Právní předpis byl sestaven k datu 01.01.2015.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
XXXXXXXX
xx xxx 15. xxxxxxxx 2014
x bezpečnostních xxxxxxxxxx, kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x o stanovení xxxxxxxxxxx xxxxxx v xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x kybernetické xxxxxxxxxxx)
Xxxxxxx xxxxxxxxxxxx xxxx xxxxxxx podle §28 xxxx. 2 xxxxxx x. 181/2014 Sb., x xxxxxxxxxxxx xxxxxxxxxxx x x změně xxxxxxxxxxxxx xxxxxx (xxxxx x xxxxxxxxxxxx xxxxxxxxxxx), (xxxx xxx "zákon") x xxxxxxxxx §6 xxxx. a) xx x), §8 odst. 4, §13 odst. 4 x §16 xxxx. 6 xxxxxx.
XXXX PRVNÍ
ÚVODNÍ XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxxx vyhláškou xx xxxxxxx obsah x xxxxxxxxx bezpečnostní xxxxxxxxxxx xxx informační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx, xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxx zavedení, xxxx x kategorie xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů, xxxxxxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, náležitosti xxxxxxxx x xxxxxxxxx reaktivního xxxxxxxx a xxxx xxxxxxxx a xxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxx formu.
§2
Xxxxxxxx xxxxx
X xxxx xxxxxxxx xx xxxxxx
x) xxxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx systému xxxxxx orgánu a xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona xxxxxxxx xx xxxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxx xxxxxx xxxxxxxx, xxxxxxxx, xxxxxx, monitorování, xxxxxxxxxxx, xxxxxxxxx x zlepšování xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxx a xxxxxxxx aktivum,
c) xxxxxxxxx xxxxxxx xxxxxxxxx nebo xxxxxx, kterou zpracovává xxxx xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikační systém xxxxxxxx informační xxxxxxxxxxxxxx xxxx významný xxxxxxxxxx xxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, zaměstnanci x dodavatelé podílející xx xx xxxxxxx, xxxxxxx, správě xxxx xxxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxx aktivem xxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x programové xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx, ve kterých xxxx tyto xxxxxxx xxxxxxxx,
x) rizikem xxxxxxx, xx xxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxx xxxxxx, při xxxx xx xxxxxxxx xxxxxxxxxx rizik x xxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxx xxxxxxx xxxxxxxxxx hodnocení rizik, xxxxx x xxxxxxxx xxxxxxxx ke xxxxxxxx xxxxx, xxxxxxx informací x riziku x xxxxxxxxx x xxxxxxxxxxx xxxxx,
x) hrozbou potencionální xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx nebo kybernetického xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxx xxxx xxx xxxxxxxxx aktiva,
j) xxxxxxxxxxxxx xxxxx xxxxx xxxxxx xxxx bezpečnostního opatření, xxxxx může xxx xxxxxxxx xxxxxx xxxx xxxx xxxxxxxx,
x) přijatelným xxxxxxx xxxxxx zbývající xx uplatnění bezpečnostních xxxxxxxx, jehož úroveň xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) bezpečnostní xxxxxxxxx xxxxxx xxxxx x pravidel, xxxxx xxxxxx xxxxxx zajištění xxxxxxx xxxxx xxxxxxx x osobou uvedenou x §3 xxxx. x) až x) xxxxxx,
x) garantem xxxxxx xxxxxxx xxxxx pověřená xxxxxxx xxxx osobou xxxxxxxx x §3 xxxx. x) xx x) xxxxxx x xxxxxxxxx rozvoje, použití x xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxx xxxxx xxxxxxx moci, xxxxx využívá primární xxxxxx,
x) administrátorem xxxxxxx xxxxx xxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx správu, xxxxxx, xxxxxxx, xxxxxx x xxxxxxxxxx technického xxxxxx.
XXXX DRUHÁ
BEZPEČNOSTNÍ OPATŘENÍ
HLAVA X
XXXXXXXXXXX OPATŘENÍ
§3
Systém xxxxxx xxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x osoba uvedená x §3 písm. x) x d) xxxxxx v xxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx
x) stanoví s xxxxxxx xx xxxxxx x organizační xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx, ve xxxxxx xxxx, xxxxxxx xxxxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxx se xxxxxx xxxxxx xxxxxxxxxxx informací xxxx,
x) řídí xxxxxx xxxxx §4 xxxx. 1,
x) xxxxxxx a xxxxxxx bezpečnostní xxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxx, cíle, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx xx vztahu x řízení bezpečnosti xxxxxxxxx x na xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx hodnocení xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x dalších xxxxxxxxx xxxxx §5 x zavede příslušná xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx opatření,
e) xxxxxxxxxxx vhodnost a xxxxxxxx bezpečnostní xxxxxxxx xxxxx §5,
f) xxxxxxx xxxxxxxxx auditu kybernetické xxxxxxxxxxx xxxxx §15, x to xxxxxxx xxxxxx ročně,
g) xxxxxxx xxxxxxxxxxx účinnosti xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx obsahuje hodnocení xxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxx, xxxxxxxxx výsledků xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xx systém xxxxxx xxxxxxxxxxx informací, x xx nejméně xxxxxx xxxxx,
x) xxxxxxxxxxx xxxxxx xxxxxx bezpečnosti xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xx základě xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x x souvislosti s xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx x
x) xxxx xxxxxx x xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxx xxxxxxx se systémem xxxxxx bezpečnosti xxxxxxxxx x xxxxxxx xxxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xxxxxx x rámci systému xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxx xxxxxx xxxxx §4 xxxx. 2,
x) xxxxxxx x xxxxxxx xxxxxxxxxxxx politiku x xxxxxxx xxxxxxx řízení xxxxxxxxxxx informací, která xxxxxxxx hlavní zásady, xxxx, xxxxxxxxxxxx potřeby, xxxxx x povinnosti xx xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxx x na základě xxxxxxxxxxxxxx potřeb x xxxxxxxx hodnocení rizik xxxxxxx bezpečnostní xxxxxxxx x xxxxxxx oblastech xxxxx §5, a xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxxx xxxxx a xxxxx, bezpečnostní xxxxxxxx, xxxxx zvládání xxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, a xx xxxxxxx xxxxxx xx xxx roky xxxx x souvislosti x prováděnými xxxx xxxxxxxxxxx xxxxxxx.
§4
Xxxxxx xxxxx
(1) Orgán x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx x xxxxx xxxxxx xxxxx
x) stanoví xxxxxxxx xxx identifikaci x hodnocení xxxxx x pro identifikaci x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx kritérií xxx přijatelnost xxxxx,
x) xxxxxxxxxxxx a hodnotí xxxxxxxxxx aktiv, která xxxxx xx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx §8 x xxxxxxx přílohy č. 1 x této xxxxxxxx x xxxxxxx xxxxxxxxx xx zprávy o xxxxxxxxx xxxxx a xxxxx,
x) xxxxxxxxxxxx xxxxxx, xxx kterých xxxxxxxx xxxxxx x zranitelnosti, xxxxxxx xxxxx xxxxxx xx xxxxxx, xxxxxxx xxxx xxxxxx minimálně x rozsahu xxxxx přílohy č. 2 x xxxx xxxxxxxx, určí a xxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxx xxxxxx x hodnocení xxxxx x xxxxx,
x) xxxxxxxx xx xxxxxxx bezpečnostních xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx x aplikovatelnosti, xxxxx xxxxxxxx přehled xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx x xxxxxx xxxx xxxxxxxx xxxxx, xxxxx xxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx, xxxxxx xxxxx xxxxxxxxxxx prosazování xxxxxxxxxxxxxx opatření pro xxxxxxxx xxxxx, potřebné xxxxxxxx, xxxxxxxxx, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxx xxxxxx zavedení x popis vazeb xxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxxx xxxxxxx reaktivní x ochranná xxxxxxxx xxxxxx Xxxxxxxx bezpečnostním xxxxxx (xxxx xxx "Xxxx") x xxxxxxxxx xxxxx x x xxxxxxx, xx xxxxxxxxx xxxxx xxxxxxxxxxxxx o xxxx zranitelnosti spojené x xxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxx opatření xxxxxxxx xxxxxxxxx kritéria xxx xxxxxxxxxxxx rizik, xxxxxx xxxx xxxxxxxx xxxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 písm. x) xxxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx identifikaci x xxxxxxxxx xxxxx x pro identifikaci x hodnocení xxxxx xxxxxx stanovení xxxxxxxx xxx přijatelnost rizik,
b) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxx aktiv, xxxxx xxxxx xx xxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx, podle §8 minimálně x xxxxxxx přílohy č. 1 k xxxx vyhlášce x xxxxxxx xxxxxxxxx xx xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx zohlední xxxxxx x zranitelnosti, xxxxxxx xxxxx dopady xx xxxxxxxx aktiva, hodnotí xxxx xxxxxx xxxxxxxxx x xxxxxxx xxxxx přílohy č. 2 x této xxxxxxxx x xxxxxxxx xxxxxx x hodnocení xxxxx a xxxxx,
x) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx a xxxxxxxx hodnocení rizik xxxxxxxxxx o aplikovatelnosti, xxxxx xxxxxxxx přehled xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx x xxxxxx plán xxxxxxxx xxxxx, xxxxx xxxxxxxx cíle x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik, xxxxxx osoby xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx a xxxxxxxxxx xxxxxx, termíny xxxxxx xxxxxxxx a xxxxx xxxxx xxxx xxxxxxxxxxxxxxxx xxxxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxx bez xxxxxxxxxx xxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxx xxxxxx Xxxxxx x hodnocení xxxxx a x xxxxxxx, xx xxxxxxxxx xxxxx aktualizované x xxxx xxxxxxxxxxxxx xxxxxxx x realizací xxxxxxxxxxx xxxx ochranného xxxxxxxx xxxxxxxx stanovená xxxxxxxx xxx xxxxxxxxxxxx rizik, xxxxxx xxxx zvládání xxxxx.
(3) Xxxxxx rizik xxxx xxx zajištěno x xxxxxx způsoby, xxx xxx je xxxxxxxxx x xxxxxxxxxx 1 x 2, xxxxx xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona xxxxxxxxx, xx xxxxxxx xxxxxxxx zajišťující xxxxxxx xxxx xxxxx úroveň xxxxxx rizik.
