Právní předpis byl sestaven k datu 31.10.2025.
Zobrazené znění právního předpisu je účinné od 28.05.2018 do 31.10.2025.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
82/2018 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení aktiv §4
Řízení rizik §5
Organizační bezpečnost §6
Bezpečnostní role §7
Řízení dodavatelů §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení změn §11
Řízení přístupu §12
Akvizice, vývoj a údržba §13
Zvládání kybernetických bezpečnostních událostí a incidentů §14
Řízení kontinuity činností §15
Audit kybernetické bezpečnosti §16
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §17
Bezpečnost komunikačních sítí §18
Správa a ověřování identit §19
Řízení přístupových oprávnění §20
Ochrana před škodlivým kódem §21
Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů §22
Detekce kybernetických bezpečnostních událostí §23
Sběr a vyhodnocování kybernetických bezpečnostních událostí §24
Aplikační bezpečnost §25
Kryptografické prostředky §26
Zajišťování úrovně dostupnosti informací §27
Průmyslové, řídicí a obdobné specifické systémy §28
Digitální služby §29
HLAVA III - BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní politika a bezpečnostní dokumentace §30
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Kategorizace kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ZÁVĚREČNÁ USTANOVENÍ
Přechodná ustanovení §35
Zrušovací ustanovení §36
Účinnost §37
Příloha č. 1 - Hodnocení aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Zranitelnosti a hrozby
Příloha č. 4 - Likvidace dat
Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace
Příloha č. 6 - Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role
Příloha č. 7 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy
Příloha č. 8 - Vzor Formuláře pro hlášení kontaktních údajů
82
XXXXXXXX
xx xxx 21. xxxxxx 2018
o bezpečnostních xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, reaktivních opatřeních, xxxxxxxxxxxxx xxxxxx v xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx dat (xxxxxxxx o xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx xxxx xxx xxxxxxxxxxxxx a informační xxxxxxxxxx xxxxxxx podle §28 xxxx. 2 xxxx. x) xx x) x f) xxxxxx x. 181/2014 Xx., x xxxxxxxxxxxx xxxxxxxxxxx x x xxxxx xxxxxxxxxxxxx xxxxxx (xxxxx x xxxxxxxxxxxx xxxxxxxxxxx), xx xxxxx xxxxxx x. 104/2017 Xx. a xxxxxx x. 205/2017 Xx., (xxxx xxx "xxxxx"):
XXXX XXXXX
XXXXXX USTANOVENÍ
§1
Předmět xxxxxx
Xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx Xxxxxxxx xxxx1) x xxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikační xxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxx informační xxxxxx, informační systém xxxxxxxx xxxxxx xxxxx xxxxxxxxxx xxxxxx xxxx xxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxx využívá poskytovatel xxxxxxxxxxx xxxxxx, (xxxx xxx "xxxxxxxxxx x xxxxxxxxxxx systém") xxxxxxxx
x) xxxxx x xxxxxxxxx xxxxxxxxxxxx dokumentace,
b) obsah x xxxxxx bezpečnostních xxxxxxxx,
x) xxxx, xxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních incidentů,
d) xxxxxxxxxxx x xxxxxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x provedení xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx,
x) vzor xxxxxxxx xxxxxxxxxxx údajů x xxxx formu x
x) xxxxxx xxxxxxxxx xxx, xxxxxxxxxx xxxxx, xxxxxxxxx x jejich xxxxx.
§2
Xxxxxxxx xxxxx
Xxx xxxxx xxxx vyhlášky xx xxxxxx
x) administrátorem xxxxx xxxxxxxxxxx xxxxxx, xxxxxx, xxxxxxx, xxxxxx x xxxxxxxxxx xxxxxxxxxxx aktiva,
b) xxxxxxxxxxxxxxx xxxxxxx riziko, xxxxx xx xxxxxxxxxx xxx xxxxx xxxx xxxxx, xxxxx xxxx xxxxxxx zavést xxxxxxxxxxxx xxxxxxxx xxxxx zákona, (xxxx jen "povinná xxxxx") x xxxx xxxxx xxx zvládat xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxx a xxxxxxxx, xxxxx určují xxxxxx xxxxxxxxx xxxxxxx xxxxx,
x) hodnocením xxxxx xxxxxxx xxxxxx xxxxxxxxxxxx, xxxxxxx a xxxxxxxxxxx xxxxx,
x) xxxxxxx potenciální xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx nebo xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxx škodu,
f) xxxxxxxxx aktivem xxxxxxxxx xxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xx xx provozu, xxxxxxx, xxxxxx xxxx xxxxxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
x) primárním xxxxxxx xxxxxxxxx nebo xxxxxx, xxxxxx zpracovává xxxx xxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxx, xx určitá xxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxx,
x) xxxxxxx xxxxx xxxxxxx xxxxxxxxxx hodnocení xxxxx, výběr x xxxxxxxx xxxxxxxx xx xxxxxxxx rizik, xxxxxxx xxxxxxxxx o xxxxxx x sledování x xxxxxxxxxxx xxxxx,
x) xxxxxxxx xxxxxx bezpečnosti informací xxxx xxxxxxx xxxxxx xxxxxxx xxxxx xxxxxxxx xx xxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému, xxxxx xxxxxxx xxxxxx xxxxxxxx, xxxxxxxx, xxxxxxxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxx,
x) technickým xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx x xxxxxxx, xx xxxxxxx xxxx xxxx systémy xxxxxxxx, xxxxxxx xxxxxxx xxxx xxx xxxxx na xxxxxxxxxx x komunikační xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx osoba xxxxx orgán xxxxxxx xxxx, xxxxx využívají xxxxxx,
x) vrcholovým xxxxxxx xxxxx xxxx xxxxxxx xxxx, xxxxx xxxx xxxxxxxx xxxxx, nebo xxxxxxxxxx orgán xxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx informačního xxxx xxxxxxxxxxxxx systému (dále xxx "xxxxxxxxxxxx") x xxxxx, kdo x xxxxxxxx osobou xxxxxxxx xx xxxxxxxx xxxxxx, xxxxx je xxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) významnou xxxxxx xxxxx, xxxxx xx xxxx xxxx xxx xxxx na kybernetickou xxxxxxxxxx x představuje xxxxxx xxxxxx,
x) xxxxxxxxxxxxx xxxxx xxxxx aktiva xxxx xxxxx xxxxx xxxxxxxxxxxxxx opatření, xxxxx xxxx být xxxxxxxx xxxxxx xxxx xxxx xxxxxxxx.
