Právní předpis byl sestaven k datu 01.01.2015.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
XXXXXXXX
xx xxx 15. xxxxxxxx 2014
o xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x x stanovení xxxxxxxxxxx podání x xxxxxxx xxxxxxxxxxxx bezpečnosti (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx xxxxxxxxxxxx xxxx xxxxxxx podle §28 xxxx. 2 xxxxxx x. 181/2014 Xx., x kybernetické xxxxxxxxxxx x o xxxxx xxxxxxxxxxxxx xxxxxx (zákon x kybernetické bezpečnosti), (xxxx xxx "zákon") x provedení §6 xxxx. x) xx x), §8 xxxx. 4, §13 xxxx. 4 a §16 xxxx. 6 xxxxxx.
XXXX XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxxx xxxxxxxxx xx xxxxxxx xxxxx x xxxxxxxxx xxxxxxxxxxxx dokumentace xxx xxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxx systém kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxx informační xxxxxx, xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxx jejich xxxxxxxx, xxxx x kategorie xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx oznámení x provedení reaktivního xxxxxxxx x xxxx xxxxxxxx x vzor xxxxxxxx xxxxxxxxxxx xxxxx x xxxx formu.
§2
Xxxxxxxx xxxxx
X xxxx xxxxxxxx se xxxxxx
x) xxxxxxxx xxxxxx bezpečnosti xxxxxxxxx část xxxxxxx xxxxxx xxxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx e) zákona xxxxxxxx na přístupu x xxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx stanoví xxxxxx ustavení, zavádění, xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx,
x) aktivem xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxxx xxxx poskytuje xxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikační xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxx informační xxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxx x xxxxxxxxxx podílející xx xx xxxxxxx, xxxxxxx, xxxxxx nebo xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx, komunikační prostředky x programové xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx systému x xxxxxxx, ve xxxxxxx xxxx xxxx xxxxxxx xxxxxxxx,
x) rizikem xxxxxxx, xx určitá xxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxx aktiva,
g) xxxxxxxxxx xxxxx xxxxxx, xxx xxxx je xxxxxxxx xxxxxxxxxx xxxxx x xxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxx rizik xxxxxxx xxxxxxxxxx hodnocení xxxxx, xxxxx x zavedení xxxxxxxx xx xxxxxxxx xxxxx, xxxxxxx informací x riziku x xxxxxxxxx a přezkoumání xxxxx,
x) xxxxxxx potencionální xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, jejímž xxxxxxxxx xxxx být xxxxxxxxx aktiva,
j) xxxxxxxxxxxxx xxxxx xxxxx aktiva xxxx xxxxxxxxxxxxxx opatření, xxxxx xxxx být xxxxxxxx xxxxxx nebo xxxx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxx xxxxxx zbývající xx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxx soubor zásad x pravidel, xxxxx xxxxxx způsob xxxxxxxxx xxxxxxx xxxxx orgánem x xxxxxx uvedenou x §3 xxxx. x) xx x) xxxxxx,
x) garantem aktiva xxxxxxx osoba xxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxx x §3 xxxx. x) xx x) zákona k xxxxxxxxx xxxxxxx, použití x xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxx xxxxx veřejné xxxx, xxxxx xxxxxxx xxxxxxxx xxxxxx,
x) administrátorem fyzická xxxxx pověřená xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxx, xxxxxx, xxxxxxx, xxxxxx x bezpečnost xxxxxxxxxxx xxxxxx.
XXXX XXXXX
XXXXXXXXXXXX OPATŘENÍ
HLAVA X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx řízení xxxxxxxxxxx informací
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) a d) xxxxxx x xxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx x xxxxxxx xx xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxx a xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xx xxxxxx xxxx, xxxxxxx organizačních xxxxx x xxxxxxxxxxx xxxxx xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx,
x) xxxx xxxxxx xxxxx §4 odst. 1,
x) xxxxxxx x xxxxxxx xxxxxxxxxxxx politiku x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, xxxxx xxxxxxxx xxxxxx xxxxxx, cíle, xxxxxxxxxxxx xxxxxxx, xxxxx a xxxxxxxxxx ve xxxxxx x xxxxxx bezpečnosti xxxxxxxxx x na xxxxxxx xxxxxxxxxxxxxx xxxxxx x výsledků xxxxxxxxx xxxxx stanoví xxxxxxxxxxxx xxxxxxxx v xxxxxxx xxxxxxxxx xxxxx §5 x zavede příslušná xxxxxxxxxxxx opatření,
d) monitoruje xxxxxxxx xxxxxxxxxxxxxx opatření,
e) xxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxx politiky xxxxx §5,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx podle §15, x xx nejméně xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx hodnocení xxxxx, xxxxxxxxx výsledků xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx na xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, x xx xxxxxxx xxxxxx xxxxx,
x) xxxxxxxxxxx xxxxxx xxxxxx bezpečnosti xxxxxxxxx x příslušnou xxxxxxxxxxx xx xxxxxxx xxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx vyhodnocení xxxxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx a x xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx a
i) řídí xxxxxx x xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxx xxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 xxxx. e) xxxxxx x xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxx xxxxxx xxxxx §4 xxxx. 2,
x) xxxxxxx a schválí xxxxxxxxxxxx xxxxxxxx x xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx, která xxxxxxxx xxxxxx xxxxxx, xxxx, bezpečnostní xxxxxxx, xxxxx x povinnosti xx xxxxxx k xxxxxx xxxxxxxxxxx xxxxxxxxx x xx xxxxxxx xxxxxxxxxxxxxx potřeb x xxxxxxxx xxxxxxxxx rizik xxxxxxx bezpečnostní politiku x xxxxxxx xxxxxxxxx xxxxx §5, x xxxxxx příslušná xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxx xxxxxxxxxxx xxxxxx o xxxxxxxxx xxxxx a xxxxx, xxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxx x plánu rozvoje xxxxxxxxxxxxxx xxxxxxxx, x xx xxxxxxx jednou xx xxx xxxx xxxx x xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx změnami.
§4
Xxxxxx xxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx x rámci xxxxxx rizik
a) xxxxxxx xxxxxxxx pro identifikaci x xxxxxxxxx aktiv x pro identifikaci x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx rizik,
b) xxxxxxxxxxxx x hodnotí xxxxxxxxxx aktiv, xxxxx xxxxx xx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx §8 x xxxxxxx přílohy č. 1 x této xxxxxxxx x xxxxxxx xxxxxxxxx xx zprávy o xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx xxxxxxxx xxxxxx a xxxxxxxxxxxxx, xxxxxxx xxxxx xxxxxx xx xxxxxx, hodnotí xxxx xxxxxx minimálně x xxxxxxx podle přílohy č. 2 k této xxxxxxxx, xxxx a xxxxxxx xxxxxxxxxx rizika x xxxxxxxx xxxxxx x hodnocení xxxxx x rizik,
d) xxxxxxxx xx základě bezpečnostních xxxxxx a xxxxxxxx xxxxxxxxx rizik xxxxxxxxxx x aplikovatelnosti, které xxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxx bezpečnostních xxxxxxxx,
x) zpracuje a xxxxxx plán xxxxxxxx xxxxx, který xxxxxxxx xxxx x přínosy xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x xxxxxxxxxx zdroje, xxxxxx xxxxxx xxxxxxxx x popis xxxxx xxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x
x) zohlední xxx xxxxxxxxxx xxxxxxx reaktivní x xxxxxxxx xxxxxxxx xxxxxx Národním xxxxxxxxxxxxx xxxxxx (xxxx jen "Xxxx") x xxxxxxxxx xxxxx a x xxxxxxx, xx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx spojené x xxxxxxxxx reaktivního xxxx ochranného xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx, xxxxxx plán xxxxxxxx xxxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 písm. e) xxxxxx x xxxxx xxxxxx xxxxx
x) stanoví xxxxxxxx xxx xxxxxxxxxxxx x hodnocení xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx primárních xxxxx, xxxxx xxxxx xx xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxx §8 xxxxxxxxx v xxxxxxx přílohy č. 1 x xxxx xxxxxxxx x xxxxxxx xxxxxxxxx do xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx xxxxxxxx hrozby x zranitelnosti, xxxxxxx xxxxx xxxxxx na xxxxxxxx xxxxxx, xxxxxxx xxxx xxxxxx xxxxxxxxx x xxxxxxx podle přílohy č. 2 k xxxx xxxxxxxx x zpracuje xxxxxx o xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxx xx základě xxxxxxxxxxxxxx xxxxxx x xxxxxxxx hodnocení rizik xxxxxxxxxx o xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx x zavedených xxxxxxxxxxxxxx opatření,
e) zpracuje x zavede xxxx xxxxxxxx rizik, který xxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx zvládání xxxxx, xxxxxx osoby xxxxxxxxxxx xxxxxxxxxxx bezpečnostních opatření xxx zvládání xxxxx, xxxxxxxx xxxxxxxx, technické, xxxxxx a xxxxxxxxxx xxxxxx, termíny xxxxxx xxxxxxxx x popis xxxxx xxxx xxxxxxxxxxxxxxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx opatřeními x
x) xxxxxxxx xxx xxxxxxxxxx xxxxxxx reaktivní a xxxxxxxx xxxxxxxx vydaná Xxxxxx x xxxxxxxxx xxxxx x x xxxxxxx, xx xxxxxxxxx xxxxx aktualizované x xxxx xxxxxxxxxxxxx xxxxxxx x realizací reaktivního xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx kritéria xxx xxxxxxxxxxxx xxxxx, xxxxxx xxxx xxxxxxxx xxxxx.
(3) Řízení xxxxx xxxx být zajištěno x xxxxxx xxxxxxx, xxx jak xx xxxxxxxxx v xxxxxxxxxx 1 x 2, xxxxx orgán a xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxxxxxx, že xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxxxx xxxxxx xxxxxx xxxxx.
(4) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx při xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxx xxxxxx
x) porušení xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx činností, zneužití xxxxxxxxx ze xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxx nebo xxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx identity xxxxxxx osoby,
d) xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxx s xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx xxxx x xxxxxxxxxxx xxxx,
x) xxxxxxxx xxx (například xxxx, spyware, xxxxxxx xxxx),
x) xxxxxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx významného informačního xxxxxxx,
x) xxxxxxxx fyzické xxxxxxxxxxx,
x) xxxxxxxxx poskytování xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx dodávek elektrické xxxxxxx,
x) xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxx xxxxxxxx xxxxxx x
x) odcizení xxxx xxxxxxxxx xxxxxx.