(4) Orgán x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx při hodnocení xxxxx xxxxxxx zejména xxxx xxxxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, provedení xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxx nebo xxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx identity xxxxxxx xxxxx,
x) užívání xxxxxxxxxxxx xxxxxxxx x xxxxxxx x xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx xxxx x xxxxxxxxxxx xxxx,
x) xxxxxxxx xxx (xxxxxxxxx xxxx, spyware, xxxxxxx xxxx),
x) nedostatky při xxxxxxxxxxx služeb informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx dodávek elektrické xxxxxxx,
x) xxxxxxxx xxxx xxxxxxxxxxx modifikace xxxxx,
x) xxxxxx xxxxxxxx hrozby x
x) xxxxxxxx xxxx xxxxxxxxx aktiva.
(5) Orgán x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxx xxxxxxxxx xxxxx zvažuje xxxxxxx xxxx xxxxxxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx vnějšího perimetru,
b) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx xxx identifikování x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx činnosti xxxxxxxxx a administrátorů x xxxxxxxxxxx odhalit xxxxxx xxxxxxxx xxxx xxxxxxx xxxxxxx xxxxxxx x
x) xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx pravidel, xxxxxxxx xxxx nejednoznačné xxxxxxxx xxxx x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx.
(6) Xxxxx x osoba uvedená x §3 xxxx. x) x x) xxxxxx xxx hodnocení xxxxx dále xxxxxxx xxxx xxxxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, provedení xxxxxxxxxxxxx činností, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxxxxxx kritické informační xxxxxxxxxxxxxx,
x) pochybení xx xxxxxx xxxxxxxxxxx,
x) zneužití xxxxxxxxx xxxxxxxxxx, sabotáž,
d) xxxxxxxxxx přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx komunikací, xxxxxxx elektrické energie xxxx jiných xxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx x potřebnou odbornou xxxxxx,
x) cílený xxxxxxxxxxxx xxxx pomocí xxxxxxxxxx xxxxxxxxxxx, použití špionážních xxxxxxx a
g) zneužití xxxxxxxxxxxxx xxxxxxxxxxx nosičů xxx.
(7) Xxxxx a xxxxx uvedená v §3 xxxx. x) x x) zákona xxx hodnocení xxxxx xxxx xxxxxxx xxxx xxxxxxxxxxxxx
x) nedostatečná xxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) nevhodná xxxxxxxxxxxx xxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxx xxxxxxxxx kontroly a
d) xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx ze strany xxxxxxxxxxx.
§5
Bezpečnostní xxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) a d) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxx,
x) xxxxxx vztahů s xxxxxxxxxx,
x) klasifikace aktiv,
e) xxxxxxxxxx lidských xxxxxx,
x) xxxxxx provozu x xxxxxxxxxx,
x) xxxxxx xxxxxxxx,
x) xxxxxxxx chování uživatelů,
i) xxxxxxxxxx x xxxxxx,
x) xxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxx,
x) řízení xxxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx a xxxxxxxx xxxxxxx xxxxxxxxxxxx vybavení x xxxxxxxxx,
x) dlouhodobé xxxxxxxx a archivace xxxxxxxxx,
x) ochrana osobních xxxxx,
x) xxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxxx před škodlivým xxxxx,
x) xxxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx x xxxxxx nástroje xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x
x) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxxxx bezpečnostní xxxxxxxx x xxxxxxxxx
x) xxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxx,
x) xxxxxx xxxxxxxxxx,
x) klasifikace xxxxx,
x) xxxxxxxxxx lidských xxxxxx,
x) xxxxxx xxxxxxx x komunikací,
g) řízení xxxxxxxx,
x) bezpečné xxxxxxx xxxxxxxxx,
x) zálohování a xxxxxx,
x) poskytování x xxxxxxxx licencí programového xxxxxxxx x informací,
k) xxxxxxx xxxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxx xxxxxxxxx xxxxx x
x) xxxxxxxx x používání xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 písm. x) až e) xxxxxx pravidelně xxxxxxx xxxxxxxx xxxxxxxxxxxx politiky x xxxxxxxxxxx xx.
§6
Xxxxxxxxxxx bezpečnost
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxx informací, x xxxxx které xxxx výbor xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxx x xxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxxx systémem xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx systémem.
(2) Xxxxx a osoba xxxxxxx v §3 xxxx. x) x x) xxxxxx určí xxxxxxxxxxxx xxxx
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx bezpečnosti x
x) xxxxxx xxxxxx podle §2 xxxx. m).
(3) Xxxxx x osoba xxxxxxx x §3 xxxx. x) určí xxxxxxxxxxxx role přiměřeně xxxxx odstavce 2.
(4) Xxxxxxx xxxxxxxxxxxx bezpečnosti xx osoba, xxxxxxxxx xx systém xxxxxx xxxxxxxxxxx xxxxxxxxx, která xx pro tuto xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxx nejméně tří xxx.
(5) Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx je xxxxx xxxxxxxxxxx návrh a xxxxxxxxxxxx bezpečnostních opatření, xxxxx xx pro xxxx xxxxxxx vyškolena x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxxxxx architektury xx xxxx xxxxxxx xxx xxx.
(6) Xxxxxxx xxxxxxxxxxxx bezpečnosti xx xxxxx xxxxxxxxxxx audit xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xx pro tuto xxxxxxx xxxxxxxxx x xxxxxxx odbornou způsobilost xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx dobu nejméně xxx xxx. Auditor xxxxxxxxxxxx bezpečnosti vykonává xxxxx xxxx nestranně x xxxxx xxxx xxxx xx xxxxxxx xx výkonu xxxx xxxxxxxxx x xxxxxxxx 2 písm. a), x) xxxx x).
(7) Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx, xxxxx xxxx xxxxxxxx xxxxxxxx xxxxxxx x rozvojem xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx významného informačního xxxxxxx, anebo xx xxxxxxxx xxxxxxxx xx xxxxxx x koordinaci xxxxxxxx xxxxxxxxx s xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx.
(8) Orgán x xxxxx xxxxxxx x §3 písm. x) xx x) zákona xxxxxxx xxxxxxx xxxxxxx xxxx, xxxxx xxxxxxxxx xxxxxxxxxxxx xxxx v xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 xxxx. b).
§7
Xxxxxxxxx xxxxxxxxxxxxxx požadavků xxx dodavatele
(1) Orgán x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx zavede xxxxxxxx xxx dodavatele, xxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, x xxxxxxxx xx x xxxxxxxxxx nebo xxxxxx xxxx, xxxxx xx xxxxxxxx xx xxxxxxx, xxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx informačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému. Xxxxxx zapojení xxxxxxxxxx xx xxxxxxx, xxxxxxx xxxx xxxxxxxxx bezpečnosti xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxx xxxxxxx v §3 písm. x) xx x) zákona xxxxxxxx, xxxxx součástí xx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 písm. x) x d) xxxxxx u dodavatelů xxxxxxxxx x xxxxxxxx 1 xxxx
x) xxxx xxxxxxxxx smlouvy xxxxxxx xxxxxxxxx xxxxx xxxxx přílohy č. 2 x této xxxxxxxx, xxxxx jsou xxxxxxx s xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxx x xxxxxx služeb, xxxxx stanoví xxxxxxx x xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx x xxxx xxxxx xxxxxxxx xxxxxxx odpovědnosti xx xxxxxxxx x kontrolu xxxxxxxxxxxxxx xxxxxxxx, x
x) xxxxxxx pravidelné xxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxxxxx bezpečnostních xxxxxxxx x poskytovaných xxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxx xx xxxxxx s xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxx.
§8
Xxxxxx aktiv
(1) Orgán x osoba xxxxxxx x §3 xxxx. x) až e) xxxxxx x rámci xxxxxx xxxxx
x) xxxxxxxxxxxx x eviduje primární xxxxxx,
x) xxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx za xxxxxxxx xxxxxx, x
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx a dostupnosti x xxxxxx je xx jednotlivých xxxxxx xxxxxxxxx x xxxxxxx xxxxx přílohy č. 1 x xxxx xxxxxxxx.
(2) Při xxxxxxxxx xxxxxxxxxxx primárních xxxxx xx xxxxx xxxxxxxxx xxxxxxxx
x) xxxxxx x xxxxxxxxxx osobních xxxxx xxxx xxxxxxxxxx xxxxxxxxx,
x) xxxxxx dotčených xxxxxxxx xxxxxxxxxx xxxx xxxxxx závazků,
c) rozsah xxxxxxxx vnitřních řídících x xxxxxxxxxxx činností,
d) xxxxxxxxx xxxxxxxxx, xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxx,
x) xxxxx finanční xxxxxx,
x) xxxxxx narušení xxxxxxx xxxxxxxx xxxxxx a xxxxx uvedené x §3 xxxx. c) xx x) xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx a
h) xxxxxx xx xxxxxxxxx xxxxxxx jména xxxx xxxxxxx xxxxx pověsti.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) zákona xxxx
x) xxxxxxxxxxxx x eviduje xxxxxxxx xxxxxx,
x) xxxx xxxxxxx aktiv, xxxxx xxxx xxxxxxxxx za xxxxxxxx xxxxxx, x
x) xxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxx a podpůrnými xxxxxx.
(4) Orgán x xxxxx xxxxxxx v §3 xxxx. c) xx x) xxxxxx xxxx
x) xxxxxxx pravidla xxxxxxx, xxxxx xxx xxxxxxxxxxx jednotlivých xxxxxx xxxxx tím, xx
1. xxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxx xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx x aktivy podle xxxxxx xxxxx, včetně xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx sdílení a xxxxxxx přenášení xxxxx x
3. xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx,
x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx úrovni aktiv x
x) xxxx způsoby xxx xxxxxxxxxx smazání xxxx xxxxxx technických xxxxxx dat x xxxxxxx xx xxxxxx xxxxx.
§9
Bezpečnost lidských zdrojů
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona v xxxxx xxxxxx bezpečnosti xxxxxxxx zdrojů
a) xxxxxxx xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxx, obsah x xxxxxx xxxxxxxxxx xxxxxxx x xxxx xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx x xxxxx xxxxxxx,
x) x xxxxxxx s xxxxxx xxxxxxx bezpečnostního xxxxxxxx zajistí xxxxxxx xxxxxxxxx, administrátorů x xxxx zastávajících xxxxxxxxxxxx xxxx o xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx a pravidelných xxxxxxx,
x) zajistí xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx role x
x) xxxxxxx xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxx x uživateli, xxxxxxxxxxxxxx nebo osobami xxxxxxxxxxxxx xxxxxxxxxxxx role.