ČÁST XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx xxxxxx xxxxxxxxxxx informací
Povinná xxxxx x xxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx x xxxxxxx xx požadavky dotčených xxxxx a organizační xxxxxxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xx kterém xxxx xxxxxxxxxxx xxxxx a xxxxxx, xxxxx se xxxxxx řízení xxxxxxxxxxx xxxxxxxxx týká,
b) xxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) pro xxxxxxxxx rozsah xxxxxxx xxxxxx xxxxxxxxxxx informací xx xxxxxxx xxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx xxxxxx x xxxxxxxxx rizik xxxxxx xxxxxxxxx bezpečnostní xxxxxxxx,
x) xxxx xxxxxx xxxxx §5,
x) vytvoří x xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxx zásady, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x povinnosti xx xxxxxx x xxxxxx xxxxxxxxxxx informací, x xx základě xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx politiku v xxxxxxx xxxxxxxxx xxxxx §30 x xxxxxx xxxxxxxxx bezpečnostní xxxxxxxx,
x) xxxxxxx provedení xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx (xxxx xxx "xxxxx kybernetické xxxxxxxxxxx") xxxxx §16,
g) xxxxxxx xxxxxxxxxx vyhodnocování xxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxxx xxxxxx hodnocení xxxxx, posouzení výsledků xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x dopadů xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xx systém xxxxxx xxxxxxxxxxx informací,
h) xxxxxxxx xxxxxxxxxxxx a následně xxxxx §11 xxxx xxxxxxxx xxxxx, které xxxxx xx xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) aktualizuje xxxxxx xxxxxx bezpečnosti xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti, xxxxxxxx vyhodnocení účinnosti xxxxxxx xxxxxx bezpečnosti xxxxxxxxx x x xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxxx x
x) xxxx provoz x xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxx xx systémem xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx.
§4
Řízení xxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx aktiv
a) stanoví xxxxxxxx pro xxxxxxxxxxxx xxxxx,
x) stanoví xxxxxxxx xxx hodnocení xxxxx xxxxxxx x xxxxxxx xxxxxxxx x příloze č. 1 x této vyhlášce,
c) xxxxxxxxxxxx a xxxxxxx xxxxxx,
x) xxxx x xxxxxxx garanty xxxxx,
x) xxxxxxx x eviduje xxxxxxxx aktiva x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x xxxxxx xx do xxxxxxxxxxxx úrovní xxxxx xxxxxxx x),
x) xxxx x eviduje vazby xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxx x xxxxxxxxxx aktivy,
g) hodnotí xxxxxxxx xxxxxx x xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxx x),
x) na xxxxxxx xxxxxxxxx aktiv xxxxxxxxx x xxxxxx xxxxxxxx xxxxxxx xxxxx xxx zabezpečení jednotlivých xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxx používání xxxxx x pravidla xxx xxxxxxxxxx x xxxxxx x xxxxxxx xx úroveň aktiv, xxxxxx xxxxxxxx xxx xxxxxxxx elektronické xxxxxxx x xxxxxxx přenášení xxxxx, x
x) xxxx xxxxxx likvidace dat, xxxxxxxxxx xxxxx, informací x jejich xxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx dat s xxxxxxx xx úroveň xxxxx x xxxxxxx x přílohou č. 4 x xxxx vyhlášce.
(2) Xxx xxxxxxxxx xxxxxxxxxxx primárních xxxxx xx xxxxx xxxxxxxx alespoň
a) rozsah x xxxxxxxxxx osobních xxxxx, xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxxxxxx tajemství,
b) xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxx závazků,
c) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx x kontrolních xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxx a xxxxx xxxxxxxx ztráty,
e) xxxxxx xx xxxxxxxxxxx důležitých xxxxxx,
x) xxxxxx narušení xxxxxxx xxxxxxxx,
x) dopady xx xxxxxxxxx xxxxxxx xxxxx nebo xxxxxxx xxxxx xxxxxxx,
x) dopady xx bezpečnost x xxxxxx xxxx,
x) dopady xx xxxxxxxxxxx vztahy x
x) xxxxxx xx xxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx.
