3. výsledky xxxxxx,

4. xxxxxxxx xxxx xxxxxxxxxxx,

x) Xxxxxxxx hodnocení xxxxx x xxxx xxxxx xxxxxxxx xxxxx.

x) Xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxx.

x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx opatření x xxxx zajišťujících xxxxx xxxxxxxxxxxx činností.

(3) Xxxxxxxx xxx identifikaci x xxxxxxxxx xxxxx x pro xxxxxxxxxxxx x xxxxxxxxx xxxxx*

[§28 xxxx. 1 písm. x), §28 odst. 2 xxxx. x)]

x) Xxxxxx xxxxxxxx xxx xxxxxxxxx primárních aktiv

1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxx,

2. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxxxxxx aktiv,

3. xxxxxx xxxxxxxx pro hodnocení xxxxxx xxxxxxxxxxx xxxxx.

x) Xxxxxx stupnice pro xxxxxxxxx xxxxx

1. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxx,

2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,

3. xxxxxx xxxxxxxx xxx hodnocení xxxxxx zranitelnosti,

4. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxx,

x) Xxxxxx x přístupy xxx xxxxxxxx rizik.

b) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx.

(4) Xxxxxx x xxxxxxxxx xxxxx x xxxxx**

[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. c)]

a) Xxxxxxx xxxxxxxxxx xxxxx

1. xxxxxxxxxxxx a popis xxxxxxxxxx aktiv,

2. xxxxxx xxxxxxx primárních xxxxx,

3. xxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.

x) Xxxxxxx podpůrných xxxxx (xxxxxxx xxx orgány x xxxxx xxxxxxx x §3 xxxx. x) zákona)

1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx xxxxx,

2. xxxxxx garantů xxxxxxxxxx aktiv,

3. xxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx,

x) Xxxxxxxxxxxxxx a xxxxxxxxx xxxxx

1. posouzení xxxxxxx xxxxxx na xxxxxx,

2. xxxxxxxxx existujících xxxxxx,

3. xxxxxxxxx xxxxxxxxxxxx zranitelností, xxxxxxxxx existujících xxxxxxxx,

4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx xxxx xxxxxx x kritérii xxx xxxxxxxxxxxx rizik,

5. určení x xxxxxxxxx xxxxxxxxxxxx xxxxx.

x) Xxxxxxxx xxxxx

1. xxxxx způsobu zvládání xxxxx,

2. návrh opatření x xxxxxx xxxxxxxxx.

(5) Xxxxxxxxxx x aplikovatelnosti*

[§28 xxxx. 1 xxxx. x), §28 odst. 2 písm. x)]

x) Xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxx výběru x xxxxxx xxxxx xx xxxxxxxxxxxxxx xxxxxx.

x) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

(6) Xxxx xxxxxxxx rizik**

[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. x)]

x) Xxxxx a xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.

x) Xxxxxxxx xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.

x) Xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.

x) Xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.

x) Xxxxxxx hodnocení xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx opatření pro xxxxxxxx xxxxx.

(7) Xxxx xxxxxxx bezpečnostního xxxxxxxx*

[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]

x) Xxxxx x xxxxxxx xxxxxxx xxxxxxxxx.

x) Obsah x xxxxxxx poučení xxxxxxx aktiv (xxxxxxx xxx xxxxxx a xxxxx uvedené x §3 xxxx. x) xxxxxx).

x) Obsah x xxxxxxx xxxxxxx xxxxxxxxxxxxxx (xxxxxxx xxx xxxxxx x xxxxx uvedené x §3 xxxx. x) zákona).

d) Xxxxx x termíny xxxxxxx xxxxxxx osob zastávajících xxxxxxxxxxxx xxxx.

x) Xxxxx x xxxxxxx poučení xxxxxx xxxxxxxxxxx.

x) Formy x xxxxxxx xxxxxxxxx xxxxx.

(8) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů**

[§28 xxxx. 1 písm. i), §28 odst. 2 xxxx. g)]

a) Xxxxxxxxxx xxxxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx.

x) Pravidla a xxxxxxx pro xxxxxxxx x xxxxxxxx jednotlivých xxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.

x) Xxxxxxxx x xxxxxxx testování xxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.

x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx x xxx zlepšování xxxxxxxxxxxx xxxxxxxxxxx.

(9) Xxxxxxxxx xxxxxx kontinuity činností**

[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. h)]

a) Xxxxx a povinnosti xxxxxxxxxxxx xxxx.

x) Cíle xxxxxx xxxxxxxxxx xxxxxxxx

1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx,

2. xxxx xxxxxxxx xxxxx,

3. xxx xxxxxxxx xxxxx.

x) Xxxxxxxxx xxxxxx xxxxxxxxxx činností xxx xxxxxxxx xxxx xxxxxxxxxx.

x) Xxxxxxx hodnocení dopadů xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx kontinuitu x xxxxxxxxxx souvisejících xxxxx.

x) Xxxxxx a obsah xxxxxxxxxx plánů kontinuity.

f) Xxxxxxx pro realizaci xxxxxxxx xxxxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx.

(10) Xxxxxxx xxxxxx závazných xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx*

[§28 xxxx. 1 písm. x), §28 odst. 2 písm. i)]

a) Xxxxxxx obecně xxxxxxxxx xxxxxxxx xxxxxxxx.

x) Přehled xxxxxxxxx předpisů a xxxxxx xxxxxxxx.

x) Přehled xxxxxxxxx xxxxxxx.

Xxxxxxxx:

* Xxxxxxxxx xxxxxxxxx xxxxxxxxx xx xx úrovni střední xxxxx stupnice xxxxxxx x příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.

** Xxxxxxxxx důvěrnost xxxxxxxxx xx na xxxxxx xxxxxx xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx a xxxxxx xxxxx.

Xxxxxxx x. 5 x xxxxxxxx x. 316/2014 Xx.

Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx

Vyplnitelný formulář ve formátu PDF

Xxxxxxx x. 6 x vyhlášce x. 316/2014 Sb.

Formulář xxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx x jeho xxxxxxxx

Vyplnitelný formulář ve formátu PDF

Xxxxxxx x. 7 x vyhlášce x. 316/2014 Xx.

Xxxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxx

Vyplnitelný formulář ve formátu PDF

Informace

Právní xxxxxxx x. 316/2014 Xx. xxxxx xxxxxxxxx xxxx 1.1.2015.

Ke xxx xxxxxxxx xxxxxx xxxxxxx xxxxx xxxxx xx xxxxxxxxx.

Xxxxxx předpis x. 316/2014 Xx. xxx xxxxxx právním xxxxxxxxx č. 82/2018 Sb. x xxxxxxxxx xx 28.5.2018.

Xxxxx xxxxxxxxxxxx xxxxxxxx norem xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx není xxxxxxxxxxxxx, pokud se xxxx xxxxxx xxxxxxxxx xxxxx shora uvedeného xxxxxxxx předpisu.

1) XXX/XXX 27001:2013, xxxxxxxx XXX ISO/IEC 27001:2014