(2) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) až x) xxxxxx xxxx x xxxxxxx podle xxxxxxxx 1 xxxxxxxx, xxxxx obsahují xxxxxxx xxxxxxx x seznam xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx xxxx
x) xxxxxxx xxxxxxxx xxx určení xxxx, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx role, xxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx plánu xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx spojených x xxxxxxxxxxxxx bezpečnostního xxxxxxxx,
x) xxxx xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxx porušení xxxxxxxxxxx bezpečnostních pravidel xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx bezpečnostní xxxx x
x) xxxxxxx změnu xxxxxxxxxxxx oprávnění xxx xxxxx postavení uživatelů, xxxxxxxxxxxxxx xxxx osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
§10
Xxxxxx xxxxxxx a xxxxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx v §3 xxxx. c) xx e) zákona x rámci řízení xxxxxxx a komunikací xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx v §21 xx 23 xxxxxxxx xxxxxxxxxxxx bezpečnostní události, xxxxxxxxxx vyhodnocuje xxxxxxx xxxxxxxxx x xx xxxxxxxx nedostatky xxxxxxx x xxxxxxx x §13.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx x xxxxx řízení xxxxxxx x komunikací xxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx informačního xxxxxxx. Xx xxxxx xxxxxx xxxxxxx xxxxxxxx pravidla x xxxxxxx.
(3) Xxxxxxxx xxxxxxxx x xxxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) zákona xxxxxxxx
x) xxxxx x xxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx x xxxxxxxxx,
x) postupy pro xxxxxxxx a ukončení xxxxx xxxxxxx, xxx xxxxxxx xxxx xxxxxxxx xxxxx xxxxxxx xx xxxxxxx x xxx xxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxxxxx jevů,
c) xxxxxxx xxx sledování xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxx ochranu xxxxxxxx x záznamům x xxxxxx xxxxxxxxxx,
x) xxxxxxx xx xxxxxxxxx xxxxx, xxxxx jsou xxxxxx jako xxxxxxx xxx řešení xxxxxxxxxxxxx xxxxxxxxxxx nebo xxxxxxxxxxx xxxxxx,
x) postupy xxxxxx x xxxxxxxxxxx provozních xxxx a
f) postupy xxx xxxxxxxxx, xxxxxxxxx x xxxxxx xxxxxxxx xxxxxxxx a technických xxxxxx.
(4) Xxxxxx xxxxxxx xxxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx spočívá x provádění xxxxxxxxxxxx xxxxxxxxxx x prověřování xxxxxxxxxxxxx xxxxxxxxxxx xxxxx.
(5) Xxxxxx xxxxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxxxxx x
x) xxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx x produkčního xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxx vydaných Úřadem xxx, xx xxxxx x xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx
1. xxxxxxx xxxxxxxxx xxxxxx reaktivního xxxxxxxx xx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, vyhodnotí xxxxx xxxxxxxxx xxxxxx x bez zbytečného xxxxxxx xx oznámí Xxxxx a
2. stanoví xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, který xxxxxxxxxxxx xxxxx negativní xxxxxx, a určí xxxxxx xxxx xxxx xxxxxxxxx.
(6) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx x xxxxx řízení xxxxxxxxxx
x) xxxxxxxxx xxxxxxxxxx x integritu komunikačních xxxx x xxxxxxxxxx xxxxxxxxxxxxx služeb xxxxx §17,
x) určí xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxx, které xxxx xxxxxxxxx komunikačními xxxxxx,
x) provádí xxxxxx x xxxxxxxxx informací xx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx předpisy xx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx informací x xxxx xxxxxxxx xxxxxxxxxxx x
x) x xxxxxxx xx klasifikaci xxxxx xxxxxxx výměnu a xxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxx smluv, xxxxxxx xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx.
§11
Xxxxxx xxxxxxxx x xxxxxxxx chování xxxxxxxxx
(1) Xxxxx x osoba xxxxxxx v §3 xxxx. c) xx x) zákona xx xxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxx řídí xxxxxxx k xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačnímu xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxx uživateli xxxxxxxxxxx xxxxxxxxxxxxx.
(2) Orgán a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxx opatření, xxxxx xxxxxx x xxxxxxxxx xxxxxxx xxxxx, xxxxx xxxx používány xxx xxxxxxxxxx uživatelů x xxxxxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačního xxxxxxx xxxxx §18 x 19, a xxxxx xxxxx ve zneužití xxxxxx xxxxx neoprávněnou xxxxxx.
(3) Xxxxx x xxxxx uvedená x §3 xxxx. x) x d) zákona xxxx v xxxxx xxxxxx xxxxxxxx
x) xxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxxxx oprávnění,
c) xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx v xxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx v xxxxxxxxxxxx skupinách nebo xxxxxx,
x) využívá xxxxxxx xxx xxxxxxxxx identity xxxxxxxxx podle §18 x nástroj xxx xxxxxx přístupových xxxxxxxxx xxxxx §19 a
f) xxxxxx bezpečnostní xxxxxxxx xxxxxxxx pro bezpečné xxxxxxxxx xxxxxxxxx zařízení, xxxxxxxx i bezpečnostní xxxxxxxx xxxxxxx s xxxxxxxx technických xxxxxxxx, xxxxxxx xxxxx a xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx xxxxxxxxxxx.
§12
Akvizice, vývoj x xxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 písm. x) xx x) zákona xxxxxxx xxxxxxxxxxxx požadavky xx xxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační infrastruktury xxxx xxxxxxxxxx informačního xxxxxxx xxxxxxx x xxxxxx akvizicí, vývojem x xxxxxxx x xxxxxx xx do xxxxxxxx akvizice, vývoje x údržby xxxxxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x x) zákona xxxx
x) xxxxxxxxxxxx, hodnotí x xxxx xxxxxx xxxxxxxxxxx x xxxxxxxx, xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx komunikačního xxxxxxx kritické informační xxxxxxxxxxxxxx; xxx xxxxxxx xxxxxxxxx a xxxxxx xxxxx se xxxxxxxx xxxxx §4 xxxx. 1 xxxx. x) xxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxxx vývojového xxxxxxxxx x zajistí xxxxxxx xxxxxxxxxxx xxxxxxxxxxx dat x
x) xxxxxxx bezpečnostní xxxxxxxxx xxxx informačního xxxxxxx kritické informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxx xxxxxxxxx xx provozu.
§13
Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
Xxxxx x osoba xxxxxxx x §3 písm. x) xx x) xxxxxx xxx xxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx, xxxxx zajistí xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxx informačního xxxxxxx xx strany xxxxxxxxx, xxxxxxxxxxxxxx x xxxx zastávajících bezpečnostní xxxx a x xxxxxxxxxx xxxx xxxxxxx,
x) xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx bezpečnostních událostí xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx §21 xx 23, xxxxxxx jejich xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxx pro odvrácení x xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu, xxxxxxx hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxx §32 x zajistí xxxx věrohodných xxxxxxxx xxxxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostního incidentu,
d) xxxxxxxx x určí xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx, vyhodnotí xxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx x na xxxxxxx vyhodnocení xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx x zamezení opakování xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a
e) xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
§14
Xxxxxx kontinuity xxxxxxxx
(1) Xxxxx x osoba xxxxxxx v §3 xxxx. x) xx x) xxxxxx x xxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxxx
x) xxxxx x xxxxxxxxxx xxxxxxx xxxxx, xxxxxxxxxxxxxx a xxxx zastávajících xxxxxxxxxxxx xxxx,
x) xxxx xxxxxx xxxxxxxxxx xxxxxxxx formou xxxxxx
1. xxxxxxxxx úrovně xxxxxxxxxxxxx xxxxxx, která xx přijatelná pro xxxxxxx, xxxxxx a xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
2. xxxx obnovení chodu, xxxxx xxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, a
3. xxxx xxxxxxxx xxx xxxx xxxxxxx, xx xxxxxxx xxxxx xxxxxxxx xxxx xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx, a
c) xxxxxxxxx řízení kontinuity xxxxxxxx, xxxxx obsahuje xxxxxxxx xxxx xxxxx xxxxxxx b).
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxxxx x dokumentuje xxxxx xxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx x posoudí xxxxx rizika xxxxxxxxxxx x ohrožením xxxxxxxxxx xxxxxxxx,
x) stanoví, xxxxxxxxxxx x xxxxxxxxxx testuje xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx informačního xxxxxxx xxxxxxxx informační infrastruktury x komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx kybernetickému bezpečnostnímu xxxxxxxxx a xxxxxxx xxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx §26 x
x) xxxxxxx x aktualizuje postupy xxx provedení xxxxxxxx xxxxxxxx Xxxxxx xxxxx §13 x 14 xxxxxx, xx xxxxxxx xxxxxxxx
1. výsledky xxxxxxxxx xxxxx xxxxxxxxx xxxxxxxx,
2. xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
3. vyhodnocení xxxxxxxxxx negativních dopadů xx xxxxxx a xxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§15
Xxxxxxxx x xxxxx xxxxxxxx xxxxxxxxxx infrastruktury x významných xxxxxxxxxxxx xxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx x xxxxx kontroly x auditu xxxxxxxx xxxxxxxxxx infrastruktury a xxxxxxxxxx xxxxxxxxxxxx systémů (xxxx xxx "audit xxxxxxxxxxxx xxxxxxxxxxx")
x) posuzuje xxxxxx xxxxxxxxxxxxxx opatření x xxxxxxxx xxxxxxxx, xxxxxxxxx předpisy, xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxxx xx x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx systému x xxxx xxxxxxxx xxx xxxx xxxxxxxxxxx x
x) xxxxxxx a xxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx xxxxxxx xxxxxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x plánu xxxxxxxx xxxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti xxxxxx x xxxxxxxx xxxxxxxxxxx podle §6 xxxx. 6, xxxxx xxxxxxx správnost x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx xxxx xxx informační xxxxxx kritické informační xxxxxxxxxxxxxx a komunikační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxx technických xxxxxxxxxx xxxxxx automatizovaných xxxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxx x xxxxxxx xx zjištěné xxxxxxxxxxxxx.
XXXXX XX
XXXXXXXXX OPATŘENÍ
§16
Fyzická xxxxxxxxxx
(1) Orgán a xxxxx xxxxxxx x §3 písm. c) xx x) xxxxxx x rámci xxxxxxx xxxxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx k xxxxxxxx xxxxxxxxxxxxx xxxxxx do xxxxxxxxxx prostor, xxx xxxx zpracovávány informace x xxxxxxxx technická xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx nezbytná opatření x xxxxxxxx xxxxxxxxx x zásahům xx xxxxxxxxxx xxxxxxx, kde xxxx uchovány xxxxxxxxx x umístěna technická xxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x
x) předchází xxxxxxxxx, xxxxxxx nebo xxxxxxxx xxxxx nebo xxxxxxxxx xxxxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 písm. c) x d) zákona xxxx uplatňuje xxxxxxxxxx xxxxxxx bezpečnosti
a) xxx xxxxxxxxx xxxxxxx xx xxxxxx xxxxxxx x
x) xxx zajištění xxxxxxx x rámci xxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxx, xx xxxxxxx xxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.