§5
Řízení rizik
(1) Povinná xxxxx x xxxxx xxxxxx rizik x xxxxxxxxxx xx §4
x) xxxxxxx xxxxxxxx pro xxxxxxxxx xxxxx, xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxxxxx xxxxx,
x) x xxxxxxx na xxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxxxxxxx; přitom xxxxxxx xxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxxx x příloze č. 3 x xxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxx x pravidelných xxxxxxxxxxx xxxxx xxxxxxxx 2 x xxx xxxxxxxxxx xxxxxxx,
x) xxx hodnocení xxxxx xxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxxxxxxx x posoudí xxxxx xxxxxx xx aktiva; xxxx xxxxxx xxxxxxx xxxxxxx x xxxxxxx přílohy č. 2 x xxxx xxxxxxxx,
x) zpracuje zprávu x xxxxxxxxx xxxxx,
x) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxx rizik xxxxxxxxxx x aplikovatelnosti, xxxxx obsahuje xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx vyhláškou, xxxxx
1. xxxxxx xxxxxxxxxx, včetně xxxxxxxxxx,
2. byla aplikována, xxxxxx xxxxxxx xxxxxx,
x) xxxxxxxx a xxxxxx xxxx zvládání xxxxx, xxxxx xxxxxxxx xxxx x xxxxxxx bezpečnostních xxxxxxxx xxx zvládání xxxxxxxxxxxx xxxxx, xxxxxx xxxxx zajišťující xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, lidské x xxxxxxxxxx xxxxxx, xxxxxx xxxxxx xxxxxxxx, xxxxx vazeb mezi xxxxxx x příslušnými xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxx xxxxxxxxx xxxxx a x xxxxx xxxxxxxx xxxxx xxxxxxxx
1. významné změny,
2. xxxxx xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
3. xxxxxxxx xxxxx §11 xxxxxx a
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx, včetně xxxxx xxxxxxxx, x
x) x xxxxxxx x xxxxxx zvládání xxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), d) x x) zákona provádí xxxxxxxxx xxxxx alespoň xxxxxx xxxxx x xxxxxxx osoba xxxxxxx x §3 xxxx. x) xxxxxx xxxxxxx xxxxxx za tři xxxx.
(3) Řízení xxxxx xxxx xxx xxxxxxxxx x xxxxxx způsoby, xxx xxx xx xxxxxxxxx v xxxxxxxx 1 xxxx. x), xxxxx xxxxxxx xxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxx vyšší xxxxxx xxxxxxx řízení xxxxx.
§6
Organizační xxxxxxxxxx
(1) Xxxxxxx xxxxx x xxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx xxxxxxxxx bezpečnostní xxxxxxxx x cílů systému xxxxxx bezpečnosti xxxxxxxxx xxxxx §3 slučitelných xx xxxxxxxxxxxx směřováním xxxxxxx osoby,
b) zajistí xxxxxxxxx systému xxxxxx xxxxxxxxxxx informací xx xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx pro xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxx o xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxx x xxxx xxxxxxxxx xx všemi xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxx x dosažení zamýšlených xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) vede xxxxxxxxxxx k xxxxxxxxx xxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx a xxxxxxxxx xx při xxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx při xxxxxxxxxxx xxxxxxxxxxxx bezpečnosti x oblastech jejich xxxxxxxxxxxx,
x) xxxxxxx stanovení xxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx x xxxx, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx xxxx,
x) zajistí, xxx byla zachována xxxxxxxxxxx administrátorů x xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) pro osoby xxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx pravomoci x xxxxxx včetně xxxxxxxxxxxx prostředků x xxxxxxxxxx xxxxxx rolí x xxxxxx xxxxxxxxxxxxx xxxxx a
l) xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx, obnovy x xxxxxxx spojených xx xxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx osoba x rámci xxxxxxx xxxxxx bezpečnosti informací xxxx xxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxx x xxxxxx xxxxx a xxxxxxxxxx xxxxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxx informací.
(3) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), d) a x) zákona xxxx xxxxx, která xxxx xxxxxxxx xxxxxxxxxxxx xxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxx a
d) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxx osoba xxxxxxx x §3 xxxx. x) zákona xxxx xxxx xxxxxxxx kybernetické xxxxxxxxxxx x garanta xxxxxx. Ostatní xxxxxxxxxxxx xxxx xxxxx xxxxxxxx 3 určí xxxxxxxxx xxxxxxxx x xxxxxxx x xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(5) Xxxxxxx xxxxx uvedená x §3 xxxx. x), x) x x) xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx v odstavci 3 písm. a) x x).
(6) Xxxxxxx xxxxx uvedená x §3 xxxx. e) xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(7) Xxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx xx tvořen xxxxxxx s příslušnými xxxxxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxx xxxxxxx xxxxxx x rozvoj xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xx podílejícími xx xxxxxx x xxxxxxxxxx xxxxxxxx spojených x xxxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxx musí xxx alespoň xxxxx xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxx xxxxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxx xxxxx x výboru xxx řízení xxxxxxxxxxxx xxxxxxxxxxx přihlédne x xxxxxxxxxxx uvedeným x příloze č. 6 k xxxx xxxxxxxx.
§7
Bezpečnostní role
(1) Xxxxxxx xxxxxxxxxxxx bezpečnosti
a) je xxxxxxxxxxxx xxxx xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx této xxxx xxxx být xxxxxxxx xxxxx, xxxxx je xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx způsobilost xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx x xxxxxxx xxxxxxxxxxx informací
1. xx xxxx xxxxxxx xxx xxx, xxxx
2. xx xxxx jednoho xxxx, xxxxx xxxxxxxxxxx xxxxxxx na xxxxxx xxxxx,
x) xxxxxxxx za xxxxxxxxxx xxxxxxxxxxx vrcholového xxxxxx x
1. činnostech xxxxxxxxxxxxx z xxxxxxx xxxx odpovědnosti a
2. xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x
x) xxxxx xxx xxxxxxx xxxxxxx xxxx odpovědných xx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxxxx kybernetické xxxxxxxxxxx xx bezpečnostní xxxx xxxxxxxxx za xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx tak, aby xxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, xxxxxxx xxxxxxx xxxx xxxx xxxx být xxxxxxxx xxxxx, xxxxx xx xxx xxxx činnost xxxxxxxxx x prokáže xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx architektury xxxxxxxxxxx
x) xx dobu xxxxxxx xxx xxx, xxxx
x) xx xxxx xxxxxxx xxxx, pokud xxxxxxxxxxx xxxxxxx xx xxxxxx xxxxx.