(5) Xxxxx x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx xxx xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxx zranitelnosti
a) xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x administrátorů,
c) xxxxxxxxxxxx údržba xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
x) nevhodné xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx xxx xxxxxxxxxxxxxx x odhalení xxxxxxxxxxx xxxxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
f) xxxxxxxxxxxx monitorování xxxxxxxx xxxxxxxxx a administrátorů x neschopnost xxxxxxx xxxxxx xxxxxxxx xxxx xxxxxxx xxxxxxx xxxxxxx x
x) xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxx xxxx x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx.
(6) Xxxxx x xxxxx xxxxxxx x §3 písm. x) a x) xxxxxx při hodnocení xxxxx dále xxxxxxx xxxx xxxxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, provedení xxxxxxxxxxxxx činností, zneužití xxxxxxxxx ze xxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx ze xxxxxx xxxxxxxxxxx,
x) zneužití xxxxxxxxx xxxxxxxxxx, xxxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx x potřebnou xxxxxxxx xxxxxx,
x) xxxxxx kybernetický xxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxx x
x) zneužití xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxx.
(7) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) zákona xxx xxxxxxxxx xxxxx xxxx zvažuje tyto xxxxxxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) nevhodná bezpečnostní xxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxx xxxxxxxxx kontroly x
x) xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx strany xxxxxxxxxxx.
§5
Xxxxxxxxxxxx politika
(1) Xxxxx x xxxxx uvedená x §3 písm. x) x x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxx,
x) xxxxxx vztahů x xxxxxxxxxx,
x) xxxxxxxxxxx aktiv,
e) xxxxxxxxxx lidských xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxxx,
x) řízení přístupu,
h) xxxxxxxx xxxxxxx uživatelů,
i) xxxxxxxxxx x xxxxxx,
x) xxxxxxxx xxxxxxxxx a xxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx zranitelností,
l) xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx x archivace xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxxx škodlivým xxxxx,
x) xxxxxxxx a xxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx,
x) xxxxxxx x xxxxxx xxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x
x) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) xxxxxx stanoví bezpečnostní xxxxxxxx v xxxxxxxxx
x) xxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxx,
x) xxxxxx xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) bezpečnost lidských xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxxx,
x) řízení xxxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx a xxxxxx,
x) poskytování a xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx,
x) xxxxxxx xxxxxxxx údajů,
l) xxxxxxxxx kryptografické xxxxxxx,
x) xxxxxxx xxxx xxxxxxxxx xxxxx x
x) xxxxxxxx x používání xxxxxxxx xxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx x osoba uvedená x §3 xxxx. x) xx x) xxxxxx xxxxxxxxxx hodnotí xxxxxxxx bezpečnostní xxxxxxxx x xxxxxxxxxxx xx.
§6
Organizační xxxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) až x) xxxxxx zavede xxxxxxxxxx xxxxxx xxxxxxxxxxx informací, x xxxxx xxxxx xxxx výbor pro xxxxxx kybernetické xxxxxxxxxxx x xxxxxxxxxxxx role x xxxxxx xxxxx x xxxxxxxxxx související x informačním systémem xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx informačním xxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) a x) xxxxxx určí xxxxxxxxxxxx xxxx
x) xxxxxxx xxxxxxxxxxxx bezpečnosti,
b) architekt xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx a
d) xxxxxx aktiva podle §2 xxxx. m).
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxx xxxxxxxxxxxx xxxx přiměřeně xxxxx xxxxxxxx 2.
(4) Xxxxxxx xxxxxxxxxxxx bezpečnosti xx osoba, xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx informací, xxxxx xx pro tuto xxxxxxx xxxxxxxxx x xxxxxxx odbornou xxxxxxxxxxx xxxxx x xxxxxxx xxxxxxxxxxx informací xx xxxx xxxxxxx tří xxx.
(5) Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx je xxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xx xxx xxxx xxxxxxx vyškolena x xxxxxxx odbornou xxxxxxxxxxx xxxxx x xxxxxxxxxxx bezpečnostní xxxxxxxxxxxx xx xxxx xxxxxxx xxx xxx.
(6) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx je xxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xx xxx tuto xxxxxxx vyškolena a xxxxxxx xxxxxxxx způsobilost xxxxx s xxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxx xxxxxxx xxx xxx. Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx roli xxxxxxxxx x xxxxx xxxx xxxx je oddělen xx výkonu xxxx xxxxxxxxx v odstavci 2 písm. a), x) xxxx d).
(7) Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxx xxxxxxx tvořená xxxxxxx, xxxxx jsou xxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx informačního xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx, xxxxx se xxxxxxxx podílejí xx xxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxx s xxxxxxxxxxxxx xxxxxxxxxxx těchto xxxxxxx.
(8) Orgán x xxxxx xxxxxxx v §3 xxxx. x) xx e) xxxxxx xxxxxxx xxxxxxx xxxxxxx xxxx, které xxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxx s xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 písm. b).
§7
Stanovení xxxxxxxxxxxxxx xxxxxxxxx xxx dodavatele
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx zavede xxxxxxxx xxx dodavatele, xxxxx xxxxxxxxxx potřeby řízení xxxxxxxxxxx xxxxxxxxx, x xxxxxxxx xx x xxxxxxxxxx xxxx xxxxxx xxxx, které se xxxxxxxx xx xxxxxxx, xxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx informačního systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx systému. Xxxxxx xxxxxxxx xxxxxxxxxx xx rozvoji, xxxxxxx xxxx xxxxxxxxx bezpečnosti xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxx uvedená x §3 xxxx. c) xx x) zákona xxxxxxxx, jejíž xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx informací.
(2) Xxxxx x xxxxx uvedená x §3 písm. x) a d) xxxxxx x xxxxxxxxxx xxxxxxxxx x xxxxxxxx 1 xxxx
x) před xxxxxxxxx smlouvy xxxxxxx xxxxxxxxx xxxxx podle přílohy č. 2 x xxxx xxxxxxxx, xxxxx xxxx xxxxxxx s xxxxxxxxxxx xxxxxxxxx,
x) uzavírá xxxxxxx x xxxxxx služeb, xxxxx stanoví xxxxxxx x xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx a xxxx vztah xxxxxxxx xxxxxxx odpovědnosti za xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, x
x) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx a xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxx xx dohodě s xxxxxxxxxxx xxxxxxx jejich xxxxxxxxxx.
§8
Xxxxxx aktiv
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx x rámci xxxxxx aktiv
a) xxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxx,
x) určí garanty xxxxx, kteří xxxx xxxxxxxxx xx xxxxxxxx xxxxxx, x
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx aktiv x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x xxxxxx xx xx xxxxxxxxxxxx xxxxxx xxxxxxxxx x rozsahu xxxxx přílohy č. 1 k xxxx vyhlášce.
(2) Xxx xxxxxxxxx důležitosti xxxxxxxxxx xxxxx xx třeba xxxxxxxxx xxxxxxxx
x) xxxxxx x xxxxxxxxxx xxxxxxxx xxxxx xxxx obchodního xxxxxxxxx,
x) rozsah dotčených xxxxxxxx xxxxxxxxxx nebo xxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx veřejných, obchodních xxxx ekonomických xxxxx,
x) xxxxx finanční ztráty,
f) xxxxxx narušení xxxxxxx xxxxxxxx orgánu x xxxxx uvedené x §3 xxxx. x) xx x) zákona,
g) xxxxxx spojené x xxxxxxxxx xxxxxxxxxx, integrity x dostupnosti a
h) xxxxxx xx xxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx xxxxx xxxxxxx.
(3) Xxxxx x osoba xxxxxxx v §3 xxxx. c) a x) zákona xxxx
x) xxxxxxxxxxxx a eviduje xxxxxxxx xxxxxx,
x) xxxx xxxxxxx xxxxx, xxxxx xxxx odpovědní za xxxxxxxx xxxxxx, a
c) xxxx vazby mezi xxxxxxxxxx x xxxxxxxxxx xxxxxx a xxxxxxx xxxxxxxx závislostí xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.
(4) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx e) zákona xxxx
x) stanoví xxxxxxxx xxxxxxx, xxxxx pro xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx xxx, že
1. xxxx způsoby rozlišování xxxxxxxxxxxx úrovní aktiv,
2. xxxxxxx pravidla xxx xxxxxxxxxx a evidenci x xxxxxx xxxxx xxxxxx xxxxx, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx sdílení x xxxxxxx xxxxxxxxx xxxxx x
3. stanoví xxxxxxxxx xxxxxxx xxxxxxxxx aktiv,
b) xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx úrovni xxxxx x
x) určí xxxxxxx xxx spolehlivé smazání xxxx ničení xxxxxxxxxxx xxxxxx dat s xxxxxxx xx úroveň xxxxx.
§9
Xxxxxxxxxx lidských xxxxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx x xxxxx xxxxxx bezpečnosti xxxxxxxx zdrojů
a) stanoví xxxx rozvoje bezpečnostního xxxxxxxx, xxxxx xxxxxxxx xxxxx, obsah x xxxxxx xxxxxxxxxx xxxxxxx x xxxx xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx x plánu xxxxxxx,
x) x xxxxxxx x xxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx xxxxxxx poučení xxxxxxxxx, xxxxxxxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx xxxx o xxxxxx xxxxxxxxxxxx x o xxxxxxxxxxxx xxxxxxxx formou xxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) zajistí xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx strany xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx bezpečnostní xxxx x
x) xxxxxxx xxxxxxx xxxxxxxxx aktiv x xxxxxxxx přístupových oprávnění xxx ukončení xxxxxxxxx xxxxxx s uživateli, xxxxxxxxxxxxxx nebo xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxx x xxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx, xxxxx xxxxxxxx předmět xxxxxxx a seznam xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
(3) Xxxxx a xxxxx xxxxxxx x §3 písm. x) x x) zákona xxxx
x) stanoví xxxxxxxx xxx xxxxxx xxxx, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx xxxx, role xxxxxxxxxxxxxx nebo xxxxxxxxx,
x) xxxxxxx xxxxxxxx plánu xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx bezpečnostního xxxxxxxx,
x) určí xxxxxxxx x xxxxxxx pro xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx pravidel xx xxxxxx uživatelů, xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx bezpečnostní xxxx x
x) zajistí xxxxx xxxxxxxxxxxx xxxxxxxxx při xxxxx postavení xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
§10
Xxxxxx xxxxxxx x xxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 písm. x) xx x) zákona x xxxxx řízení xxxxxxx a xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx x §21 xx 23 xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx události, xxxxxxxxxx vyhodnocuje získané xxxxxxxxx x na xxxxxxxx xxxxxxxxxx reaguje x xxxxxxx x §13.