(3) Xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxx prostředky,
b) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx,
x) prostředky omezující xxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxx xxxxxxxx vstupu,
f) xxxxxxxx xxxxxxx,
x) xxxxxxxx xxx zajištění ochrany xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx a
h) xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx provozních xxxxxxxx.
§17
Nástroj xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxx
(1) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) až x) xxxxxx pro xxxxxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxx, xxxxx xxxx xxx xxxxxxx xxxxxx xxxx xxxxx, a vnitřní xxxxxxxxxxx xxxx, xxxxx xx pod xxxxxxx xxxxxx xxxx xxxxx, xxxxxx
x) xxxxxx xxxxxxxxxx xxxxxxxx mezi xxxxxx x xxxxxxx xxxx,
x) xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxxxxxx xxx xxxx xxxxxxxxxxx typu xxxx xxxxxxxxxxx xx xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx x xxxxxx sítě x x zamezení xxxxx xxxxxxxxxx xxxxxxx xxxx s xxxxxx xxxx,
x) xxxxxxxxxxxxxx xxxxxxxxxx (§25) xxx xxxxxxxx xxxxxxx, xxxxxxxxx správu xxxx pro xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxx, které xxxxxxxxxxxx požadavkům na xxxxxxx xxxxxxxxx komunikační xxxx.
(2) Xxxxx x xxxxx uvedená x §3 písm. c) x x) xxxxxx xxxx xxxxxxx xxxxxxxx xxx ochranu xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxx, xxxxx xxxxxxx xxxx xxxxxxxxxx.
§18
Xxxxxxx pro xxxxxxxxx xxxxxxxx xxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxxxx xxxxxxxx xxx ověření xxxxxxxx xxxxxxxxx a administrátorů xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému.
(2) Xxxxxxx xxx ověřování xxxxxxxx xxxxxxxxx x administrátorů xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx x administrátorů xxxx xxxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxx informačním xxxxxxx.
(3) Nástroj xxx xxxxxxxxx xxxxxxxx uživatelů, xxxxx xxxxxxx xxxxxxxxxxx xxxxx xxxxxx, xxxxxxxxx
x) xxxxxxxxx xxxxx xxxxx xxx znaků,
b) minimální xxxxxxxxx xxxxx xxx, xx heslo xxxx xxxxxxxxx alespoň 3 x následujících čtyř xxxxxxxxx
1. xxxxxxx jedno xxxxx xxxxxxx,
2. xxxxxxx xxxxx malé xxxxxxx,
3. xxxxxxx jednu číslici, xxxx
4. xxxxxxx xxxxx xxxxxxxxx znak xxxxxxx xx xxxxxxxxx uvedených x bodech 1 xx 3,
x) xxxxxxxxx xxxx xxx xxxxxxxx xxxxxx xxxxx nepřesahující xxx xxx; tento xxxxxxxxx xxxx vyžadován xxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(4) Orgán x xxxxx uvedená v §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxx nástroj xxx xxxxxxx identity, xxxxx
1. xxxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxx x neumožní xxxx xxxx xxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxx, které xxxx xxx xxxxxxx 24 xxxxx, a
2. xxxxxxx xxxxxxxx xxxxxxx xxxxxxxx xx xxxxxx xxxx xxxxxxxxxx a
b) xxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx. X xxxxxxx, xx xxxxx xxxxxxx využívá xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxx xxxxx xxx dodržení požadavků xxxxx xxxxxxxx 3 xxxx. x) x x).
(5) Nástroj pro xxxxxxxxx identity uživatelů xxxx xxx xxxxxxxx x xxxxxx způsoby, xxx xxxx xxxx xxxxxxxxx x odstavcích 3 xx 5, xxxxx xxxxx x xxxxx uvedená x §3 písm. c) xx e) zákona xxxxxxxxx, xx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxxxx xxxxxx xxxxxxxxx xxxxx.
§19
Xxxxxxx xxx xxxxxx xxxxxxxxxxxx oprávnění
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až e) xxxxxx používá xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, kterým xxxxxxx xxxxxx xxxxxxxxx
x) xxx xxxxxxx x jednotlivým xxxxxxxxx x xxxxx x
x) xxx čtení xxx, pro zápis xxx x xxx xxxxx oprávnění.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx dále xxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxx oprávnění, xxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x výsledky xxxxxxxxx xxxxx.
§20
Nástroj xxx xxxxxxx xxxx škodlivým kódem
Orgán x osoba xxxxxxx x §3 písm. x) xx e) xxxxxx xxx xxxxxx xxxxx xxxxxxxxx x xxxxxxxxx škodlivého xxxx xxxxxxx xxxxxxx pro xxxxxxx informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx systému xxxx škodlivým xxxxx, xxxxx xxxxxxx xxxxxxx x xxxxxx kontrolu
a) xxxxxxxxxx mezi vnitřní xxxx a vnější xxxx,
x) serverů x xxxxxxxxx datových xxxxxxx x
x) xxxxxxxxxx stanic,
přičemž xxxxxxx pravidelnou x xxxxxxx xxxxxxxxxxx nástroje xxx ochranu před xxxxxxxxx xxxxx, xxxx xxxxxxx x xxxxxxxx.
§21
Xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významných xxxxxxxxxxxx xxxxxxx, jejich xxxxxxxxx a xxxxxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona xxxxxxx xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx zajistí
a) xxxx xxxxxxxxx o xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxx činnosti, xxxxx a xxx, xxxxxxxxxxxx technického aktiva, xxxxx xxxxxxx xxxxxxxxxxx, xxxxxxxxxxxx xxxxxxx a xxxxx činnosti x xxxxxxxxx xxxx neúspěšnost xxxxxxxx x
x) ochranu xxxxxxxxx informací xxxx xxxxxxxxxxxx čtením nebo xxxxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx xxxx xxxxxx nástroje xxx zaznamenávání činnosti xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxxxxx
x) xxxxxxxxxx a xxxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
x) xxxxxxxx provedené xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxx xx xxxxx přístupových xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x xxxxxxxx nedostatku xxxxxxxxxxxx xxxxxxxxx x xxxxx xxxxxxxxx činnosti xxxxxxxxx,
x) xxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) automatická xxxxxxx nebo chybová xxxxxxx technických xxxxx,
x) xxxxxxxx k záznamům x činnostech, xxxxxx x manipulaci xx xxxxxxx x xxxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx x
x) použití xxxxxxxxxx identifikace x xxxxxxxxxxx xxxxxx xxxxx xxxxx, xxxxx slouží x xxxxxxxxxx.
(3) Orgán x xxxxx xxxxxxx x §3 xxxx. x) a d) xxxxxx záznamy xxxxxxxx xxxxxxxxxxx podle xxxxxxxx 2 uchovává nejméně xx xxxx 3 xxxxxx.
(4) Orgán x xxxxx uvedená v §3 xxxx. c) xx e) xxxxxx xxxxxxxxx xxxxxxx jednou xx 24 hodin xxxxxxxxxxxxx jednotného xxxxxxxxxxx xxxx technických xxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx.
§22
Nástroj xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona xxxxxxx xxxxxxx pro detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxxxx xxxxxxx xx xxxxxxxxxxx xxxxxxxxxxxxxx potřeb x xxxxxxxx xxxxxxxxx xxxxx x který xxxxxxx ověření, kontrolu x xxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxx a xxxxxx xxxx.
(2) Orgán x xxxxx xxxxxxx x §3 písm. x) a x) xxxxxx xxxx xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx zajistí ověření, xxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxx
x) x xxxxx xxxxxxx xxxxxxxxxxx xxxx a
b) xxxxxxx xxxxxxxxx xx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx.
§23
Nástroj pro sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Orgán x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxxxxx nástroj xxx sběr x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx x xxxxxxx s xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxxxx
x) xxxxxxxxxxx xxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí x xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) poskytování xxxxxxxxx xxx určené xxxxxxxxxxxx xxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x informačním xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx xxxx x xxxxxxxxxx xxxxxxxxxxxxxx a
c) xxxxxxxxxxx xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxx identifikace xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, včetně xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx rolí.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) a x) xxxxxx xxxx zajistí
a) xxxxxxxxxxx aktualizaci xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxx xxxxxxxx, xxx byly omezovány xxxxxxx nesprávného vyhodnocení xxxxxxxx nebo xxxxxxx xxxxxxxxx xxxxxxxx, x
x) xxxxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxxxx xxxxxxxxx xxx sběr a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxxxxx xxxxxxxxx bezpečnostních opatření xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§24
Aplikační xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx xxxxxxx bezpečnostní xxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxxxx x xxxxxx xxxx, x to před xxxxxx xxxxxxxx xx xxxxxxx x po xxxxx xxxxxxx změně xxxxxxxxxxxxxx xxxxxxxxxx.
(2) Orgán x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx xxxx v xxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx
x) xxxxxxxx x xxxxxxxxx xxxxxxxxxx x xxxxxx xxxx xxxx neoprávněnou xxxxxxxx, popřením xxxxxxxxxxx xxxxxxxx, xxxxxxxxxxxx nebo xxxxxxxxxxxxxxx xxxxxx x
x) xxxxxxxxx xxxx jejich xxxxxxxxxxxx, nesprávným xxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxxxxxx duplikováním nebo xxxxxxxxxx.
§25
Kryptografické xxxxxxxxxx
(1) Xxxxx x osoba uvedená x §3 xxxx. x) xx e) xxxxxx
x) xxx xxxxxxxxx xxxxxxxxxxxxxx ochrany stanoví
1. xxxxxx xxxxxxx x xxxxxxx na xxx x xxxx kryptografického xxxxxxxxx x
2. xxxxxxxx xxxxxxxxxxxxxx ochrany informací xxx xxxxxxx po xxxxxxxxxxxxx xxxxxx nebo xxx xxxxxxx na xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx technické nosiče xxx x
x) x xxxxxxx s xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx ochranu xxxxxxxxxx x xxxxxxxxx předávaných xxxx xxxxxxxxxx xxx x průkaznou xxxxxxxxxxxx xxxxx xx xxxxxxxxx xxxxxxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) x d) zákona xxxx
x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxxxx prostředků xxxxxx správy xxxxx, xxxxx zajistí xxxxxxxxxx, xxxxxxxxxx, xxxxxxxx, xxxxxxxxx, xxxxx, ničení, xxxxxxxx x xxxxx xxxxx, x
x) xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxx; x xxxxxxx xxxxxxxxx s xxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxx x příloze č. 3 x xxxx xxxxxxxx xxxx xxxxxx xxxxxxx x xxxxx nesouladem.