(3) Xxxxxx xxxxxx xx xxxxxxxxxxxx role xxxxxxxxx za xxxxxxxxx xxxxxxx, xxxxxxx a xxxxxxxxxx xxxxxx.
(4) Xxxxxxx xxxxxxxxxxxx bezpečnosti
a) xx xxxxxxxxxxxx role odpovědná xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, přičemž xxxxxxx této xxxx xxxx xxx xxxxxxxx xxxxx, která xx xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx způsobilost praxí x xxxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx nebo xxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xx xxxx xxxxxxx xxx xxx, xxxx
2. po xxxx xxxxxxx roku, xxxxx xxxxxxxxxxx xxxxxxx xx xxxxxx škole,
b) xxxxxxxx, že provedení xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx nestranné, a
c) xxxxx xxx pověřen xxxxxxx xxxxxx bezpečnostních xxxx.
(5) Povinná xxxxx xxx xxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx x příloze č. 6 x této xxxxxxxx.
§8
Řízení xxxxxxxxxx
(1) Povinná xxxxx
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxx, xxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxx xxx xxxxxxxx xxxxxxxxxx o xxxxxx xxxxxxxx xxxxx xxxxxxx x),
x) seznamuje xxx xxxxxxxxxx x xxxxxxxx podle xxxxxxx x) x vyžaduje xxxxxx těchto xxxxxxxx,
x) xxxx xxxxxx xxxxxxx x dodavateli,
f) v xxxxxxxxxxx x řízením xxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx zajistí, xxx smlouvy xxxxxxxxx x významnými dodavateli xxxxxxxxxx xxxxxxxxxx oblasti xxxxxxx v příloze č. 7 x xxxx vyhlášce, x
x) pravidelně xxxxxxxxxxx xxxxxx smluv x xxxxxxxxxx dodavateli x xxxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx u významných xxxxxxxxxx dále
a) v xxxxx xxxxxxxxxx xxxxxx x xxxx xxxxxxxxx xxxxxxx provádí hodnocení xxxxx souvisejících x xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxx xxxxx přílohy č. 2 x této xxxxxxxx,
x) v xxxxx xxxxxxxxxxx smluvních xxxxxx xxxxxxx xxxxxxx a xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxx xxxxx vzájemné xxxxxxx xxxxxxxxxxxx xx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx pravidelné xxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxx zavedených xxxxxxxxxxxxxx opatření u xxxxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxx xxxx xxxxxx třetí xxxxxx x
x) v xxxxxx xx rizika x xxxxxxxx xxxxxxxxxx zajistí xxxxxx řešení.
(3) Xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 1 písm. x) xxxx
x) xxxxxxxxxxxx xxxxxxx nebo provozovatele,
b) xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx systému,
c) xxxxxxxxxxxx xxxxxxxxxx dodavatele,
d) xxxxxxxxxx x skutečnosti, xx xxxxxxxxx je xxx xxxxxxx xxxxxxxxx xxxxxxxxxxx, x xxxxxxxxx také x tom, xx xxxxxxxx xxxxxxxxx je xxxxxxx xxxxxxxxxxxxxx, a
e) xxxxx xxxxxxxx xxxxx xxxxxxxx 1 písm. x).
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx, xxxxx xx xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxx informována xxxxx odstavce 1 xxxx. x), hlásí xxxxxxxxx xxxxx formou xxxxxxxx x §34.
§9
Bezpečnost xxxxxxxx xxxxxx
(1) Xxxxxxx xxxxx v xxxxx řízení xxxxxxxxxxx xxxxxxxx xxxxxx
x) x xxxxxxx na xxxx x potřeby systému xxxxxx xxxxxxxxxxx informací xxxxxxx xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxx xx zajistit xxxxxxxxxxxx vzdělávání x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx xxxxx, obsah a xxxxxx
1. poučení xxxxxxxxx, xxxxxxxxxxxxxx, osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxx x jejich xxxxxxxxxxxx a x xxxxxxxxxxxx xxxxxxxx x
2. xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx role,
b) xxxx osoby odpovědné xx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx jsou x xxxxx uvedeny,
c) x xxxxxxx s xxxxxx xxxxxxx bezpečnostního xxxxxxxx zajistí xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxx x xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) xxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx v xxxxxxx x plánem xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx odborná xxxxxxx, xxxxxxx xxxxxxx z xxxxxxxxxx potřeb xxxxxxx xxxxx v oblasti xxxxxxxxxxxx xxxxxxxxxxx,
x) x xxxxxxx s xxxxxx xxxxxxx bezpečnostního povědomí xxxxxxx pravidelné školení x ověřování bezpečnostního xxxxxxxx zaměstnanců v xxxxxxx x jejich xxxxxxxx náplní,
f) xxxxxxx xxxxxxxx dodržování bezpečnostní xxxxxxxx ze xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx zastávajících xxxxxxxxxxxx xxxx,
x) x xxxxxxx xxxxxxxx smluvního xxxxxx x xxxxxxxxxxxxxx x xxxxxxx xxxxxxxxxxxxx bezpečnostní xxxx xxxxxxx xxxxxxx xxxxxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxxxxx školení x xxxxxxx xxxxxxxx xxxxxxxxx se xxxxxxxxxxx xxxxxxxxxxxxxx povědomí x
x) xxxx xxxxxxxx a xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx ze xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x osob zastávajících xxxxxxxxxxxx role.