(2) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx x xxxxx xxxxxx xxxxxxx a xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xx tímto účelem xxxxxxx provozní pravidla x xxxxxxx.
(3) Xxxxxxxx xxxxxxxx x xxxxxxx xxxxxx x xxxxx xxxxxxx v §3 xxxx. x) a x) xxxxxx xxxxxxxx
x) xxxxx a xxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx x xxxxxxxxx,
x) xxxxxxx pro xxxxxxxx x xxxxxxxx xxxxx xxxxxxx, xxx xxxxxxx xxxx xxxxxxxx xxxxx systému po xxxxxxx x xxx xxxxxxxx xxxxxxxxx stavů xxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxx sledování xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxx xxxxxxx xxxxxxxx k záznamům x xxxxxx xxxxxxxxxx,
x) xxxxxxx xx xxxxxxxxx xxxxx, xxxxx xxxx xxxxxx jako xxxxxxx xxx xxxxxx xxxxxxxxxxxxx xxxxxxxxxxx nebo xxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxx x
x) postupy xxx sledování, xxxxxxxxx x xxxxxx xxxxxxxx xxxxxxxx x technických xxxxxx.
(4) Xxxxxx xxxxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx x xxxxxxxxx pravidelného xxxxxxxxxx x prověřování xxxxxxxxxxxxx xxxxxxxxxxx záloh.
(5) Xxxxxx xxxxxxx xxxxxx x xxxxx uvedené x §3 písm. x) x x) xxxxxx spočívá x
x) xxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) xxxxxx reaktivních xxxxxxxx xxxxxxxx Xxxxxx xxx, xx orgán x xxxxx xxxxxxx x §3 xxxx. x) a d) xxxxxx
1. xxxxxxx očekávané xxxxxx reaktivního opatření xx xxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxx systém xxxxxxxx xxxxxxxxxx infrastruktury x xx xxxxxxxx xxxxxxxxxxxx opatření, xxxxxxxxx xxxxx xxxxxxxxx účinky x xxx zbytečného xxxxxxx je oznámí Xxxxx x
2. stanoví xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, který xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxx, x určí xxxxxx xxxx xxxx xxxxxxxxx.
(6) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx x xxxxx xxxxxx xxxxxxxxxx
x) zajišťuje xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx xxxx a xxxxxxxxxx xxxxxxxxxxxxx služeb podle §17,
x) určí pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxxx komunikačními xxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxx xx xxxxxxx pravidel xxxxxxxxxxx xxxxxxxx xxxxxxxx xx současného xxxxxxxxx xxxxxxxxxxx xxxxxxxxx a xxxx xxxxxxxx dokumentuje x
x) s xxxxxxx xx xxxxxxxxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx informací xx xxxxxxx písemných xxxxx, xxxxxxx xxxxxxxx je xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx.
§11
Xxxxxx xxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona xx xxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxx řídí xxxxxxx k xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x významnému xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxx uživateli xxxxxxxxxxx xxxxxxxxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxxxxx xxxxxxxx, která xxxxxx k xxxxxxxxx xxxxxxx údajů, xxxxx xxxx xxxxxxxxx pro xxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému xxxxx §18 x 19, x která xxxxx xx zneužití xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 písm. c) x d) zákona xxxx v xxxxx xxxxxx xxxxxxxx
x) xxxxxxx xxxxxxxxxxxxx xxxxxxxxx samostatný xxxxxxxxxxxxx,
x) xxxxx přidělování xxxxxxxxxxxxxxxxxx oprávnění,
c) xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx x souladu x xxxxxxxxx xxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx rozdělení xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxx,
x) xxxxxxx nástroj xxx xxxxxxxxx identity xxxxxxxxx podle §18 x nástroj pro xxxxxx přístupových oprávnění xxxxx §19 x
x) xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxx bezpečné xxxxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxx s xxxxxxxx technických xxxxxxxx, xxxxxxx xxxxx a xxxxx xxxxxxx v §3 xxxx. c) x d) xxxxxx xxxxxxxxxxx.
§12
Xxxxxxxx, xxxxx a xxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 písm. x) xx x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxx xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxx, vývojem x xxxxxxx x xxxxxx xx xx xxxxxxxx akvizice, xxxxxx x xxxxxx systému.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) a x) zákona xxxx
x) xxxxxxxxxxxx, xxxxxxx x xxxx xxxxxx související x xxxxxxxx, vývojem x xxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo komunikačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx; pro xxxxxxx xxxxxxxxx x řízení xxxxx xx metodiky xxxxx §4 xxxx. 1 písm. a) xxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx x zajistí ochranu xxxxxxxxxxx xxxxxxxxxxx dat x
x) provádí bezpečnostní xxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxx xxxxxxxxx xx xxxxxxx.
§13
Zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx, xxxxx zajistí xxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x informačního xxxxxxx kritické informační xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxx informačního xxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx a x xxxxxxxxxx xxxx záznamy,
b) xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxx oznámených kybernetických xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx nástroji xxxxx §21 xx 23, xxxxxxx xxxxxx xxxxxxxxxxx x identifikuje xxxxxxxxxxxx xxxxxxxxxxxx incidenty,
c) xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxx xxx xxxxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §32 x xxxxxxx xxxx xxxxxxxxxxx podkladů xxxxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostního incidentu,
d) xxxxxxxx x určí xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxx účinnost xxxxxx kybernetického bezpečnostního xxxxxxxxx x xx xxxxxxx vyhodnocení xxxxxxx xxxxx bezpečnostní xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x
x) dokumentuje xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
§14
Řízení xxxxxxxxxx xxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. c) až x) zákona x xxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxxx
x) xxxxx x povinnosti xxxxxxx xxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx, xxxxx xx xxxxxxxxxx pro xxxxxxx, xxxxxx x xxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
2. xxxx obnovení xxxxx, xxxxx xxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx poskytovaných služeb xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx, x
3. xxxx obnovení dat xxxx xxxxxxx, xx xxxxxxx budou xxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx, x
x) xxxxxxxxx xxxxxx kontinuity xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxx podle xxxxxxx x).
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxxx
x) xxxxxxxxx x xxxxxxxxxxx xxxxx xxxxxx kybernetických bezpečnostních xxxxxxxxx x xxxxxxx xxxxx rizika xxxxxxxxxxx x xxxxxxxxx kontinuity xxxxxxxx,
x) xxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) realizuje xxxxxxxx pro xxxxxxx xxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxx xxxxxxx xxx zajišťování xxxxxx dostupnosti xxxxx §26 a
d) xxxxxxx x xxxxxxxxxxx xxxxxxx xxx xxxxxxxxx opatření xxxxxxxx Xxxxxx xxxxx §13 x 14 xxxxxx, xx kterých xxxxxxxx
1. výsledky xxxxxxxxx xxxxx xxxxxxxxx xxxxxxxx,
2. xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a
3. xxxxxxxxxxx xxxxxxxxxx negativních xxxxxx xx provoz x xxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikačního xxxxxxx xxxxxxxx informační infrastruktury.
§15
Xxxxxxxx x xxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 písm. x) xx x) xxxxxx x xxxxx kontroly x auditu kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx informačních systémů (xxxx xxx "xxxxx xxxxxxxxxxxx bezpečnosti")
a) posuzuje xxxxxx xxxxxxxxxxxxxx opatření x xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx, jinými xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxxx xx x xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx informačnímu xxxxxxx x xxxx opatření xxx xxxx prosazování x
x) xxxxxxx a xxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx politiky x xxxxxxxx xxxxxx xxxxxxx xxxxxxxx v xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx xxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a d) xxxxxx xxxxxxxxx provedení xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxxx xxxxx §6 xxxx. 6, xxxxx xxxxxxx xxxxxxxxx x xxxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx.
(3) Orgán x xxxxx xxxxxxx v §3 xxxx. c) x d) xxxxxx xxxx pro xxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx provádí xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx prostředků xxxxxx automatizovaných nástrojů x xxxxxx xxxxxxx xxxxxxxxxxx x xxxxxxx xx xxxxxxxx xxxxxxxxxxxxx.
XXXXX XX
XXXXXXXXX OPATŘENÍ
§16
Fyzická xxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 písm. c) xx x) zákona x rámci xxxxxxx xxxxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx x zamezení xxxxxxxxxxxxx vstupu xx xxxxxxxxxx xxxxxxx, xxx xxxx zpracovávány xxxxxxxxx x umístěna xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx nezbytná xxxxxxxx x xxxxxxxx xxxxxxxxx x xxxxxxx xx xxxxxxxxxx xxxxxxx, xxx xxxx xxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx informačního systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x
x) xxxxxxxxx xxxxxxxxx, xxxxxxx nebo xxxxxxxx xxxxx nebo xxxxxxxxx xxxxxxxxxxx služeb xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury xxxx xxxxxxxxxx informačního xxxxxxx.
(2) Orgán a xxxxx xxxxxxx x §3 písm. c) x d) zákona xxxx xxxxxxxxx prostředky xxxxxxx xxxxxxxxxxx
x) xxx xxxxxxxxx xxxxxxx xx xxxxxx xxxxxxx a
b) xxx xxxxxxxxx ochrany x xxxxx xxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxx prostor, xx xxxxxxx xxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx.
(3) Xxxxxxxxxx fyzické xxxxxxxxxxx jsou zejména
a) xxxxxxxxxx xxxxxxxx xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx zabezpečovací xxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxx požárů,
d) xxxxxxxxxx xxxxxxxxx xxxxxxxx projevů xxxxxxxxx xxxxxxxx,
x) systémy xxx kontrolu xxxxxx,
x) xxxxxxxx xxxxxxx,
x) xxxxxxxx xxx zajištění ochrany xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx a
h) xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx provozních xxxxxxxx.