§26
Xxxxxxx pro xxxxxxxxxxx xxxxxx xxxxxxxxxxx
(1) Xxxxx x osoba uvedená x §3 písm. x) xx e) xxxxxx x xxxxxxx x bezpečnostními xxxxxxxxx x xxxxxxxx hodnocení xxxxx xxxxxxx xxxxxxx xxx xxxxxxxxxxx úrovně xxxxxxxxxxx informací.
(2) Orgán x xxxxx xxxxxxx x §3 písm. x) a d) xxxxxx používá xxxxxxx xxx xxxxxxxxxxx úrovně xxxxxxxxxxx informací, který xxxxxxx
x) xxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxx splnění xxxx xxxxxx kontinuity xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x komunikačního xxxxxxx kritické informační xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentům, xxxxx xx mohly snížit xxxxxxxxxx, a
c) zálohování xxxxxxxxxx technických aktiv xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx
1. xxxxxxxx xxxxxxxxxx x xxxxxx xxxxxx x
2. zajištěním xxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxx xxxx.
§27
Xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx
Xxxxx x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx systémů, xxxxx xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx komunikačním xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxxx jsou xxxxxx xxxxxxxx, xxxxxxx xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx fyzického xxxxxxxx x xxxx x xxxxxxxxx průmyslových x xxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxx a xxxxxxxxxx xxxxxxxx k xxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx xxxx využitím xxxxxxx xxxxxxxxxxxxx x
x) obnovení xxxxx xxxxxxxxxxxx a xxxxxxxx systémů xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
XXXXX XXX
XXXXXXXXXXXX DOKUMENTACE
§28
Bezpečnostní xxxxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) x d) zákona xxxx a xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, která xxxxxxxx
x) bezpečnostní politiku xxxxx §5 xxxx. 1,
x) zprávy z xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §3 xxxx. 1 xxxx. x),
x) xxxxxx z xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx podle §3 xxxx. 1 xxxx. x),
x) xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx a xxx xxxxxxxxxxxx x hodnocení xxxxx,
x) xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) prohlášení x xxxxxxxxxxxxxxxx,
x) xxxx zvládání xxxxx,
x) xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx podle §9 xxxx. 1 xxxx. a),
i) zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 písm. x),
x) xxxxxxxxx řízení xxxxxxxxxx činností xxxxx §14 odst. 1 xxxx. x) a
k) xxxxxxx xxxxxxxx předpisů, xxxxxxxxx předpisů a xxxxxx předpisů a xxxxxxxxx xxxxxxx podle §15 odst. 1 xxxx. x).
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxx x xxxxxxxxxxx bezpečnostní xxxxxxxxxxx, xxxxx xxxxxxxx
x) xxxxxxxxxxxx politiku podle §5 xxxx. 2,
b) xxxxxxxx xxx identifikaci x hodnocení aktiv x pro xxxxxxxxxxxx x xxxxxxxxx rizik xxxxx §4 xxxx. 2 písm. x),
x) xxxxxx o hodnocení xxxxx a xxxxx xxxxx §4 xxxx. 2 xxxx. x) x c),
d) prohlášení x xxxxxxxxxxxxxxxx podle §4 xxxx. 2 xxxx. x),
x) xxxx xxxxxxxx rizik xxxxx §4 xxxx. 2 xxxx. e),
f) plán xxxxxxx xxxxxxxxxxxxxx povědomí xxxxx §9 xxxx. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. x),
x) xxxxxxxxx xxxxxx kontinuity činností xxxxx §14 odst. 1 písm. x) x
x) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x jiných xxxxxxxx x xxxxxxxxx xxxxxxx xxxxx §15 odst. 1 písm. x).
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) zákona xxxx xxxxxxxxxxxx xxxxxxxxxxx tak, xxx xxxxxxx x xxxxxxxxxxx činnostech xxxx xxxxx, čitelné, xxxxxx xxxxxxxxxxxxxxxxx x xxx xx xxxx xxxxxx xxxxxxxx. Xxxxxxxx xxxxxxxx x xxxxxxxxxxxx, uložení, xxxxxxx, xxxxxxxxx, xxxx xxxxxxxxx x xxxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxx v příloze č. 4 x této xxxxxxxx.
§29
Prokázání xxxxxxxxxxx
Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx, xxxxx xxxxxxxxxx systém xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury nebo xxxxxxxx xxxxxxxxxx xxxxxx xx xxxxx xxxxxxx xx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx xxxxx1) akreditovaným xxxxxxxxxxxxx xxxxxxx, a která xxxx xxxxxxxxx xxxxxxxxxx
x) xxxxx rozsahu systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx politiky a xxxx xxxxxxx xxxxxx xxxxxxxxxxx informací,
c) xxxxx xxxxxxx xxxxxx hodnocení xxxxx x xxxxxx x xxxxxxxxx xxxxx,
x) xxxxxxxxxx o aplikovatelnosti,
e) xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxx1),
x) xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx x xxxxxxx přezkoumání x
x) zprávu z xxxxxx provedených certifikačním xxxxxxx včetně xxxxxxxxxxx xxxxxxx o nápravě xxxxxxxxxx xxxxxx s xxxxxxxxxx normou,
splňuje xxxxxxxxx xx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx x xxxx vyhlášky.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX
§30
Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx příčiny xxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx xxxxxxxxx do xxxxxxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobený xxxxxxxxxxxxx útokem xxxx xxxxx xxxxxxxx vedoucí x xxxxxxx do xxxxxxx nebo x xxxxxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx kódem,
c) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxx technických xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobený xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx spojený x xxxxxxxx xxxxxx xxxxxxxxxx hrozeb x
x) xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx xxxxxxxxx kybernetickým xxxxxx.
(2) Xxxxx xxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx do xxxxxxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx důvěrnosti xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx integrity xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx narušení xxxxxxxxxxx aktiv, xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx dopadů xxxxxxxxx x písmenech x) xx c).
§31
Xxxxxxxxx kybernetických bezpečnostních xxxxxxxxx
(1) Pro xxxxxxx xxxxxxxx kybernetických bezpečnostních xxxxxxxxx xx xxxxx xxxxxxxx x negativních xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxx do xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - xxxxx xxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, xxx kterém xx přímo a xxxxxxxx narušena xxxxxxxxxx xxxxxxxxxxxxx služeb xxxx xxxxx. Jeho řešení xxxxxxxx xxxxxxxxxx zásahy xxxxxxx x xxx, xx xxxx xxx xxxxx xxxxxxxxxx prostředky xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxx.
x) Xxxxxxxxx XX - xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx xxxxxx xx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx řešení xxxxxxxx neprodlené xxxxxx xxxxxxx x tím, xx xxxx být xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace xxxxxxxxx xxxx.
x) Xxxxxxxxx X - xxxx xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, při xxxxxx xxxxxxx x méně xxxxxxxxxx narušení xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx. Jeho řešení xxxxxxxx xxxxxx xxxxxxx x tím, xx xxxx xxx vhodnými xxxxxxxxxx xxxxxxx xxxxx xxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxxxxx xxxxxxxxx xxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx xxx kategorizaci xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx
x) xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) dopady xx xxxxxxxxxxx služby xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxx významného xxxxxxxxxxxx xxxxxxx,
x) dopady xx xxxxxx poskytované xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxx významnými xxxxxxxxxxxx xxxxxxx x
x) xxxxxxxxxxxxx xxxxx x xxxxx dopady.
§32
Xxxxx a xxxxxxxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx
x) v xxxxxxxxxxxx xxxxxx prostřednictvím
1. elektronického xxxxxxxxx xxxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Úřadu,
2. xxxxxx xx xxxxxx xxxxxxxxxxxx pošty Xxxxx xxxxxx xxx xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Úřadu,
3. xxxxxx zprávy do xxxxxx xxxxxxxx Úřadu, xxxx
4. prostřednictvím určeného xxxxxxxx xxxxxxxx, jehož xxxxx je xxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx, xxxxx
x) v xxxxxxxx podobě xx xxxxxx Xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, zveřejněné xx internetových xxxxxxxxx Xxxxx.
(2) Xxxxxxx v xxxxxxxx xxxxxx se xxxxxx xxxxx x xxxxxxxxx, xxx nelze xxxxxx xxxxx xx xxxxxxx uvedených x xxxxxxxx 1 xxxx. x).
(3) Xxxxxxxxxxx hlášení xxxxxxxxxxxxxx bezpečnostního incidentu xxxx uvedeny v příloze č. 5 k této xxxxxxxx.
XXXX XXXXXX
XXXXXXXXX XXXXXXXX X XXXXXXXXX XXXXX
§33
Xxxxxxxxx xxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx oznámí xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx xx formuláři, jehož xxxx je xxxxxx x příloze č. 6 k xxxx vyhlášce.
§34
Xxxxxxxxx údaje
Orgán a xxxxx xxxxxxx x §3 xxxxxx xxxxxxxx xxxxxxxxx údaje xx xxxxxxxxx, xxxxx xxxx xx xxxxxx x příloze č. 7 x xxxx xxxxxxxx. Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxxxxxxx kontaktní údaje xxxxxx xxxxxxxx x §32 xxxx. 1 xxxx. x).
XXXX XXXX
XXXXXXXX
§35
Xxxx xxxxxxxx xxxxxx xxxxxxxxx dnem 1. ledna 2015.
Xxxxxxx:
Xxx. Xxxxxxxx x. x.
Xxxxxxx x. 1 x vyhlášce x. 316/2014 Xx.
Xxxxxxxxx a xxxxxx důležitosti xxxxx
Xxx xxxxxxxxx důležitosti aktiv xxxx xxxxxxx xxxxxxxx x čtyřech xxxxxxxx. Xxxxx xxxx osoba xxxxxxx v §3 xxxx. x) až x) xxxxxx xxxx xxxxxxxx odlišný xxxxx xxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxx xxxx xx uveden x xxxx xxxxxxx, xxxxxx-xx jednoznačné xxxxx xxxx jí používaným xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx x úrovněmi xxx xxxxxxxxx důležitosti xxxxx, xxxxx jsou uvedeny x xxxx příloze.
V xxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xx xxxxxxxxx xxxxxxx xxx xxxxxx xxxxx x střední, xxxx xxxxxx xxxxxx x xxxxxxxx.
Xxxxxxxx xxx xxxxxxxxx důvěrnosti
|
Úroveň |
Popis |
Ochrana |
|
Nízká |
Aktiva jsou xxxxxxx xxxxxxxxx nebo xxxx xxxxxx xx xxxxxxxxxx (xxxx. xx xxxxxxx zákona č. 106/1999 Sb., x xxxxxxxxx xxxxxxxx x informacím, xx xxxxx xxxxxxxxxx xxxxxxxx). Xxxxxxxx xxxxxxxxxx aktiv xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx a osoby xxxxxxx x §3 xxxx. x) až x) xxxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx a xxxxx xxxx-xxx xxxxxx x xxxxx uvedené x §3 xxxx. x) xx x) xxxxxx, xxxxxxx xxxxx xxxx vyžadována xxxxxx xxxxxxx xxxxxxxxx nebo xxxxxxxx xxxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxx jsou xxxxxxxxx xxxxxxxxxx xxx řízení xxxxxxxx. |
|
Xxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxxx xxxxxxx xx vyžadována xxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx nebo xxxxxxxxx xxxxxxxxxx (xxxx. xxxxxxxx xxxxxxxxx xxxxx zákona č. 89/2012 Sb., xxxxxxxx xxxxxxx, xxxxxx xxxxx xxxxx xxxxxx č. 101/2000 Sb., x xxxxxxx xxxxxxxx údajů, xx xxxxx xxxxxxxxxx xxxxxxxx). |
Xxx ochranu důvěrnosti xxxx xxxxxxxxx xxxxxxxxxx, xxxxx zajistí řízení x xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx informací vnější xxxxxxxxxxx xxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xxxxxx veřejně xxxxxxxxx x vyžadují xxxxxxxxxxxxx xxxx xxxxxxx xxx xxxxx xxxxxxxxx xxxxxxxxx (xxxx. xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxx xxxxx). |
Xxx ochranu xxxxxxxxxx je xxxxxxxxxx xxxxxxxx osob, xxxxx x aktivům xxxxxxxxxxx, x xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxx aktiv xx strany xxxxxxxxxxxxxx. Xxxxxxx informací xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx aktiva xxxxxxxxxx oprávněné zájmy xxxxxx x osoby xxxxxxx v §3 xxxx. x) až x) xxxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx xxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx xxxxxx xxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx v §3 xxxx. c) xx e) xxxxxx x xxxx xx xxxxxxxx méně xxxxxxxxx xxxxxx xx primární xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx standardní xxxxxxxx (např. xxxxxxx xxxxxxxxxxxx xxxx xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx x xxxxx uvedené x §3 xxxx. x) xx e) xxxxxx x podstatnými xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány xxxxxxxxx xxxxxxxxxx, xxxxx dovolují xxxxxxxx historii provedených xxxx a xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx informací xxxxxxxxxxx vnějšími komunikačními xxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx x xxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx x xxxxx uvedené v §3 xxxx. c) xx x) xxxxxx x přímými x xxxxx xxxxxxx xxxxxx xx xxxxxxxx aktiva. |
Pro xxxxxxx xxxxxxxxx jsou xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (xxxx. pomocí xxxxxxxxxxx xxxxxxxxxxx podpisu). |
Stupnice xxx xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxx a v xxxxxxx výpadku xx xxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx pro xxxxxxx (cca xx 1 týdne). |
Pro xxxxxxx xxxxxxxxxxx je xxxxxxxxxxx xxxxxxxxxx zálohování. |
|
Střední |
Narušení xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx xxxx pracovního xxx, xxxxxxxxxxxxx výpadek xxxx x xxxxxxx xxxxxxxx zájmů orgánu x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx. |
Xxx xxxxxxx dostupnosti xxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx a xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xx xxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxx. Xxxxxxxx xxxxxxx je xxxxx xxxxx xxxxxxxxxx, protože xxxx k přímému xxxxxxxx xxxxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) až x) xxxxxx. Xxxxxx xxxx xxxxxxxxxx xxxx velmi xxxxxxxx. |
Xxx xxxxxxx dostupnosti jsou xxxxxxxxx xxxxxxx systémy x obnova xxxxxxxxxxx xxxxxx může xxx xxxxxxxxx xxxxxx xxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxxx a x krátkodobá xxxxxxxxxxxx (x řádu xxxxxxxx xxxxx) xxxx x xxxxxxx xxxxxxxx xxxxx xxxxxx x osoby xxxxxxx x §3 písm. x) xx x) xxxxxx. Aktiva xxxx xxxxxxxxxx xxxx xxxxxxxx. |
Xxx xxxxxxx dostupnosti xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx je krátkodobá x xxxxxxxxxxxxxx. |
Xxxxxxx č. 2 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxxx rizik
Hodnocení xxxxx xx xxxxxxxxx xxxx funkce, kterou xxxxxxxxx xxxxx, hrozba x zranitelnost.
Pro hodnocení xxxxx xxx xxxxxx xxxxxxx xxxx funkci
riziko = xxxxx x xxxxxx x xxxxxxxxxxxx.
Xxxxxxxxxxx xxxxxx xxxxxx xxx xxxxxx xxxxxx je xxxxxxxxx součástí xxxxxxxx xxx identifikaci a xxxxxxxxx xxxxxx
|
Xxxxxxxx xxx xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxx je x xxxxxxxx xxxxxxx xxxxxx x malého xxxxxxx x xxxxx xxx katastrofický. Rozsah xxxxxxxxxx xxxx xxxxxxxxxxx x) 10 xxxxxxxxx osob x xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx než 24 hodin nebo b) xxxxxxxx xxxx materiální xxxxxx do 5&xxxx;000&xxxx;000 Xx anebo c) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx nejvýše 250 xxxx. |
|
Xxxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx a x xxxxxxxx xxxxxxx xxxxxx. Xxxxxx xxxxxxxxxx xxxx se xxxxxxxx x xxxxxxx x) xx 10 xxxxxxx xxxx xx 11 xx 100 osob x xxxxxxxxx xxxxxxxxxxxxx xx dobu xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx od 5&xxxx;000&xxxx;000 Xx xx 50&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx s xxxxxxxxx xxxxxxxx nezbytných služeb xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx postihujícího xx 251 xx 2&xxxx;500 xxxx. |
|
Xxxxxx |
Xxxxx xx omezeného xxxxxxx, ale trvalý xxxx katastrofický. Rozsah xxxxxxxxxx xxxx se pohybuje x xxxxxxx x) od 11 xx 100 xxxxxxx xxxx xx 101 xx 1 000 xxxx x xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 hodin xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xx 50 000 000 Xx xx 500&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx na xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx každodenního xxxxxx xxxxxxxxxxxxx od 2 501 xx 25 000 xxxx. |
|
Xxxxxxxx |
Xxxxx xx plošný rozsahem, xxxxxx a xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx škod xx xxxxxxxx x xxxxxxx x) 10 a xxxx xxxxxxx x 1 001 x xxxx xxxx s následnou xxxxxxxxxxxxx xx dobu xxxxx xxx 24 xxxxx nebo b) xxxxxxxx xxxx materiální xxxxxx xxxxxxxxxxx 500&xxxx;000&xxxx;000 Xx xxxxx x) představuje xxxxx xx xxxxxxxxx s xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx do xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxx xxx 25 000 xxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx xxxx xx xxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxx xxxxxxxx než xxxxxx xx 5 xxx. |
|
Xxxxxxx |
Xxxxxx xx xxxx xxxxxxxxxxxxx xx pravděpodobná. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx x xxxxxxx xx 1 xxxx xx 5 let. |
|
Vysoká |
Hrozba xx pravděpodobná až xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx je x rozpětí od 1 měsíce xx 1 xxxx. |
|
Xxxxxxxx |
Xxxxxx je xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. Xxxxxxxxxxxxx xxxxxxxxx hrozby je xxxxxxxx xxx xxxxxx xx xxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx xxxx xx xxxxxxxx xxxxxxxxxxxxx málo xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, které xxxx xxxxxxx včas xxxxxxxxx xxxxx xxxxxxx xxxx xxxxxxxx xxxxxx o xxxxxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxxxxxx xx xxxx pravděpodobná xx xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx opatření, xxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx. Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxx slabiny nebo xxxxxxxx xxxxxx o xxxxxxxxx xxxxxxxx xx xxxxxxx. Xxxxxx xxxxx xxxxx xxxxxxx pokusy x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx je xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx existují, xxx xxxxxx xxxxxxxx xxxxxxxxx všechny xxxxxxxx xxxxxxx a není xxxxxxxxxx kontrolována. Jsou xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx opatření. |
|
Kritická |
Zranitelnost je xxxxx pravděpodobná xx xx xxxxxxxx xxxxx xxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxx xx jejich xxxxxxxx xxxxxx xxxxxxx. Neprobíhá xxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx. Xxxx známé xxxxxxx pokusy xxxxxxxxx xxxxxxxxxxxxxx opatření. |
|
Stupnice xxx xxxxxxxxx xxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx xx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx sníženo xxxx xxxxxxxxx opatřeními xxxx v případě xxxxx xxxxxxxxxx xxxxxxxx xx xxxxxx přijatelné. |
|
Vysoké |
Riziko xx xxxxxxxxxx xxxxxxxxxxx x xxxx xxx xxxxxxxx xxxxxxxxxxxx kroky x xxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxxxxxxxx x xxxx být neprodleně xxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
X xxxxxxx, xx xxxxx xxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxx metodu pro xxxxxxxxxxxx x hodnocení xxxxx, která xxxxxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx, je možné xxxxxxxx xxx xxxxxxxxx xxxxxx a xxxxxxxxxxxxx xxxxxxx. Sloučení xxxxxxx xx xxxxxx vést xx ztrátě xxxxxxxxxx xxxxxxxxx xxxx hrozby x xxxxxxxxxxxxx. Xx xxxxx účelem xxx xxxxxx xxxxxxxxx komentář, xxxxx xxxxxxxx xxxxxxx xxx úroveň hrozby, xxx i úroveň xxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx x orgán xxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx, xxxxx používá xxxx xxxxx xxxxxx xxx xxxxxxxxx dopadů, xxxxxx, xxxxxxxxxxxxx x xxxxx.