(2) Povinná xxxxx xxxx x xxxxxxx podle xxxxxxxx 1 přehledy, xxxxx xxxxxxxx xxxxxxx školení x xxxxxx osob, xxxxx xxxxxxx xxxxxxxxxxx.
§10
Xxxxxx xxxxxxx a xxxxxxxxxx
(1) Povinná xxxxx x xxxxx řízení xxxxxxx x xxxxxxxxxx xxxxxxxxx bezpečný provoz xxxxxxxxxxxx x komunikačního xxxxxxx a xxxxxxx xxxxxxxx xxxxxxxx a xxxxxxx, xxxxx xxxxxxxx xxxxxxx
x) xxxxx a xxxxxxxxxx administrátorů, xxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role,
b) xxxxxxx xxx xxxxxxxx x xxxxxxxx xxxxx systému, xxx xxxxxxx xxxx xxxxxxxx chodu systému xx xxxxxxx x xxx xxxxxxxx xxxxxxxxx xxxxx xxxx mimořádných xxxx,
x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxxx xxx xxxxxxx přístupu x záznamům x xxxxxx xxxxxxxxxx,
x) pravidla x postupy pro xxxxxxx xxxx xxxxxxxxx xxxxx,
x) xxxxxx technických xxxxxxxxxxxxx,
x) xxxxxxx xx xxxxxxxxx xxxxx, které xxxx pověřeny výkonem xxxxxxxxx x technické xxxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxxx, xxxxxxxxx x xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx zdrojů,
i) xxxxxxxx x postupy xxx ochranu xxxxxxxxx x dat x xxxxxxx celého xxxxxxxxx xxxxx,
x) xxxxxxxx x xxxxxxx xxx instalaci xxxxxxxxxxx xxxxx,
x) provádění xxxxxxxxxxxx zálohování a xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxx a
l) xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx.
(2) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxxxx a xxxxxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx stanovené xxxxx xxxxxxxx 1 x xxxx pravidla a xxxxxxx aktualizuje x xxxxxxxxxxx s xxxxxxxxxxx xxxx xxxxxxxxxxx změnami.
(3) Xxxxxxx osoba xxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxx.
§11
Xxxxxx xxxx
(1) Povinná xxxxx x rámci xxxxxx změn u xxxxxxxxxxxx a komunikačního xxxxxxx
x) xxxxxxxxxxx xxxxx xxxxxx xxxx x
x) xxxxxx xxxxxxxx xxxxx.
(2) Xxxxxxx osoba u xxxxxxxxxx xxxx
x) xxxxxxxxxxx xxxxxx xxxxxx,
x) provádí xxxxxxx xxxxx,
x) přijímá xxxxxxxx za xxxxxx xxxxxxx všech nepříznivých xxxxxx xxxxxxxxx s xxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx dokumentaci,
e) xxxxxxx xxxxxx xxxxxxxxx x
x) xxxxxxx xxxxxxx navrácení xx xxxxxxxxx xxxxx.
(3) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x x) xxxxxx na xxxxxxx xxxxxxxx xxxxxxx xxxxx podle xxxxxxxx 2 písm. b) xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxxxx; pokud xxxxxxxx o xxxxxxxxx xxxxxxxxxxxx testování xxxx xxxxxxxxx zranitelností, xxxxxxxxx xxxxx §25 odst. 1 a xxxxxxx xx zjištěné xxxxxxxxxx.
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) zákona xx xxxx xxxxxxxxx podle xxxxxxxx 3 xxxxxxxxx.
§12
Xxxxxx přístupu
(1) Xxxxxxx xxxxx xx xxxxxxx xxxxxxxxxx a xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx systému x xxxxxxx xxxxxxxx, která xxxxxx x xxxxxxxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx podle §19 x 20, a xxxxx xxxxx ve xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(2) Xxxxxxx xxxxx xxxx x xxxxx xxxxxx xxxxxxxx x informačnímu x xxxxxxxxxxxxx xxxxxxx
x) xxxx xxxxxxx xx základě xxxxxx x rolí,
b) xxxxxxx xxxxxxx uživateli x administrátorovi xxxxxxxxxxxxxx x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx přístupová xxxxx x xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx,
x) xxxx xxxxxxxxxxxxxx, xxxxxxxxxx xxxxx x oprávnění xxxxxxxx x xxxxxxxxxxx xxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
e) zavádí xxxxxxxxxxxx xxxxxxxx potřebná xxx xxxxxxxx xxxxxxxxx xxxxxxxxx zařízení x xxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxxxx i bezpečnostní xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx xxxxx xxxx xx xxx xxxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxx nutnou x výkonu xxxxxx xxxxx,
x) omezí x xxxxxxxxxx používání programových xxxxxxxxxx, které xxxxx xxx schopné xxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxx a xxxxxxx přístupová xxxxxxxxx x xxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xx xxxxxxxxxxxx skupin x rolí,
j) využívá xxxxxxx xxx xxxxxx x xxxxxxxxx identity xxxxx §19 a xxxxxxx pro xxxxxx xxxxxxxxxxxx oprávnění podle §20,
x) prosazuje, xxx xxxxxxxxx xxx používání xxxxxxxxxx autentizačních xxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx xxxx xxxxx přístupových xxxxxxxxx xxx xxxxx xxxxxx xxxx zařazení xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxxxx nebo xxxxx xxxxxxxxxxxx xxxxxxxxx xxx ukončení nebo xxxxx xxxxxxxxx xxxxxx x
x) xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx.