§17
Xxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. c) až x) xxxxxx xxx xxxxxxx xxxxxxxxx rozhraní xxxxxx xxxxxxxxxxx xxxx, xxxxx xxxx xxx xxxxxxx xxxxxx xxxx xxxxx, a vnitřní xxxxxxxxxxx xxxx, xxxxx xx xxx správou xxxxxx xxxx osoby, xxxxxx
x) xxxxxx bezpečného xxxxxxxx xxxx xxxxxx x vnitřní xxxx,
x) xxxxxxxxxx xxxxxxx použitím xxxxxxxxxxxxxxxxxx xxx xxxx xxxxxxxxxxx typu sítě xxxxxxxxxxx xx xxxxxxx xxxxxxxxxxx aplikací xxxxxxxxxx x vnější sítě x k zamezení xxxxx xxxxxxxxxx xxxxxxx xxxx x vnější xxxx,
x) xxxxxxxxxxxxxx xxxxxxxxxx (§25) pro vzdálený xxxxxxx, vzdálenou xxxxxx xxxx xxx xxxxxxx xxxxxx bezdrátových technologií x
x) opatření xxx xxxxxxxxxx nebo xxxxxxxxx xxxxxxxxxxx dat, xxxxx xxxxxxxxxxxx požadavkům na xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx xxxxxxx nástroje xxx ochranu xxxxxxxxx xxxxxxx komunikační xxxx, xxxxx zajistí xxxx xxxxxxxxxx.
§18
Nástroj pro xxxxxxxxx xxxxxxxx xxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx používá xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx a administrátorů xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významného xxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxx xxx xxxxxxxxx identity xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx xxxx xxxxxxxxx jejich xxxxxxx v xxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačním xxxxxxx xxxxxxxx informační infrastruktury x xxxxxxxxx informačním xxxxxxx.
(3) Xxxxxxx xxx xxxxxxxxx identity uživatelů, xxxxx používá xxxxxxxxxxx xxxxx xxxxxx, xxxxxxxxx
x) xxxxxxxxx délku xxxxx xxx znaků,
b) minimální xxxxxxxxx xxxxx xxx, xx heslo xxxx xxxxxxxxx xxxxxxx 3 x xxxxxxxxxxxxx xxxx xxxxxxxxx
1. xxxxxxx xxxxx xxxxx xxxxxxx,
2. nejméně xxxxx xxxx písmeno,
3. xxxxxxx xxxxx xxxxxxx, xxxx
4. nejméně xxxxx xxxxxxxxx znak odlišný xx xxxxxxxxx xxxxxxxxx x bodech 1 xx 3,
x) xxxxxxxxx xxxx xxx xxxxxxxx xxxxxx hesla xxxxxxxxxxxxx xxx xxx; tento xxxxxxxxx není xxxxxxxxx xxx xxxxxxxxxx identifikátory xxxxxxxx.
(4) Orgán a xxxxx xxxxxxx x §3 xxxx. c) x x) xxxxxx xxxx
x) xxxxxxx nástroj xxx ověření xxxxxxxx, xxxxx
1. xxxxxx xxxxxxxxxx xxxxxxxxx xxxxx používaných xxxxx a neumožní xxxx xxxx hesla xxxxxxx xxxxxxxxx během xxxxxxxxxxx xxxxxx, xxxxx xxxx xxx xxxxxxx 24 hodin, a
2. xxxxxxx opětovné xxxxxxx xxxxxxxx po xxxxxx xxxx xxxxxxxxxx a
b) xxxxxxx xxxxxxx pro xxxxxxxxx xxxxxxxx administrátorů. X xxxxxxx, xx xxxxx xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxx, zajistí xxxxxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxx xxxxx xxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx. x) x x).
(5) Xxxxxxx pro xxxxxxxxx xxxxxxxx xxxxxxxxx xxxx xxx xxxxxxxx x jinými způsoby, xxx jaké jsou xxxxxxxxx x xxxxxxxxxx 3 xx 5, xxxxx xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxxxxx, že xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxxxx xxxxxx xxxxxxxxx hesla.
§19
Xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx xxxxxx oprávnění
a) pro xxxxxxx x xxxxxxxxxxx xxxxxxxxx x datům x
x) pro xxxxx xxx, pro xxxxx xxx a xxx xxxxx xxxxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx dále používá xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx.
§20
Xxxxxxx pro xxxxxxx xxxx škodlivým kódem
Orgán x xxxxx uvedená x §3 písm. x) xx e) xxxxxx xxx xxxxxx xxxxx spojených s xxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx systému xxxx xxxxxxxxx kódem, xxxxx xxxxxxx xxxxxxx x xxxxxx kontrolu
a) xxxxxxxxxx xxxx xxxxxxx xxxx x xxxxxx xxxx,
x) xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxx x
x) xxxxxxxxxx stanic,
přičemž xxxxxxx xxxxxxxxxxx x xxxxxxx aktualizaci nástroje xxx xxxxxxx xxxx xxxxxxxxx xxxxx, xxxx xxxxxxx a signatur.
§21
Xxxxxxx xxx zaznamenávání xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) xx x) xxxxxx xxxxxxx xxxxxxx pro xxxxxxxxxxxxx xxxxxxxx informačního systému xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxx
x) xxxx xxxxxxxxx x xxxxxxxxxx x xxxxxxxxxxxxxx činnostech, xxxxxxx xxx xxxxxxxx, xxxxx a xxx, xxxxxxxxxxxx xxxxxxxxxxx aktiva, xxxxx xxxxxxx zaznamenalo, xxxxxxxxxxxx původce x xxxxx xxxxxxxx x xxxxxxxxx nebo xxxxxxxxxxx xxxxxxxx x
x) xxxxxxx xxxxxxxxx informací před xxxxxxxxxxxx xxxxxx nebo xxxxxx.
(2) Xxxxx a xxxxx xxxxxxx v §3 xxxx. c) xx x) xxxxxx xxxx pomocí xxxxxxxx xxx zaznamenávání činnosti xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a významného xxxxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxxxxxx x xxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxx xx xxxxx xxxxxxxxxxxx oprávnění,
d) xxxxxxxxxxx činností v xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx a xxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxx a xxxxxxxx xxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxx xxxx xxxxxxx xxxxxxx xxxxxxxxxxx xxxxx,
x) xxxxxxxx k xxxxxxxx x činnostech, pokusy x xxxxxxxxxx xx xxxxxxx x činnostech x xxxxx nastavení xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx x
x) použití xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxx xxxxxx xxxxx xxxxx, xxxxx xxxxxx x xxxxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx odstavce 2 xxxxxxxx nejméně xx xxxx 3 xxxxxx.
(4) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxxxxxxx xxxxxxx jednou xx 24 hodin xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx.
§22
Xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx ze xxxxxxxxxxx bezpečnostních xxxxxx x xxxxxxxx xxxxxxxxx xxxxx x xxxxx xxxxxxx xxxxxxx, kontrolu x případně xxxxxxxxxxx xxxxxxxxxx xxxx vnitřní xxxxxxxxxxx xxxx a xxxxxx xxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxx xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx zajistí xxxxxxx, xxxxxxxx x případně xxxxxxxxxxx xxxxxxxxxx
x) x xxxxx vnitřní xxxxxxxxxxx xxxx a
b) xxxxxxx xxxxxxxxx do informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx.
§23
Nástroj xxx xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 písm. x) x d) xxxxxx xxxxxxx xxxxxxx xxx xxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, který x xxxxxxx s xxxxxxxxxxxxxx potřebami x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx
x) integrovaný sběr x vyhodnocení kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury a xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) poskytování xxxxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxxx x informačním xxxxxxx kritické informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx xxxx é xxxxxxxxxx xxxxxxxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx s xxxxx identifikace kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxx xxxxxxxx určených xxxxxxxxxxxxxx rolí.
(2) Xxxxx x osoba xxxxxxx x §3 písm. x) x x) xxxxxx dále zajistí
a) xxxxxxxxxxx aktualizaci xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx, xxx byly omezovány xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxx xxxxxxx xxxxxxxxx xxxxxxxx, a
b) xxxxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxxxx xxxxxxxxx xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, pro optimální xxxxxxxxx bezpečnostních xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§24
Xxxxxxxxx bezpečnost
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx provádí xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx aplikací, xxxxx jsou xxxxxxxxx x vnější xxxx, x to xxxx xxxxxx xxxxxxxx xx xxxxxxx x xx xxxxx xxxxxxx xxxxx xxxxxxxxxxxxxx xxxxxxxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxxx v xxxxx aplikační bezpečnosti xxxxxxx trvalou ochranu
a) xxxxxxxx a xxxxxxxxx xxxxxxxxxx x xxxxxx xxxx xxxx xxxxxxxxxxxx xxxxxxxx, popřením provedených xxxxxxxx, xxxxxxxxxxxx xxxx xxxxxxxxxxxxxxx xxxxxx x
x) xxxxxxxxx xxxx xxxxxx xxxxxxxxxxxx, nesprávným xxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx obsahu, xxxxxxxxxxxx, xxxxxxxxxxxxxxx duplikováním xxxx xxxxxxxxxx.
§25
Xxxxxxxxxxxxxx xxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx
x) xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxx
1. xxxxxx xxxxxxx s xxxxxxx xx xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx x
2. xxxxxxxx xxxxxxxxxxxxxx xxxxxxx informací xxx přenosu po xxxxxxxxxxxxx xxxxxx nebo xxx xxxxxxx na xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx nosiče xxx x
x) x xxxxxxx s xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx používá xxxxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxxx xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxx xxx x xxxxxxxxx identifikaci xxxxx xx xxxxxxxxx xxxxxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) zákona xxxx
x) xxxxxxx xxx xxxxxxxxx kryptografických xxxxxxxxxx xxxxxx xxxxxx xxxxx, xxxxx xxxxxxx generování, xxxxxxxxxx, xxxxxxxx, xxxxxxxxx, xxxxx, xxxxxx, kontrolu x audit xxxxx, x
x) používá odolné xxxxxxxxxxxxxx algoritmy x xxxxxxxxxxxxxx xxxxx; x xxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxx x příloze č. 3 x xxxx xxxxxxxx xxxx xxxxxx spojená s xxxxx xxxxxxxxxx.
§26
Xxxxxxx pro zajišťování xxxxxx xxxxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 písm. x) xx x) xxxxxx x souladu x xxxxxxxxxxxxxx potřebami x xxxxxxxx xxxxxxxxx xxxxx používá nástroj xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) a d) xxxxxx používá xxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, který xxxxxxx
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxx splnění xxxx xxxxxx kontinuity xxxxxxxx,
x) xxxxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx kybernetickým xxxxxxxxxxxxx incidentům, které xx xxxxx snížit xxxxxxxxxx, x
x) xxxxxxxxxx xxxxxxxxxx technických aktiv xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx
1. xxxxxxxx xxxxxxxxxx v xxxxxx xxxxxx x
2. zajištěním xxxxxxxxxx xxxxxxxxxxx aktiv x xxxxxxx čase.