Xxxxxxx č. 3 x xxxxxxxx x. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx algoritmy
(1) Xxxxxxxxxx xxxxxxxxx
x) Xxxxxxx x xxxxxxxx xxxxx xxx xxxxxxx xxxxxxxxxx x xxxxxxxxx
1. Advanced Xxxxxxxxxx Xxxxxxxx (AES) x xxxxxxxx xxxxx xxxxx 128, 192 x 256 xxxx Xxxxxx Data Encryption Xxxxxxxx (3DES) x xxxxxxxx délky xxxxx 168 bitů, omezené xxxxxxx jen xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX, xxxxxxxx přecházet xx XXX.
2. Triple Xxxx Xxxxxxxxxx Standard (3XXX) x využitím xxxxx xxxxx 112 xxxx, xxxxxxx xxxxxxx jen xx zatížením xxxxx xxxxxx xxx 10 XX, xxxxxxxx xxxxxxxxx xx XXX. Xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx xxx xxxxxx zprávu.
3. Xxxxxxxx s využitím xxxxxxxxx xxxxx xxxxx 128 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx klíče menším xxx 10 XX.
4. Xxxxxx s využitím xxxxx xxxxx 128 xxxx, omezené xxxxxxx xxx xx xxxxxxxxx xxxxx menším xxx 10 GB.
5. Xxxxxxx x využitím délky xxxxx 128 až 256 xxxx.
6. Xxxxxxx x xxxxxxxx délky xxxxx 128, 192, 256 bitů.
7. Camellia x xxxxxxxx délky xxxxx 128, 192 x 256 bitů.
8. XXXX 2.0, XXXX 3X s xxxxxxxx xxxxx klíčů 128, 256 xxxx.
x) Módy xxxxxxxxx x ochranou xxxxxxxxx
1. XXX,
2. XXX,
3. XXX,
4. Složená xxxxxxxx xxxx "Encrypt-then-MAC".
Poznámka:
Schémata xxxx "Xxxxxxx-xxxx-XXX",xxxx xxxxxxxx k xxxxxxxxx xxxxx uvedené xxxxxxxxx xxxx x x xxxxxxx XXX xxxxx uvedené módy xxx xxxxxxx xxxxxxxxx.
x) Xxxx xxxxxxxxx
1. XXX,
2. XXX,
3. XXX,
4. XXX,
Xxxxxxxx:
Xxxx XXX x XXX xxxx být xxxxxxx x náhodným, xxx xxxxxxxx nepředpověditelným inicializačním xxxxxxxx, xxx xxxxxxx xxxx OFB xx xxx xxxx xxxx xxxxx opakovat xxxxxxx xxxxxxxxxxxxxxx xxxxxxx, xxx xxxxxxx xxxx CTR xx xxx xxxx xxxx nesmí xxxxxxxx xxxxxxx čítače, x xxxxxxx použití XXX xxxx x šifrování xxx xxxxxxx xxxxxxxxx xx xxxxx ověřit xxxxxxxx xxxxx útoku xx xxxxxxx XXX xxxx.
x) Módy xxx xxxxxxx integrity
1. XXXX,
2. XXX-XXX-X9.19, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxxx xxx 109 XXX,
3. XXX-XXX-XXXX,
4. CMAC.
(2) Xxxxxxxxxxx xxxxxxxxx
x) Xxx xxxxxxxxxxx xxxxxxxxxxx podpisu
1. Xxxxxxx Signature Xxxxxxxxx (XXX) x xxxxxxxx xxxxx xxxxx 2048 xxxx a xxxx, xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx 224 xxxx x xxxx.
2. Elliptic Xxxxx Xxxxxxx Xxxxxxxxx Xxxxxxxxx (EC-DSA) x xxxxxxxx xxxxx xxxxx 224 xxxx a xxxx.
3. Xxxxxx-Xxxxxx-Xxxxxxx Xxxxxxxxxxxx Xxxxxxxxx Xxxxxx (RSA-PSS) x xxxxxxxx délky xxxxx 2048 xxxx x xxxx.
x) Pro xxxxxxx xxxxx na xxxxx x xxxxxxxxx xxxxx
1. Xxxxxx-Xxxxxxx (XX) x xxxxxxxx délky xxxxx 2048 xxxx x xxxx, délky xxxxxxxxx xxxxxxx podgrupy 224 xxxx a xxxx.
2. Xxxxxxxx Xxxxx Xxxxxx-Xxxxxxx (ECDH) x xxxxxxxx xxxxx xxxxx 224 xxxx x xxxx.
3. Elliptic Curve Xxxxxxxxxx Xxxxxxxxxx Xxxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXXXX-XXX) s xxxxxxxx xxxxx xxxxx 256 bitů x xxxx.
4. Xxxxxxxx Secure Xxxxxxxx Xxxxx - Xxx Encapculation Xxxxxxxxx (XXXX-XXX) s xxxxxxxx xxxxx xxxxx 256 xxxx xxxx.
5. Xxxxxxxxx Xxxxxxx xxx Key Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) x využitím xxxxx xxxxx 256 xxxx x xxxx.
6. Xxxxxx Xxxxxx Adleman - Xxxxxxx Xxxxxxxxx Encryption Xxxxxxx (RSA-OAEP) s xxxxxxxx délky xxxxx 2048 x xxxx.
7. Xxxxxx Xxxxxx Adleman - Xxx Encapculation Xxxxxxxxx (RSA-KEM) s xxxxxxxx délky xxxxx 2048 a xxxx.
(3) Xxxxxxxxx xxxx xxxxxx
x) XXX-2
1. XXX-224,
2. XXX-256,
3. XXX-384,
4. XXX-512,
5. XXX-512/224,
6. XXX-512/256.
x) SHA-3
1. XXX3-224,
2. XXX3-256,
3. XXX3-384,
4. XXX3-512,
5. XXXXX-128,
6. XXXXX-256.
x) Ostatní xxxxxxxx funkce
1. Xxxxxxxx,
2. XXXXXX-160,
3. XXX 1 x xxxxxxxx použitím.
Poznámka x. 1:
SHA-1 se xxxxx xxxxxxxx xxx xxxxxxxxxx nových xxxxxxxxxxx xxxxxxx, xxxxxxxx xxxxxxx, xxxxxxxxx jiné xxxxxxxx xxxxxxxxxx xxxxxxxxx XXX-1.
Xxxxxxxx x. 2:
XXX-1 xxx xxxxxxxx xxxxx xxx xxxxxxxxx xxx existujících xxxxxxxxxxx xxxxxxx a xxxxxxxx razítek, generování x xxxxxxxxx XXXX-XXX1, xxxxxx pro xxxxxxxxxx xxxxx x xxxxxxxxxxxxx xxxxxxxxxx.
Příloha x. 4 x vyhlášce x. 316/2014 Xx.
Xxxxxxxxx bezpečnostní xxxxxxxxxxx
Xxxx příloha obsahuje xxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx, která xxxxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxx xxxxxxxxx, přičemž xxxxxxx struktury xxxxxxxxx xxxxxx závazné x xx xx xxxxxx xxxx xxxxx xxxxxxx x §3 xxxx. x) až e) xxxxxx, jaký přístup x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx. Přípustná xx x změna xxxxx xxxxxxxxxxxx dokumentů xxxx integrování xxxx xxxxx do xxxxxxx xxxxxxxxx.
X. Xxxxxxxxx xxxxxxxxxxxx xxxxxxxx
(1) Xxxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 odst. 2 písm. x)]
x) Xxxx, xxxxxxxx x xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx x xxxxxxx xxxxxxx řízení xxxxxxxxxxx informací.
c) Xxxxxxxx x xxxxxxx pro xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxx x zlepšování xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Politika organizační xxxxxxxxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Určení xxxxxxxxxxxxxx xxxx a jejich xxxx a xxxxxxxxxx,
1. xxxxx x xxxxxxxxxx xxxxxxxx kybernetické bezpečnosti,
2. xxxxx x xxxxxxxxxx xxxxxxxxxx kybernetické bezpečnosti,
3. xxxxx x xxxxxxxxxx xxxxxxxx kybernetické bezpečnosti,
4. xxxxx x xxxxxxxxxx xxxxxxx xxxxx,
5. xxxxx x povinnosti xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Požadavky xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxx.
(3) Xxxxxxxx řízení xxxxxxxxxx**
[§5 xxxx. 1 písm. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx a xxxxxxxx xxx xxxxx dodavatelů.
b) Xxxxxxxx xxx xxxxxxxxx xxxxx xxxxxxxxxx.
x) Náležitosti xxxxxxx x xxxxxx xxxxxx x xxxxxxx x úrovní xxxxxxxxx xxxxxxxxxxxxxx opatření x x xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx.
x) Pravidla xxx xxxxxxxxx kontroly xxxxxxxx bezpečnostních opatření.
e) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx.
(4) Xxxxxxxx xxxxxxxxxxx xxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx primárních xxxxx
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxxxxx xxxxxxxxxxx primárních xxxxx x hlediska důvěrnosti, xxxxxxxxx a xxxxxxxxxxx.
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x evidence xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. určení xxxxx xxxx xxxxxxxxxx a xxxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx
1. způsoby xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx xxxxx xxxxx úrovní xxxxx,
3. xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxxx xxxxxxx xxxx ničení xxxxxxxxxxx xxxxxx xxx.
(5) Xxxxxxxx bezpečnosti xxxxxxxx xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Pravidla xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxx xxxxxxxxx
1. xxxxxxx x xxxxx xxxxxxx uživatelů,
2. xxxxxxx x formy poučení xxxxxxx xxxxx,
3. způsoby x xxxxx xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx x xxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx bezpečnostní xxxx.
x) Xxxxxxxxxxxx xxxxxxx xxxxxx zaměstnanců.
c) Xxxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxx xxxxxxxx xxxxxx.
1. xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx xxxx xxx xxxxxxxx xxxxxxxxxx vztahu,
2. xxxxx xxxxxxxxxxxx oprávnění xxx xxxxx xxxxxxxx xxxxxx.
(6) Xxxxxxxx řízení provozu x xxxxxxxxxx**
[§5 odst. 1 xxxx. x), §5 odst. 2 xxxx. f)]
a) Xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx a xxxxxxxxx xxxxxxxxxx provozu.
d) Xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx.
x) Xxxxxxxx x omezení xxx xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx x bezpečnostních xxxxx.
(7) Xxxxxxxx řízení xxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxx minimálních xxxxxxxxx/xxxxxxx znát (need xx know).
b) Požadavky xx řízení přístupu.
c) Xxxxxxx xxxxxx řízení xxxxxxxx.
x) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx.