§13
Akvizice, xxxxx x xxxxxx
Xxxxxxx xxxxx x xxxxxxxxxxx x plánovanou xxxxxxxx, xxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) xxxx xxxxxx podle §5,
b) xxxx xxxxxxxx xxxxx xxxxx §11,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxxxx do xxxxxxxx akvizice, xxxxxx x xxxxxx,
x) xxxxxxx xxxxxxxxxx vývojového x xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxx xxxx xxxxxx xxxxxxxxx xx provozu x
x) xxxx xxxxxxxxx xxxxx §19 xxxx. 3, xx-xx xxxxx xxxxxxxxx akvizice xxxx xxxxxx nástroj xxx xxxxxx x ověřování xxxxxxxx.
§14
Xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
(1) Xxxxxxx xxxxx v xxxxx zvládání kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxx xxxxxxx x vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx a xxxxxxx xxxxxxx xxx
1. xxxxxxx x vyhodnocování kybernetických xxxxxxxxxxxxxx událostí a xxxxxxxxx x
2. koordinaci x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx x xxxxxxxx xxxxxxx xxx identifikaci, xxxx, xxxxxxx x xxxxxxxx xxxxxxxxxxx podkladů potřebných xxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx,
x) zajistí xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxx detekci xxxxxxxxxxxxxx bezpečnostních událostí xx dále xxxx §22 a 23,
f) xxxxxxx, xx xxxxxxxxx, xxxxxxxxxxxxxx, osoby xxxxxxxxxxx xxxxxxxxxxxx role, xxxxx xxxxxxxxxxx x xxxxxxxxxx xxxxx oznamovat xxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxx xxxxxx xxxx xxx rozhodnuto, xxx xxxx xxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx podle §31,
x) xxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx podle xxxxxxxxxxx postupů,
i) xxxxxxx xxxxxxxx pro xxxxxxxxx x xxxxxxxx dopadu xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx,
x) xxxxx kybernetické bezpečnostní xxxxxxxxx xxxxx §32,
x) xxxx xxxxxxx o xxxxxxxxxxxxxx bezpečnostních incidentech x x jejich xxxxxxxx,
x) prošetří x xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu x
x) xxxxxxxxx xxxxxxxx řešení xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu x xx xxxxxxx xxxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. x), x) a f) xxxxxx xxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx používá xxxxxxx xxxxx §24.
§15
Xxxxxx xxxxxxxxxx činností
Povinná xxxxx x xxxxx xxxxxx xxxxxxxxxx xxxxxxxx
x) xxxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxx xxxxxxxxx xxxxx a analýzy xxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxx dopady xxxxxxxxxxxxxx bezpečnostních incidentů x xxxxxxx xxxxx xxxxxx xxxxxxxxxxx s xxxxxxxxx xxxxxxxxxx xxxxxxxx,
x) xx xxxxxxx xxxxxxx xxxxxxxxx xxxxx x xxxxxxx xxxxxx xxxxx xxxxxxx b) xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx, která je xxxxxxxxxx xxx xxxxxxx, xxxxxx a xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
2. doby xxxxxxxx xxxxx, xxxxx xxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx úroveň poskytovaných xxxxxx informačního x xxxxxxxxxxxxx xxxxxxx, x
3. xxxx xxxxxxxx xxx xxxx xxxxxx xxxxxx, xx které xxxx xxx xxxxxx xxxxxxxx xxxx xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx xxxx xx xxxxxxx,
x) xxxxxxx xxxxxxxx řízení xxxxxxxxxx xxxxxxxx, která xxxxxxxx xxxxxxxx cílů xxxxx xxxxxxx c),
e) xxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxx plány xxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxx související s xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx systému a xxxxxxxxxxxxx služeb a
f) xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxxxxxx x xxxxxxx xxx tom x xxxxxxxxx podle §27.
§16
Xxxxx kybernetické xxxxxxxxxxx
(1) Xxxxxxx osoba x xxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx
x) xxxxxxx x xxxxxxxxxxx audit dodržování xxxxxxxxxxxx politiky, xxxxxx xxxxxxxxxxx xxxxxxxxx shody, x výsledky xxxxxx xxxxxxxx v xxxxx xxxxxxx xxxxxxxxxxxxxx povědomí x xxxxx zvládání xxxxx a
b) xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx x nejlepší xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx, jinými xxxxxxxx x smluvními xxxxxxx xxxxxxxxxxxx se x xxxxxxxxxxxx x komunikačnímu xxxxxxx x xxxx xxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.
(2) Xxxxx xxxxx xxxxxxxx 1 je xxxxxxxx
x) xxx xxxxxxxxxx xxxxxxx, x xxxxx xxxxxx xxxxxxx,
x) x xxxxxxxxxxxx xxxxxxxxxxx alespoň po 3 letech x xxxxxxx povinné xxxxx xxxxxxx v §3 xxxx. x) zákona x
x) v xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx po 2 xxxxxx x xxxxxxx xxxxxxx osoby xxxxxxxxx x xxxxxxx x).
(3) Není-li v xxxxxxxxxxxx xxxxxxxxx možné xxxxxxx xxxxx x xxxxxxxxxxx xxxxx xxxxxxxx 2 xxxx. b) x x) x xxxxx xxxxxxx, je xxxxx audit provádět xxxxxxxx xx xxxxxxxxxxxxxx xxxxxxx. X takovém xxxxxxx xx xxxxx xxxxx x celém xxxxxxx provést xxxxxxxxxx xx 5 xxx.