§27
Bezpečnost průmyslových x xxxxxxxx xxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx xxx bezpečnost průmyslových x xxxxxxxx xxxxxxx, xxxxx xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx anebo xxxx xxxxxx xxxxxxxx, používá xxxxxxxx, xxxxx zajistí
a) xxxxxxx xxxxxxxxx přístupu x síti x xxxxxxxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxx x xxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxx,
x) ochranu xxxxxxxxxxxx xxxxxxxxxxx xxxxx průmyslových x řídicích xxxxxxx xxxx xxxxxxxx známých xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx průmyslových x xxxxxxxx systémů xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
XXXXX XXX
XXXXXXXXXXXX XXXXXXXXXXX
§28
Xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx v §3 písm. x) x d) xxxxxx xxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, která xxxxxxxx
x) xxxxxxxxxxxx politiku xxxxx §5 xxxx. 1,
x) xxxxxx x xxxxxx kybernetické bezpečnosti xxxxx §3 xxxx. 1 xxxx. x),
x) xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxx §3 xxxx. 1 písm. x),
x) metodiku xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x pro xxxxxxxxxxxx x hodnocení xxxxx,
x) zprávu x xxxxxxxxx xxxxx a xxxxx,
x) prohlášení o xxxxxxxxxxxxxxxx,
x) xxxx xxxxxxxx xxxxx,
x) xxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx podle §9 xxxx. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xxxxx §13 písm. x),
x) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx podle §14 xxxx. 1 xxxx. c) a
k) xxxxxxx právních předpisů, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx a xxxxxxxxx xxxxxxx xxxxx §15 xxxx. 1 xxxx. a).
(2) Orgán x osoba xxxxxxx x §3 xxxx. x) zákona xxxx x aktualizuje bezpečnostní xxxxxxxxxxx, xxxxx obsahuje
a) xxxxxxxxxxxx xxxxxxxx xxxxx §5 xxxx. 2,
x) xxxxxxxx xxx identifikaci x xxxxxxxxx xxxxx x pro xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxx §4 odst. 2 písm. x),
x) xxxxxx o xxxxxxxxx xxxxx x rizik xxxxx §4 xxxx. 2 xxxx. b) x x),
x) prohlášení x xxxxxxxxxxxxxxxx xxxxx §4 xxxx. 2 xxxx. d),
e) xxxx xxxxxxxx xxxxx xxxxx §4 odst. 2 xxxx. x),
x) plán xxxxxxx bezpečnostního xxxxxxxx xxxxx §9 odst. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle §13 xxxx. x),
x) strategii xxxxxx xxxxxxxxxx činností xxxxx §14 odst. 1 xxxx. c) x
x) přehled právních xxxxxxxx, vnitřních předpisů x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxx §15 xxxx. 1 xxxx. a).
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx xxx, xxx xxxxxxx o xxxxxxxxxxx činnostech xxxx xxxxx, xxxxxxx, snadno xxxxxxxxxxxxxxxxx x aby xx xxxx xxxxxx xxxxxxxx. Opatření potřebná x xxxxxxxxxxxx, xxxxxxx, xxxxxxx, xxxxxxxxx, xxxx xxxxxxxxx x xxxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx.
(4) Doporučená xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxx x příloze č. 4 x xxxx xxxxxxxx.
§29
Prokázání xxxxxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx, xxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxx xxxxxxxxxx xxxxxx xx xxxxx xxxxxxx xx xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxx byl certifikován xxxxx příslušné xxxxxxxxx xxxxx1) xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx, x xxxxx xxxx dokumenty obsahující
a) xxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací,
b) xxxxxxxxxx politiky x xxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxx a xxxxxx x hodnocení xxxxx,
x) xxxxxxxxxx x xxxxxxxxxxxxxxxx,
x) xxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx příslušné technické xxxxx xxxxxxxxxx se xxxxxxxxxxx xxxxxxxxx1),
x) záznam x přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxx x
x) xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx včetně příslušných xxxxxxx x xxxxxxx xxxxxxxxxx xxxxxx s xxxxxxxxxx xxxxxx,
xxxxxxx požadavky xx xxxxxxxx bezpečnostních xxxxxxxx xxxxx zákona x této vyhlášky.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX
§30
Xxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Podle xxxxxxx xxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx typů
a) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx xxxxxxxx vedoucí x xxxxxxx do xxxxxxx xxxx x xxxxxxx dostupnosti xxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx škodlivým kódem,
c) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx překonáním technických xxxxxxxx,
x) kybernetický xxxxxxxxxxxx xxxxxxxx způsobený porušením xxxxxxxxxxxxx xxxxxxxx,
x) kybernetický xxxxxxxxxxxx xxxxxxxx spojený x projevem xxxxxx xxxxxxxxxx xxxxxx a
f) xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx.
(2) Xxxxx dopadu xxxx kybernetické bezpečnostní xxxxxxxxx xxxxxxxxx do xxxxxxxxxxxxx xxxx
x) kybernetický xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxx důvěrnosti xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx narušení integrity xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx kombinaci xxxxxx xxxxxxxxx x xxxxxxxxx x) až c).
§31
Xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Xxx xxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xx xxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx dělí do xxxxxxxxxxxxx kategorií
a) Kategorie XXX - xxxxx xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx xxxxxx xx přímo x xxxxxxxx narušena xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x tím, xx musí xxx xxxxx dostupnými xxxxxxxxxx xxxxxxxxx dalšímu xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxx.
x) Xxxxxxxxx II - xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx kterém xx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho xxxxxx xxxxxxxx neprodlené xxxxxx xxxxxxx x xxx, xx xxxx být xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace xxxxxxxxx xxxx.
x) Kategorie X - xxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xxxxxxx x méně xxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx služeb xxxx xxxxx. Xxxx xxxxxx xxxxxxxx zásahy xxxxxxx x xxx, xx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxx další xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxxxxx xxxxxxxxx škod.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx při xxxxxxxxxxxx xxxxxxxxxxxx kybernetických bezpečnostních xxxxxxxxx xxxxx odstavce 1 zohlední
a) xxxxxxxxxx xxxxxxxxx xxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) dopady xx xxxxxxxxxxx služby xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxx xx xxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, nebo významnými xxxxxxxxxxxx xxxxxxx x
x) xxxxxxxxxxxxx xxxxx x xxxxx xxxxxx.
§32
Forma x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxxx kybernetický xxxxxxxxxxxx xxxxxxxx
x) x xxxxxxxxxxxx xxxxxx prostřednictvím
1. elektronického xxxxxxxxx zveřejněného xx xxxxxxxxxxxxx stránkách Úřadu,
2. xxxxxx xx adresu xxxxxxxxxxxx xxxxx Xxxxx xxxxxx xxx příjem xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Úřadu,
3. xxxxxx xxxxxx xx xxxxxx schránky Xxxxx, xxxx
4. xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx, jehož xxxxx je xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx, xxxxx
x) x xxxxxxxx podobě xx xxxxxx Národního centra xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxx x xxxxxxxx podobě xx xxxxxx xxxxx x xxxxxxxxx, xxx nelze xxxxxx žádný xx xxxxxxx xxxxxxxxx x xxxxxxxx 1 xxxx. x).
(3) Náležitosti xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx v příloze č. 5 k xxxx xxxxxxxx.
XXXX XXXXXX
XXXXXXXXX XXXXXXXX X XXXXXXXXX XXXXX
§33
Xxxxxxxxx xxxxxxxx
Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx x jeho výsledek xx xxxxxxxxx, jehož xxxx xx xxxxxx x příloze č. 6 x xxxx xxxxxxxx.
§34
Xxxxxxxxx údaje
Orgán a xxxxx xxxxxxx x §3 xxxxxx oznamuje xxxxxxxxx údaje na xxxxxxxxx, jehož vzor xx xxxxxx x příloze č. 7 x xxxx xxxxxxxx. Orgán x xxxxx uvedená v §3 xxxx. x) xx x) zákona xxxxxxxx kontaktní xxxxx xxxxxx xxxxxxxx x §32 odst. 1 xxxx. a).
XXXX XXXX
XXXXXXXX
§35
Xxxx xxxxxxxx xxxxxx xxxxxxxxx xxxx 1. xxxxx 2015.
Xxxxxxx:
Xxx. Xxxxxxxx x. x.
Příloha č. 1 x xxxxxxxx x. 316/2014 Sb.
Hodnocení x xxxxxx xxxxxxxxxxx aktiv
Pro xxxxxxxxx xxxxxxxxxxx xxxxx xxxx použity stupnice x xxxxxxx úrovních. Xxxxx xxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx může xxxxxxxx odlišný xxxxx xxxxxx xxx hodnocení xxxxxxxxxxx xxxxx, xxx xxxx xx xxxxxx x xxxx xxxxxxx, xxxxxx-xx jednoznačné xxxxx xxxx xx používaným xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx x xxxxxxxx xxx xxxxxxxxx důležitosti xxxxx, xxxxx jsou uvedeny x této xxxxxxx.
X xxxxxxx použití xxx xxxxxx xxxxxxxxx důležitosti xxxxx xx přípustné xxxxxxx xxx xxxxxx xxxxx x xxxxxxx, xxxx xxxxxx xxxxxx x xxxxxxxx.