(8) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxx*
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. h)]
a) Xxxxxxxx xxx xxxxxxxx xxxxxxxxx x xxxxxx.
x) Xxxxxxxx použití xxxxxxxxxxxx xxxxx.
x) Bezpečné xxxxxxx xxxxxxxxxxxx pošty x xxxxxxxx na xxxxxxxx.
x) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx xxxxxxx na xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx xx xxxxxx k xxxxxxxx xxxxxxxxx.
(9) Xxxxxxxx xxxxxxxxxx a xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxx xx zálohování x xxxxxx.
x) Xxxxxxxx x postupy zálohování.
c) Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxx.
x) Pravidla x postupy xxxxxxxxx xxxxxxxxxx x obnovy.
(10) Xxxxxxxx xxxxxxxxxx předávání x xxxxxx xxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxxxxxx informací.
b) Způsoby xxxxxxx elektronické xxxxxx xxxxxxxxx.
x) Pravidla xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(11) Xxxxxxxx řízení xxxxxxxxxxx xxxxxxxxxxxxx**
[§5 odst. 1 xxxx. k)]
a) Xxxxxxxx xxx omezení instalace xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx x xxxxxxx vyhledávání xxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) Xxxxxxxx a xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
(12) Politika xxxxxxxxxx používání xxxxxxxxx xxxxxxxx*
[§5 xxxx. 1 xxxx. 1)]
a) Pravidla x xxxxxxx xxx xxxxxxxx xxxxxxxxx mobilních xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx zařízení, kterými xxxxx x osoba xxxxxxx x §3 xxxx. x) a x) zákona nedisponuje.
(13) Xxxxxxxx poskytování x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx a informací*
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. j)]
a) Xxxxxxxx x xxxxxxx xxxxxxxx programového xxxxxxxx x xxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx kontrolu xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
(14) Politika xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx*
[§5 xxxx. x písm. x)]
x) Xxxxxxxx a xxxxxxx xxxxxxxxx dokumentů x xxxxxxx.
x) Xxxxxxx xxxxxxxxxxxxx xxxxxxxxx x xxxxxxx.
x) Xxxxxxxx xxxxxxxx x xxxxxxxxxxxx dokumentům a xxxxxxxx.
(15) Politika xxxxxxx xxxxxxxx xxxxx*
[§5 xxxx. x xxxx. o), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx osobních xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx osobních xxxxx.
x) Popis xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx ochranu xxxxxxxx xxxxx.
(16) Politika xxxxxxx xxxxxxxxxxx**
[§5 xxxx. x xxxx. x)]
x) Xxxxxxxx xxx xxxxxxx xxxxxxx.
x) Xxxxxxxx pro xxxxxxxx vstupu xxxx.
x) Xxxxxxxx pro xxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxx.
(17) Xxxxxxxx xxxxxxxxxxx komunikační xxxx**
[§5 xxxx. 1 písm. x)]
x) Pravidla x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxx.
x) Určení xxxx x xxxxxxxxxx xx bezpečný xxxxxx xxxx.
x) Xxxxxxxx a xxxxxxx pro xxxxxx xxxxxxxx x xxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxxxx x xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxxx xxxxxxxxxx záznamů.
(18) Xxxxxxxx xxxxxxx před xxxxxxxxx xxxxx*
[§5 xxxx. x xxxx. x), §5 xxxx. 2 písm. x)]
x) Pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxx x xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxxxxxx xxxxxx.
(19) Politika xxxxxxxx a používání xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx**
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx a xxxxxxx xxxxxxxx nástroje xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx postupy xxx xxxxxxxxxxxxx a xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
(20) Xxxxxxxx xxxxxxx a xxxxxx xxxxxxxx xxx xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxxx xxxxxxxxxxx pravidel pro xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Pravidla x xxxxxxx xxx optimální xxxxxxxxx bezpečnostních xxxxxxxxxx xxxxxxxx xxx xxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí.
(21) Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxx ochrany x xxxxxxx xx xxx x sílu xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxx informací
1. xxx přenosu po xxxxxxxxxxxxx xxxxxx,
2. xxx xxxxxxx xx mobilní xxxxxxxx xxxx vyměnitelný xxxxxxxxx xxxxx dat,
c) Xxxxxx xxxxxx xxxxx.
XX. Xxxxxxxxx xxxxx xxxxxxxxxxx
(1) Xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx**
[§28 xxxx. 1 xxxx. x)]
x) Xxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx auditu xxxxxxxxxxxx bezpečnosti.
c) Xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx týmu auditorů x xxxx, které xx auditu xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx.
x) Datum x xxxxx, xxx xxxx xxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(2) Zpráva x xxxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx**
[§28 odst. 1 xxxx. c)]
a) Xxxxxxxxxxx opatření x xxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací,
b) Xxxxxxxxxxxx xxxx x xxxxxxxxx, xxxxx xxxxx xxx xxxx xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
1. neshody x nápravná opatření,
2. xxxxxxxx xxxxxxxxxxxx x xxxxxx,
3. xxxxxxxx xxxxxx,
4. xxxxxxxx xxxx xxxxxxxxxxx,
x) Xxxxxxxx xxxxxxxxx xxxxx x xxxx plánu xxxxxxxx rizik.
e) Identifikace xxxxxxxx xxx neustálé xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx xxxxxxxx x osob xxxxxxxxxxxxx xxxxx jednotlivých xxxxxxxx.
(3) Xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx xxxxxxxxxxxx x hodnocení rizik*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 písm. x)]
x) Xxxxxx xxxxxxxx pro xxxxxxxxx primárních aktiv
1. xxxxxx stupnice pro xxxxxxxxx xxxxxx důvěrnosti xxxxx,
2. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxx aktiv,
3. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx dostupnosti aktiv.
b) Xxxxxx stupnice pro xxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxx,
2. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxx,
3. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxxxxxxxxxx,
4. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxx,
x) Xxxxxx x xxxxxxxx xxx xxxxxxxx rizik.
b) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx.
(4) Xxxxxx x hodnocení xxxxx x xxxxx**
[§28 xxxx. 1 písm. x), §28 xxxx. 2 písm. x)]
x) Xxxxxxx primárních xxxxx
1. xxxxxxxxxxxx x popis xxxxxxxxxx aktiv,
2. xxxxxx xxxxxxx xxxxxxxxxx aktiv,
3. xxxxxxxxx primárních xxxxx x hlediska xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx aktiv (xxxxxxx xxx orgány x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx)
1. identifikace x xxxxx podpůrných xxxxx,
2. xxxxxx garantů xxxxxxxxxx aktiv,
3. určení xxxxx xxxx primárními x podpůrnými xxxxxx,
x) Xxxxxxxxxxxxxx x xxxxxxxxx xxxxx
1. xxxxxxxxx možných xxxxxx xx xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx xxxxxxxxxxxx opatření,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx xxxx xxxxxx x xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
5. xxxxxx x schválení xxxxxxxxxxxx xxxxx.
x) Zvládání xxxxx
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. návrh xxxxxxxx x xxxxxx realizace.
(5) Xxxxxxxxxx x xxxxxxxxxxxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. x)]
x) Xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxx xxxxxx x xxxxxx vazby xx xxxxxxxxxxxxxx rizika.
b) Xxxxxxx xxxxxxxxxx bezpečnostních xxxxxxxx.
(6) Xxxx xxxxxxxx xxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. x)]
x) Xxxxx x cíle xxxxxxxxx bezpečnostních xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxxx zdroje xxx xxxxxxxxxx bezpečnostní opatření xxx zvládání rizik.
c) Xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx opatření xxx xxxxxxxx rizik.
d) Xxxxxxx xxxxxxxx jednotlivých bezpečnostních xxxxxxxx pro xxxxxxxx xxxxx.
x) Xxxxxxx hodnocení xxxxxxxxxx zavedení xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
(7) Plán xxxxxxx xxxxxxxxxxxxxx xxxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. x)]
x) Xxxxx a xxxxxxx xxxxxxx xxxxxxxxx.
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxx xxxxx (xxxxxxx xxx xxxxxx a xxxxx xxxxxxx x §3 písm. e) xxxxxx).
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxxxxxxxxx (xxxxxxx xxx orgány x osoby xxxxxxx x §3 xxxx. x) xxxxxx).
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxx x termíny xxxxxxx xxxxxx xxxxxxxxxxx.
x) Formy x xxxxxxx xxxxxxxxx xxxxx.
(8) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx x zvládání xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx testování systému xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(9) Xxxxxxxxx xxxxxx xxxxxxxxxx činností**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxx xxxxxx kontinuity xxxxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx,
2. xxxx xxxxxxxx xxxxx,
3. xxx xxxxxxxx xxxxx.
x) Xxxxxxxxx řízení xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxx xxxxx.
x) Xxxxxx x xxxxx xxxxxxxxxx xxxxx xxxxxxxxxx.
x) Xxxxxxx pro realizaci xxxxxxxx xxxxxxxx Národním xxxxxxxxxxxxx úřadem.
(10) Xxxxxxx xxxxxx závazných xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. i)]
a) Xxxxxxx xxxxxx závazných xxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx závazků.
Poznámka:
* Xxxxxxxxx xxxxxxxxx xxxxxxxxx je xx úrovni xxxxxxx xxxxx stupnice uvedené x příloze č. 1: Xxxxxxxxx x úroveň xxxxx.
** Xxxxxxxxx důvěrnost dokumentu xx na xxxxxx xxxxxx podle xxxxxxxx xxxxxxx v příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.
Příloha x. 5 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxx hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx č. 6 x vyhlášce x. 316/2014 Xx.
Xxxxxxxx oznámení x xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx x. 7 x vyhlášce x. 316/2014 Xx.
Xxxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxx
Vyplnitelný formulář ve formátu PDF
Informace
Právní xxxxxxx x. 316/2014 Xx. xxxxx xxxxxxxxx xxxx 1.1.2015.
Ke xxx uzávěrky právní xxxxxxx xxxxx měněn xx xxxxxxxxx.
Xxxxxx xxxxxxx x. 316/2014 Sb. xxx xxxxxx právním xxxxxxxxx č. 82/2018 Sb. s xxxxxxxxx xx 28.5.2018.
Xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxx předpisů x xxxxxxxx xxxx xxxxxxxxxxxxx, pokud xx xxxx netýká xxxxxxxxx xxxxx shora xxxxxxxxx xxxxxxxx xxxxxxxx.
1) ISO/IEC 27001:2013, xxxxxxxx XXX XXX/XXX 27001:2014