(4) Xxxxx xxxxxxxxxxxx bezpečnosti xxxx xxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx x §7 xxxx. 4, která xxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(5) Povinná xxxxx, která xx xxxxxxxx provozovatelem, předkládá xxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx správci daného xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
HLAVA XX
XXXXXXXXX XXXXXXXX
§17
Xxxxxxx xxxxxxxxxx
Xxxxxxx xxxxx x xxxxx fyzické xxxxxxxxxxx
x) xxxxxxxxx poškození, xxxxxxx xxxx xxxxxxxx xxxxx xxxx xxxxxxxxx poskytování xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) stanoví xxxxxxx xxxxxxxxxxxx perimetr xxxxxxxxxxxx xxxxxx, ve xxxxx xxxx xxxxxxxxxx x xxxxxxxxxxxx informace x umístěna xxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, x
x) x xxxxxxxxx bezpečnostního xxxxxxxxx xxxxxxxxxxx podle xxxxxxx x) xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxx fyzické xxxxxxxxxxx
1. x xxxxxxxx xxxxxxxxxxxxx xxxxxx,
2. x xxxxxxxx poškození x xxxxxxxxxxxx zásahům a
3. xxx xxxxxxxxx ochrany xx úrovni xxxxxxx x x xxxxx xxxxxxx.
§18
Xxxxxxxxxx xxxxxxxxxxxxx xxxx
Xxxxxxx xxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx sítě xxxxxxxx x rozsahu xxxxx §3 xxxx. x)
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxx xxxxxxxxxx v xxxxx xxxxxxxxxxx sítě x xxxxxxxxx xxxxxxxxxxx xxxx,
x) pomocí xxxxxxxxxxxx xxxxxxx xxxxxxxxx a xxxxxxxxx xxx xxx xxxxxxxxx xxxxxxxx, vzdálené xxxxxx xxxx xxx xxxxxxxx do komunikační xxxx pomocí bezdrátových xxxxxxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxx komunikaci x
x) xxx xxxxxxxxx xxxxxxxxxx xxxx a xxx xxxxxx xxxxxxxxxx xxxx xxxxxx segmenty využívá xxxxxxx, xxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx.
§19
Xxxxxx x ověřování xxxxxxx
(1) Xxxxxxx xxxxx xxxxxxx nástroj pro xxxxxx a ověření xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x aplikací informačního x xxxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxx xxx xxxxxx x ověření xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxxxx
x) ověření xxxxxxxx xxxx xxxxxxxxx xxxxxxx x informačním x xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxx xxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxxxx,
x) odolnost uložených xxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxx proti xxxxxxxxxxxxx xxxxxxxx a xxxxxxxx,
x) xxxxxxxx autentizačních údajů xx xxxxx xxxxxx xxxxx offline xxxxxx,
x) xxxxxxxx ověření identity xx xxxxxx době xxxxxxxxxx,
x) dodržení xxxxxxxxxx xxxxxxxxxxxxxx údajů při xxxxxx xxxxxxxx x
x) xxxxxxxxxxxxxxx xxxxxx xxxxxxx.
(3) Xxxxxxx osoba xxx xxxxxxx identity xxxxxxxxx, xxxxxxxxxxxxxx x aplikací xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxx xxxxxxxx xxxxx xx použití xxxxxxxxxxxxxx xxxx a xxxxx, nýbrž xx xxxxxxxxxxxxx autentizaci s xxxxxxx dvěma xxxxxxx xxxx xxxxxxx.
(4) Xx xxxx splnění xxxxxxxxx xxxxx xxxxxxxx 3 xxxx xxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx, xxxxxxxx autentizaci pomocí xxxxxxxxxxxxxxxx xxxxx a xxxxxxx obdobnou xxxxxx xxxxxxxxxxx.
(5) Xx xxxx xxxxxxx xxxxxxxxx podle xxxxxxxx 3 nebo 4 xxxx xxxxxxx xxx ověření xxxxxxxx xxxxxxxxx, administrátorů a xxxxxxxx, xxxxx xxxxxxx x autentizaci identifikátor xxxx a heslo, xxxxxxxxx xxxxxxxx
x) délky xxxxx alespoň
1. 12 xxxxx u xxxxxxxxx x
2. 17 xxxxx x administrátorů x xxxxxxxx,
x) xxxxxxxxxx xxxxx xxxxx x xxxxx xxxxxxx 64 xxxxx,
x) xxxxxxxxxxx xxxxxxx xxxxxx x xxxxxxx xxxxxx, xxxxxx a speciálních xxxxx,
x) xxxxxxxxxx uživatelům xxxxx hesla, xxxxxxx xxxxxx mezi xxxxx xxxxxxx xxxxx nesmí xxx xxxxxx xxx 30 xxxxx,
x) neumožňující xxxxxxxxxx x xxxxxxxxxxxxxxx
1. xxxxxx si nejčastěji xxxxxxxxx xxxxx,
2. xxxxxx xxxxx na xxxxxxx xxxxxxxxxxxx opakujících se xxxxx, xxxxxxxxxxxxxx xxxxx, x-xxxxx, xxxxx xxxxxxx xxxx xxxxxxxx xxxxxxxx x
3. xxxxxxxx xxxxxxx xxxxx používaných xxxxx x xxxxxx alespoň 12 xxxxxxxxxxx xxxxx x
x) pro povinnou xxxxx xxxxx x xxxxxxxxx xxxxxxxxx xx 18 xxxxxxxx, xxxxxxx xxxx pravidlo xx xxxxxxxxxx xx účty xxxxxxxx x xxxxxx xxxxxxx x xxxxxxx xxxxxxx.
(6) Xxxxxxx osoba x xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx účtem x xxxxxx xxxx
x) xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxx po xxxx xxxxxx použití,
b) xxxxxxxxxxx xxxxxxxxx heslo xxxxxxxx k xxxxxxxx xxxxxxxx xx jeho xxxxxx xxxxxxx nebo xxxxxxxxx xxxxxxx 60 xxxxx xx xxxx xxxxxxxxx x
x) povinně xxxxxx pravidla tvorby xxxxxxxxxx xxxxx xx xxxxx rozvoje bezpečnostního xxxxxxxx xxxxx §9.