Xxxxxxxx xxx xxxxxxxxx důvěrnosti
|
Úroveň |
Popis |
Ochrana |
|
Nízká |
Aktiva xxxx xxxxxxx přístupná xxxx xxxx určena ke xxxxxxxxxx (xxxx. xx xxxxxxx zákona č. 106/1999 Sb., x svobodném přístupu x informacím, xx xxxxx xxxxxxxxxx xxxxxxxx). Xxxxxxxx důvěrnosti aktiv xxxxxxxxxx oprávněné xxxxx xxxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx a xxxxx xxxx-xxx orgánu x osoby xxxxxxx x §3 písm. x) xx x) xxxxxx, ochrana xxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxx nebo xxxxxxxx xxxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxx jsou xxxxxxxxx xxxxxxxxxx pro xxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxx nejsou veřejně xxxxxxxxx x jejich xxxxxxx je xxxxxxxxxx xxxxxxxx xxxxxxxx, jinými xxxxxxxx nebo xxxxxxxxx xxxxxxxxxx (xxxx. xxxxxxxx xxxxxxxxx xxxxx zákona č. 89/2012 Sb., občanský xxxxxxx, xxxxxx xxxxx xxxxx xxxxxx č. 101/2000 Sb., o xxxxxxx xxxxxxxx xxxxx, xx xxxxx xxxxxxxxxx xxxxxxxx). |
Xxx ochranu xxxxxxxxxx xxxx využívány xxxxxxxxxx, xxxxx xxxxxxx řízení x xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxx jsou xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xxxxxx veřejně xxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx míru xxxxxxx xxx xxxxx xxxxxxxxx xxxxxxxxx (xxxx. strategické xxxxxxxx tajemství, xxxxxxx xxxxxx údaje). |
Pro ochranu xxxxxxxxxx xx xxxxxxxxxx xxxxxxxx xxxx, které x aktivům xxxxxxxxxxx, x xxxxxx ochrany xxxxxxxxxxx xxxxxxxx xxxxx xx xxxxxx administrátorů. Xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx nevyžaduje xxxxxxx x xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxx oprávněné zájmy xxxxxx x osoby xxxxxxx x §3 xxxx. c) xx x) xxxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx xxxxxxxxx ochranu z xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx xxxxxx může xxxx x xxxxxxxxx xxxxxxxxxxx zájmů xxxxxx x xxxxx xxxxxxx v §3 písm. x) xx x) zákona x může se xxxxxxxx méně xxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx standardní xxxxxxxx (např. omezení xxxxxxxxxxxx práv pro xxxxx). |
|
Xxxxxx |
Xxxxxxx vyžaduje xxxxxxx x hlediska xxxxxxxxx. Xxxxxxxx integrity aktiva xxxx k xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxxxxxxxx xxxxxx xx primární xxxxxx. |
Xxx xxxxxxx integrity xxxx xxxxxxxxx speciální xxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx x xxxxxxxxxx xxxxxxxx xxxxx provádějící xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx k xxxxx xxxxxxx poškození oprávněných xxxxx xxxxxx x xxxxx xxxxxxx x §3 písm. c) xx e) xxxxxx x xxxxxxx x xxxxx xxxxxxx dopady na xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx osoby xxxxxxxxxxx xxxxx (xxxx. pomocí xxxxxxxxxxx xxxxxxxxxxx xxxxxxx). |
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva není xxxxxxxx a v xxxxxxx výpadku xx xxxxx tolerováno xxxxx xxxxxx xxxxxx xxx xxxxxxx (xxx xx 1 týdne). |
Pro xxxxxxx xxxxxxxxxxx xx postačující xxxxxxxxxx zálohování. |
|
Střední |
Narušení xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx xxxx xxxxxxxxxx xxx, xxxxxxxxxxxxx xxxxxxx xxxx k xxxxxxx xxxxxxxx zájmů orgánu x osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx využívány xxxxx xxxxxx xxxxxxxxxx x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx xxxx xxxxxxxx hodin. Jakýkoli xxxxxxx je xxxxx xxxxx xxxxxxxxxx, xxxxxxx xxxx k přímému xxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx. Xxxxxx xxxx xxxxxxxxxx xxxx xxxxx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx xxxx xxx xxxxxxxxx xxxxxx xxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xxxx xxxxxxxxx x x xxxxxxxxxx nedostupnost (x xxxx několika xxxxx) xxxx x xxxxxxx xxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) až e) xxxxxx. Aktiva xxxx xxxxxxxxxx jako xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx xx krátkodobá x automatizovaná. |
Příloha x. 2 x xxxxxxxx x. 316/2014 Sb.
Hodnocení xxxxx
Xxxxxxxxx xxxxx je xxxxxxxxx xxxx funkce, xxxxxx xxxxxxxxx xxxxx, xxxxxx x xxxxxxxxxxxx.
Xxx hodnocení xxxxx lze použít xxxxxxx xxxx funkci
riziko = dopad x xxxxxx x xxxxxxxxxxxx.
Xxxxxxxxxxx xxxxxx funkce xxx xxxxxx xxxxxx xx xxxxxxxxx součástí metodiky xxx xxxxxxxxxxxx a xxxxxxxxx xxxxxx
|
Xxxxxxxx pro xxxxxxxxx dopadů |
|
|
Úroveň |
Popis |
|
Nízký |
Dopad xx x xxxxxxxx xxxxxxx xxxxxx x xxxxxx xxxxxxx x xxxxx xxx katastrofický. Rozsah případných xxxx xxxxxxxxxxx x) 10 xxxxxxxxx xxxx x xxxxxxxxx xxxxxxxxxxxxx po xxxx delší xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xx 5&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx na veřejnost x xxxxxxxxx omezením xxxxxxxxxx služeb xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxxx 250 xxxx. |
|
Xxxxxxx |
Xxxxx je xxxxxxxxx xxxxxxx x v xxxxxxxx časovém xxxxxx. Xxxxxx xxxxxxxxxx xxxx xx xxxxxxxx x rozmezí a) xx 10 xxxxxxx xxxx xx 11 xx 100 osob x xxxxxxxxx xxxxxxxxxxxxx xx dobu delší xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xx 5&xxxx;000&xxxx;000 Xx xx 50&xxxx;000&xxxx;000 Xx anebo c) xxxxxxxxxxx xxxxx xx xxxxxxxxx s xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx jiného xxxxxxxxx xxxxxx do xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xx 251 do 2&xxxx;500 xxxx. |
|
Xxxxxx |
Xxxxx je xxxxxxxxx xxxxxxx, xxx xxxxxx xxxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xx xxxxxxxx x xxxxxxx x) od 11 xx 100 xxxxxxx nebo od 101 do 1 000 osob x xxxxxxxxx hospitalizací po xxxx xxxxx než 24 xxxxx nebo b) xxxxxxxx nebo xxxxxxxxxx xxxxxx od 50 000 000 Xx xx 500 000 000 Xx xxxxx x) představuje xxxxx na xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx života xxxxxxxxxxxxx od 2&xxxx;501 xx 25&xxxx;000 osob. |
|
Kritický |
Dopad xx xxxxxx rozsahem, xxxxxx a xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx se xxxxxxxx x rozmezí a) 10 x xxxx xxxxxxx x 1 001 a více xxxx x xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx nebo b) xxxxxxxx xxxx xxxxxxxxxx ztráty xxxxxxxxxxx 500&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx veřejnost x xxxxxxxxx omezením xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxx xxx 25&xxxx;000 xxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx nebo xx xxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxx xxxxxxxx xxx xxxxxx xx 5 xxx. |
|
Xxxxxxx |
Xxxxxx xx málo xxxxxxxxxxxxx až xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx hrozby xx v xxxxxxx xx 1 xxxx xx 5 xxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Předpokládaná xxxxxxxxx xxxxxx xx x rozpětí xx 1 xxxxxx xx 1 xxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx xxxxxxxxxxxxx až xxxxxxxx xxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx je xxxxxxxx než jednou xx xxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx neexistuje xxxx je zneužití xxxxxxxxxxxxx xxxx xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, které xxxx xxxxxxx včas detekovat xxxxx slabiny nebo xxxxxxxx xxxxxx o xxxxxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxxxxxx je xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx opatření, xxxxxxx xxxxxxxx xx pravidelně xxxxxxxxxxxx. Schopnost xxxxxxxxxxxxxx xxxxxxxx xxxx detekovat xxxxx xxxxxxx nebo xxxxxxxx pokusy x xxxxxxxxx xxxxxxxx je xxxxxxx. Xxxxxx xxxxx xxxxx úspěšné xxxxxx x překonání xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx je xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx opatření xxxxxxxx, xxx jejich xxxxxxxx xxxxxxxxx všechny xxxxxxxx xxxxxxx a xxxx xxxxxxxxxx xxxxxxxxxxxx. Xxxx xxxxx xxxxx xxxxxxx xxxxxx o xxxxxxxxx xxxxxxxxxxxxxx opatření. |
|
Kritická |
Zranitelnost xx xxxxx xxxxxxxxxxxxx až xx xxxxxxxx xxxxx xxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxx realizována xxxxx xx jejich xxxxxxxx xxxxxx xxxxxxx. Neprobíhá xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Xxxx xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření. |
|
Stupnice xxx xxxxxxxxx xxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx je xxxxxxxxxx xx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxx x xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xx riziko přijatelné. |
|
Vysoké |
Riziko xx xxxxxxxxxx nepřípustné x musí xxx xxxxxxxx xxxxxxxxxxxx xxxxx x xxxx odstranění. |
|
Kritické |
Riziko xx xxxxxxxxxxx x xxxx xxx xxxxxxxxxx xxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
X xxxxxxx, xx orgán xxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx metodu xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx, xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx, je možné xxxxxxxx pro hodnocení xxxxxx x zranitelností xxxxxxx. Xxxxxxxx xxxxxxx xx xxxxxx vést xx xxxxxx schopnosti xxxxxxxxx xxxx hrozby x zranitelnosti. Za xxxxx účelem xxx xxxxxx xxxxxxxxx xxxxxxxx, xxxxx zřetelně xxxxxxx xxx xxxxxx xxxxxx, xxx x xxxxxx xxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx x xxxxx xxxx xxxxx xxxxxxx v §3 xxxx. x) xx e) xxxxxx, xxxxx xxxxxxx xxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxx, xxxxxx, xxxxxxxxxxxxx x rizik.
Xxxxxxx č. 3 x xxxxxxxx x. 316/2014 Sb.
Minimální požadavky xx xxxxxxxxxxxxxx algoritmy
(1) Xxxxxxxxxx xxxxxxxxx
x) Xxxxxxx x proudové xxxxx xxx xxxxxxx xxxxxxxxxx x xxxxxxxxx
1. Xxxxxxxx Xxxxxxxxxx Xxxxxxxx (XXX) x využitím délky xxxxx 128, 192 x 256 xxxx Xxxxxx Xxxx Xxxxxxxxxx Xxxxxxxx (3XXX) s xxxxxxxx xxxxx xxxxx 168 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx menším xxx 10 GB, xxxxxxxx xxxxxxxxx na XXX.
2. Xxxxxx Xxxx Xxxxxxxxxx Xxxxxxxx (3DES) x xxxxxxxx délky xxxxx 112 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx klíče xxxxxx xxx 10 XX, xxxxxxxx xxxxxxxxx xx XXX. Xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx xxx xxxxxx xxxxxx.
3. Xxxxxxxx x xxxxxxxx xxxxxxxxx délky xxxxx 128 xxxx, xxxxxxx xxxxxxx jen xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX.
4. Xxxxxx s využitím xxxxx klíčů 128 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx menším než 10 XX.
5. Twofish x xxxxxxxx xxxxx xxxxx 128 xx 256 bitů.
6. Xxxxxxx x využitím xxxxx xxxxx 128, 192, 256 xxxx.
7. Camellia x využitím xxxxx xxxxx 128, 192 x 256 xxxx.
8. XXXX 2.0, SNOW 3X x využitím xxxxx xxxxx 128, 256 bitů.
b) Módy xxxxxxxxx x ochranou xxxxxxxxx
1. CCM,
2. XXX,
3. XXX,
4. Xxxxxxx schémata xxxx "Encrypt-then-MAC".
Poznámka:
Schémata xxxx "Xxxxxxx-xxxx-XXX",xxxx xxxxxxxx x xxxxxxxxx pouze xxxxxxx xxxxxxxxx módy x x výpočtu XXX xxxxx xxxxxxx xxxx xxx xxxxxxx xxxxxxxxx.
x) Xxxx šifrování
1. XXX,
2. XXX,
3. XXX,
4. XXX,
Xxxxxxxx:
Xxxx XXX x CFB xxxx xxx xxxxxxx x xxxxxxxx, xxx xxxxxxxx xxxxxxxxxxxxxxxxxx inicializačním xxxxxxxx, při xxxxxxx xxxx OFB xx xxx xxxx xxxx xxxxx xxxxxxxx hodnota xxxxxxxxxxxxxxx xxxxxxx, při xxxxxxx xxxx XXX xx xxx xxxx xxxx xxxxx xxxxxxxx xxxxxxx xxxxxx, x xxxxxxx xxxxxxx CBC xxxx x xxxxxxxxx xxx xxxxxxx xxxxxxxxx xx třeba xxxxxx xxxxxxxx xxxxx útoku xx xxxxxxx CBC xxxx.
x) Módy xxx xxxxxxx xxxxxxxxx
1. XXXX,
2. XXX-XXX-X9.19, xxxxxxx xxxxxxx xxx se xxxxxxxxx xxxxxx xxx 109 XXX,
3. XXX-XXX-XXXX,
4. XXXX.
(2) Xxxxxxxxxxx xxxxxxxxx
x) Pro xxxxxxxxxxx xxxxxxxxxxx podpisu
1. Xxxxxxx Xxxxxxxxx Xxxxxxxxx (XXX) x xxxxxxxx xxxxx xxxxx 2048 xxxx x xxxx, xxxxx xxxxxxxxx cyklické xxxxxxxx 224 xxxx x více.
2. Xxxxxxxx Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxxxxx (XX-XXX) x xxxxxxxx xxxxx xxxxx 224 xxxx x xxxx.
3. Xxxxxx-Xxxxxx-Xxxxxxx Xxxxxxxxxxxx Xxxxxxxxx Xxxxxx (RSA-PSS) x xxxxxxxx xxxxx xxxxx 2048 xxxx x xxxx.
x) Pro xxxxxxx xxxxx na xxxxx x xxxxxxxxx xxxxx
1. Xxxxxx-Xxxxxxx (XX) x využitím xxxxx xxxxx 2048 bitů x xxxx, xxxxx xxxxxxxxx cylické xxxxxxxx 224 bitů a xxxx.
2. Xxxxxxxx Xxxxx Xxxxxx-Xxxxxxx (XXXX) x xxxxxxxx xxxxx klíčů 224 bitů x xxxx.
3. Elliptic Xxxxx Xxxxxxxxxx Encryption Xxxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXXXX-XXX) x xxxxxxxx xxxxx xxxxx 256 bitů x xxxx.
4. Xxxxxxxx Xxxxxx Xxxxxxxx Xxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXXX-XXX) x využitím xxxxx xxxxx 256 xxxx xxxx.
5. Xxxxxxxxx Xxxxxxx and Key Xxxxxxxxxxxxx Mechanism (XXX-XXX) x xxxxxxxx délky xxxxx 256 bitů x více.
6. Rivest Xxxxxx Xxxxxxx - Xxxxxxx Asymetrie Xxxxxxxxxx Xxxxxxx (XXX-XXXX) s xxxxxxxx xxxxx klíčů 2048 x xxxx.
7. Xxxxxx Xxxxxx Xxxxxxx - Xxx Encapculation Xxxxxxxxx (XXX-XXX) x xxxxxxxx xxxxx xxxxx 2048 x více.
(3) Xxxxxxxxx xxxx funkcí
a) XXX-2
1. SHA-224,
2. SHA-256,
3. XXX-384,
4. XXX-512,
5. XXX-512/224,
6. XXX-512/256.
x) SHA-3
1. SHA3-224,
2. XXX3-256,
3. SHA3-384,
4. SHA3-512,
5. XXXXX-128,
6. XXXXX-256.
x) Xxxxxxx xxxxxxxx funkce
1. Whirpool,
2. XXXXXX-160,
3. XXX 1 x omezeným použitím.
Poznámka x. 1:
XXX-1 xx xxxxx xxxxxxxx pro xxxxxxxxxx xxxxxx digitálních xxxxxxx, xxxxxxxx xxxxxxx, xxxxxxxxx xxxx aplikace xxxxxxxxxx nekolizní SHA-1.
Poznámka x. 2:
SHA-1 xxx xxxxxxxx pouze pro xxxxxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxx podpisů x xxxxxxxx xxxxxxx, xxxxxxxxxx x xxxxxxxxx XXXX-XXX1, xxxxxx xxx odvozování xxxxx a xxxxxxxxxxxxx xxxxxxxxxx.
Příloha č. 4 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx bezpečnostní xxxxxxxxxxx
Xxxx xxxxxxx xxxxxxxx xxxxxxxxxx obsah bezpečnostní xxxxxxxxxxx. Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx, xxxxx jednotlivé xxxxxxxxx xxxxx této xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxx dokumentů xxxxxx xxxxxxx x xx xx orgánu xxxx xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx, jaký xxxxxxx x tvorbě xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx. Xxxxxxxxx xx x změna xxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxx více xxxxx xx xxxxxxx xxxxxxxxx.
X. Struktura xxxxxxxxxxxx xxxxxxxx
(1) Politika xxxxxxx xxxxxx bezpečnosti xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxx, xxxxxxxx a xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx a xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x postupy pro xxxxxx dokumentace.
d) Pravidla x xxxxxxx xxx xxxxxx zdrojů a xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla a xxxxxxx pro xxxxxxxx xxxxxxxx a xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx**
[§5 odst. 1 xxxx. b), §5 xxxx. 2 písm. x)]
x) Xxxxxx xxxxxxxxxxxxxx xxxx a xxxxxx xxxx x xxxxxxxxxx,
1. xxxxx x povinnosti xxxxxxxx xxxxxxxxxxxx bezpečnosti,
2. xxxxx a xxxxxxxxxx xxxxxxxxxx kybernetické xxxxxxxxxxx,
3. xxxxx x xxxxxxxxxx xxxxxxxx kybernetické bezpečnosti,
4. xxxxx a povinnosti xxxxxxx aktiv,
5. xxxxx x xxxxxxxxxx výboru xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Požadavky na xxxxxxxx výkonu xxxxxxxx xxxxxxxxxxxx bezpečnostních xxxx.
(3) Xxxxxxxx xxxxxx dodavatelů**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. c)]
a) Xxxxxxxx x xxxxxxxx xxx xxxxx dodavatelů.
b) Xxxxxxxx xxx xxxxxxxxx xxxxx dodavatelů.
c) Xxxxxxxxxxx xxxxxxx x úrovni xxxxxx x způsobů x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření a x xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx.
x) Pravidla xxx xxxxxxxxx xxxxxxxx xxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx.
(4) Xxxxxxxx xxxxxxxxxxx xxxxx**
[§5 xxxx. 1 xxxx. d), §5 xxxx. 2 xxxx. x)]
x) Identifikace, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx a xxxxxxxx jednotlivých xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx aktiv x xxxxxxxx xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx.
x) Xxxxxxxxxxxx, hodnocení a xxxxxxxx podpůrných aktiv
1. xxxxxx a xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx aktiv xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx aktivy.
c) Pravidla xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx
1. způsoby xxxxxxxxxxx xxxxxxxxxxxx xxxxxx aktiv,
2. xxxxxxxx xxx manipulaci x evidenci xxxxx xxxxx xxxxxx xxxxx,
3. xxxxxxxxx způsoby xxxxxxxxx xxxxx.
x) Způsoby xxxxxxxxxxxx xxxxxxx nebo ničení xxxxxxxxxxx xxxxxx dat.
(5) Xxxxxxxx xxxxxxxxxxx lidských xxxxxx**
[§5 xxxx. 1 xxxx. e), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxx xxxx hodnocení
1. xxxxxxx x xxxxx xxxxxxx xxxxxxxxx,
2. xxxxxxx x xxxxx xxxxxxx xxxxxxx xxxxx,
3. způsoby x xxxxx xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx x xxxxx poučení xxxxxxx xxxx xxxxxxxxxxxxx bezpečnostní xxxx.
x) Bezpečnostní xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx politiky xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Pravidla xxx xxxxxxxx pracovního vztahu xxxx xxxxx xxxxxxxx xxxxxx.
1. xxxxxxx xxxxxxxxx xxxxx x odebrání xxxx xxx ukončení xxxxxxxxxx xxxxxx,
2. xxxxx xxxxxxxxxxxx oprávnění xxx xxxxx pracovní pozice.
(6) Xxxxxxxx xxxxxx xxxxxxx x komunikací**
[§5 xxxx. 1 písm. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxx xxxxxxxxxxx zranitelností.
e) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx a bezpečnostních xxxxx.
(7) Xxxxxxxx xxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (xxxx xx know).
b) Xxxxxxxxx xx xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxx xxxxxxxx.
x) Řízení xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx situace.
f) Xxxxxxxxxx xxxxxxxxxxx přístupových xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx.
(8) Xxxxxxxx xxxxxxxxxx chování xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx xxx xxxxxxxx xxxxxxxxx s aktivy.
b) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx použití xxxxxxxxxxxx xxxxx a xxxxxxxx xx xxxxxxxx.
x) Xxxxxxxx vzdálený xxxxxxx.
x) Xxxxxxxx xxxxxxx na xxxxxxxxxx sítích.
f) Bezpečnost xx xxxxxx x xxxxxxxx xxxxxxxxx.
(9) Xxxxxxxx xxxxxxxxxx x xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxx xx xxxxxxxxxx x obnovu.
b) Pravidla x postupy xxxxxxxxxx.
x) Xxxxxxxx bezpečného xxxxxxx xxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxx a xxxxxx.
(10) Xxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxx informací**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx a xxxxxxx pro ochranu xxxxxxxxxxx informací.
b) Způsoby xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx kryptografické ochrany.
(11) Xxxxxxxx řízení technických xxxxxxxxxxxxx**
[§5 odst. 1 xxxx. k)]
a) Xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx x postupy xxxxxxxxxxx xxxxxxxxx programových balíčků,
c) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx programového xxxxxxxx,
x) Xxxxxxxx a xxxxxxx xxxxxxxx oprav xxxxxxxxxxxx xxxxxxxx.
(12) Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx*
[§5 xxxx. 1 xxxx. 1)]
x) Xxxxxxxx x xxxxxxx pro xxxxxxxx používání xxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx pro zajištění xxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x x) zákona nedisponuje.
(13) Xxxxxxxx poskytování x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx*
[§5 xxxx. 1 písm. x), §5 odst. 2 xxxx. j)]
a) Xxxxxxxx x postupy xxxxxxxx xxxxxxxxxxxx vybavení x jeho evidence.
b) Xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx podmínek.
(14) Politika xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx*
[§5 odst. x xxxx. x)]
x) Xxxxxxxx a postupy xxxxxxxxx dokumentů x xxxxxxx.
x) Xxxxxxx archivovaných xxxxxxxxx x xxxxxxx.
x) Xxxxxxxx přístupu x xxxxxxxxxxxx dokumentům x xxxxxxxx.
(15) Xxxxxxxx ochrany xxxxxxxx údajů*
[§5 xxxx. x xxxx. x), §5 xxxx. 2 xxxx. k)]
a) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx údajů.
b) Xxxxx xxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
x) Popis xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxx údajů.
(16) Politika xxxxxxx xxxxxxxxxxx**
[§5 xxxx. x xxxx. p)]
a) Xxxxxxxx xxx xxxxxxx xxxxxxx.
x) Pravidla pro xxxxxxxx vstupu xxxx.
x) Xxxxxxxx pro ochranu xxxxxxxx.
x) Detekce xxxxxxxx xxxxxxx xxxxxxxxxxx.
(17) Politika xxxxxxxxxxx xxxxxxxxxxx sítě**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxx.
x) Určení xxxx x povinností xx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxxx v xxxxx xxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxxxx x xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx xxxx a vyhodnocování xxxxxxxxxx záznamů.
(18) Xxxxxxxx xxxxxxx před xxxxxxxxx xxxxx*
[§5 xxxx. l xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxxxxxx mezi xxxxxxx x vnější xxxx.
x) Xxxxxxxx x postupy xxx ochranu serverů x sdílených xxxxxxxx xxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxxxxx stanic.
(19) Xxxxxxxx xxxxxxxx a xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx**
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx xxxxxxxxxxxxx x xxxxxxxxx na xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
(20) Xxxxxxxx využití x xxxxxx nástroje pro xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx a xxxxxxx xxx evidenci x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Pravidla x postupy xxxxxxxxxx xxxxxxxxxxx xxxxxxxx pro xxxxxxxxxxx kybernetických bezpečnostních xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx optimální xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxx xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
(21) Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx**
[§5 xxxx. 1 xxxx. u), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx ochrany x ohledem xx xxx x xxxx xxxxxxxxxxxxxxxx algoritmu.
b) Pravidla xxxxxxxxxxxxxx ochrany xxxxxxxxx
1. xxx xxxxxxx xx xxxxxxxxxxxxx sítích,
2. xxx xxxxxxx xx xxxxxxx xxxxxxxx nebo xxxxxxxxxxx xxxxxxxxx nosič xxx,
x) Xxxxxx správy xxxxx.
XX. Xxxxxxxxx xxxxx dokumentace
(1) Xxxxxx z xxxxxx xxxxxxxxxxxx xxxxxxxxxxx**
[§28 xxxx. 1 xxxx. b)]
a) Xxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Kritéria xxxxxx xxxxxxxxxxxx bezpečnosti.
d) Xxxxxxxxxxxxxx týmu xxxxxxxx x xxxx, xxxxx xx xxxxxx kybernetické xxxxxxxxxxx xxxxxxxxxx.
x) Datum x místo, kde xxxx xxxxxxxxx xxxxxxxx xxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Zjištění x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(2) Xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 xxxx. x)]
x) Xxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx informací,
b) Xxxxxxxxxxxx změn a xxxxxxxxx, xxxxx xxxxx xxx vliv na xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Zpětná vazba x xxxxxxxxxx řízení xxxxxxxxxxx informací
1. xxxxxxx x nápravná xxxxxxxx,
2. xxxxxxxx xxxxxxxxxxxx a xxxxxx,
3. xxxxxxxx xxxxxx,
4. xxxxxxxx cílů xxxxxxxxxxx,
x) Xxxxxxxx xxxxxxxxx rizik x xxxx plánu xxxxxxxx xxxxx.
x) Identifikace xxxxxxxx xxx neustálé xxxxxxxxxx.
x) Xxxxxxxxxx potřebných xxxxxxxxxx, xxxxxxxxx opatření x osob xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
(3) Xxxxxxxx xxx identifikaci x xxxxxxxxx xxxxx x xxx identifikaci x xxxxxxxxx xxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxx stupnice pro xxxxxxxxx primárních aktiv
1. xxxxxx stupnice xxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxx,
2. xxxxxx stupnice xxx hodnocení xxxxxx xxxxxxxxx xxxxx,
3. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx pro hodnocení xxxxxx xxxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx,
4. určení xxxxxxxx xxx hodnocení xxxxxx rizik,
a) Xxxxxx x xxxxxxxx xxx xxxxxxxx rizik.
b) Způsoby xxxxxxxxxxx xxxxxxxxxxxx rizik.
(4) Xxxxxx x xxxxxxxxx xxxxx x xxxxx**
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx primárních aktiv
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx xxxxx,
2. určení xxxxxxx primárních aktiv,
3. xxxxxxxxx xxxxxxxxxx xxxxx x hlediska xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxx (xxxxxxx pro orgány x osoby uvedené x §3 xxxx. x) zákona)
1. xxxxxxxxxxxx x xxxxx podpůrných xxxxx,
2. určení xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxx xxxxx xxxx primárními x podpůrnými aktivy,
c) Xxxxxxxxxxxxxx x xxxxxxxxx xxxxx
1. xxxxxxxxx možných xxxxxx xx aktiva,
2. xxxxxxxxx xxxxxxxxxxxx hrozeb,
3. xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx xxxxxxxxxxxx opatření,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx xxxx xxxxxx x kritérii xxx xxxxxxxxxxxx xxxxx,
5. xxxxxx x schválení xxxxxxxxxxxx xxxxx.
x) Zvládání rizik
1. xxxxx způsobu xxxxxxxx xxxxx,
2. xxxxx opatření x xxxxxx xxxxxxxxx.
(5) Xxxxxxxxxx x aplikovatelnosti*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx včetně xxxxxxxxxx xxxxxx xxxxxx x xxxxxx xxxxx xx xxxxxxxxxxxxxx rizika.
b) Xxxxxxx xxxxxxxxxx bezpečnostních xxxxxxxx.
(6) Xxxx xxxxxxxx rizik**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. x)]
x) Xxxxx x xxxx xxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx.
x) Xxxxxxxx zdroje pro xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxxxx jednotlivá xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
d) Xxxxxxx xxxxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx jednotlivých xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx.
(7) Xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxxxx.
x) Obsah x xxxxxxx xxxxxxx xxxxxxx xxxxx (xxxxxxx xxx xxxxxx x xxxxx xxxxxxx v §3 xxxx. x) xxxxxx).
x) Xxxxx x xxxxxxx xxxxxxx administrátorů (xxxxxxx xxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) zákona).
d) Xxxxx x xxxxxxx xxxxxxx xxxxxxx osob zastávajících xxxxxxxxxxxx role.
e) Xxxxx x xxxxxxx poučení xxxxxx xxxxxxxxxxx.
x) Xxxxx x xxxxxxx xxxxxxxxx xxxxx.
(8) Xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx**
[§28 odst. 1 xxxx. i), §28 xxxx. 2 xxxx. g)]
a) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx testování xxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx xxx vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(9) Xxxxxxxxx xxxxxx kontinuity xxxxxxxx**
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxx xxxxxx kontinuity xxxxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx,
2. xxxx xxxxxxxx xxxxx,
3. bod xxxxxxxx xxxxx.
x) Xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xx kontinuitu x xxxxxxxxxx souvisejících xxxxx.
x) Xxxxxx x xxxxx xxxxxxxxxx xxxxx kontinuity.
f) Xxxxxxx pro xxxxxxxxx xxxxxxxx xxxxxxxx Národním xxxxxxxxxxxxx xxxxxx.
(10) Xxxxxxx xxxxxx závazných xxxxxxxx xxxxxxxx, xxxxxxxxx předpisů x jiných předpisů x xxxxxxxxx xxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. x)]
x) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx předpisů.
b) Xxxxxxx xxxxxxxxx předpisů x xxxxxx předpisů.
c) Přehled xxxxxxxxx xxxxxxx.
Xxxxxxxx:
* Xxxxxxxxx xxxxxxxxx xxxxxxxxx xx xx xxxxxx střední xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx x xxxxxx aktiv.
** Xxxxxxxxx xxxxxxxxx dokumentu xx xx xxxxxx xxxxxx podle xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.
Příloha x. 5 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxx hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
Vyplnitelný formulář ve formátu PDF
Příloha x. 6 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxx xxxxxxxx x xxxxxxxxx reaktivního xxxxxxxx x xxxx xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx x. 7 x xxxxxxxx x. 316/2014 Sb.
Formulář xxx xxxxxxx kontaktních xxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxxxx
Xxxxxx xxxxxxx x. 316/2014 Xx. xxxxx xxxxxxxxx dnem 1.1.2015.
Xx xxx uzávěrky právní xxxxxxx nebyl měněn xx xxxxxxxxx.
Xxxxxx xxxxxxx x. 316/2014 Xx. xxx xxxxxx xxxxxxx xxxxxxxxx č. 82/2018 Sb. s xxxxxxxxx xx 28.5.2018.
Znění xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx xx xxxx xxxxxx xxxxxxxxx xxxxx xxxxx uvedeného xxxxxxxx xxxxxxxx.
1) XXX/XXX 27001:2013, xxxxxxxx XXX XXX/XXX 27001:2014