§20
Řízení xxxxxxxxxxxx oprávnění
Povinná xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxx xxx řízení xxxxxxxxxxxx oprávnění, xxxxxx xxxxxxx řízení xxxxxxxxx
x) xxx xxxxxxx x xxxxxxxxxxx xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx x
x) xxx xxxxx xxx, xxxxx xxx x xxxxx oprávnění.
§21
Ochrana xxxx xxxxxxxxx xxxxx
(1) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), d) x x) xxxxxx x xxxxx xxxxxxx xxxx xxxxxxxxx kódem
a) x xxxxxxx xx xxxxxxxxxx xxxxx zajišťuje xxxxxxx xxxxxxxx pro xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx
1. xxxxxxxxx xxxxxx,
2. xxxxxxxxx xxxxxxxx,
3. xxxxxxx,
4. datových xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
5. xxxxxxxxxxx xxxx a prvků xxxxxxxxxxx xxxx x
6. xxxxxxxxx zařízení,
b) xxxxxxxxxx x xxxx používání xxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx,
x) xxxx xxxxxxxxxxx spouštění xxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx,
x) xxxx xxxxxxxxx xx xxxxxxxxx xxxx a
e) xxxxxxx xxxxxxxxxxx a xxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxx před škodlivým xxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. e) zákona xxxxxxxxx podle odstavce 1 přiměřeně.
§22
Xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, xxxx xxxxxxxxx x xxxxxxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxx informačního x xxxxxxxxxxxxx xxxxxxx x
x) xx xxxxxxx xxxxxxxxx důležitosti aktiv xxxxxxxxxxx xxxxxx xxxxx, x kterých xx xxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxxx
x) xxxxxxxxxxxx síťovou xxxxxxxxxxxx xxxxxxxx původce, xx-xx x xxxxxxxxxxx síti xxxxxx nástroj, který xxxx xxxx xxxxxxx xxxxxxxxxxxx,
x) xxxx xxxxxxxxx x xxxxxxxxxxxxxx x xxxxxxxxxx událostech; zejména xxxxxxxxxxx
1. datum x xxx xxxxxx specifikace xxxxxxxx pásma,
2. xxx xxxxxxxx,
3. xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, které činnost xxxxxxxxxxx,
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxx, pod kterým xxxx xxxxxxx provedena,
5. xxxxxxxxxxxx síťovou xxxxxxxxxxxx xxxxxxxx původce a
6. xxxxxxxxx nebo xxxxxxxxxxx xxxxxxxx,
x) ochranu xxxxxxxxx xxxxxxxxx xxxxx xxxxxx x) a x) xxxx xxxxxxxxxxxx xxxxxx x xxxxxxxxx změnou,
d) xxxxxxxxxxxxx
1. přihlašování a xxxxxxxxxxx xx všem xxxxx, x to xxxxxx neúspěšných pokusů,
2. xxxxxxxx provedených xxxxxxxxxxxxxx,
3. xxxxxxx x xxxxxxxxx xxxxxxxxxx s účty, xxxxxxxxxxx x xxxxx,
4. xxxxxxxxxxx činností x xxxxxxxx nedostatku xxxxxxxxxxxx xxxx x xxxxxxxxx,
5. xxxxxxxx xxxxxxxxx, které xxxxx xxx xxxx xx bezpečnost xxxxxxxxxxxx x komunikačního systému,
6. xxxxxxxx a xxxxxxxx xxxxxxxx technických aktiv,
7. xxxxxxxxxx i xxxxxxxxx xxxxxxx technických xxxxx x
8. přístupů x xxxxxxxx o xxxxxxxxxx, xxxxxx x manipulaci xx xxxxxxx x xxxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx pro xxxxxxxxxxxxx xxxxxxxx a
e) xxxxxxxxxxxxx jednotného xxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxxx xx 24 xxxxx.
(3) Povinná osoba xxxxxxx x §3 xxxx. x), x) x x) zákona xxxxxxxx xxxxxxx událostí xxxxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxx xx xxxx 18 xxxxxx.
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxx xx dobu 12 xxxxxx.
§23
Detekce xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx komunikační xxxx, xxxxx součástí xx xxxxxxxxxx x xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx x kontrolu xxxxxxxxxxx xxx v rámci xxxxxxxxxxx sítě x xxxx komunikačními xxxxxx,
x) xxxxxxx x kontrolu xxxxxxxxxxx xxx xx xxxxxxxxx komunikační xxxx x
x) blokování xxxxxxxxx xxxxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x x) xxxxxx xxxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx přiměřeně x xxxxxxx na xxxxxxxxxx aktiv x xxxxx
x) xxxxxxxxx xxxxxx,
x) xxxxxxxxx xxxxxxxx,
x) xxxxxxx,
x) xxxxxxxx xxxxxxx a xxxxxxxxx xxxxxxxx nosičů,
e) xxxxxxxx xxxxxxxxx xxxxx x
x) xxxxxxxxx aktiv.
§24
Xxxx a vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
Xxxxxxx xxxxx xxxxxxx x §3 xxxx. c), x) x x) xxxxxx používá xxxxxxx xxx sběr x xxxxxxxxxxx vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx
x) xxxx x xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx §22 a 23,
x) vyhledávání x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx,
x) vyhodnocování xxxxxxxxxxxxxx bezpečnostních událostí x cílem xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx včasného xxxxxxxx xxxxxxxx bezpečnostních xxxx,
x) xxxxxxx případů xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx pravidelnou xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx
1. xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a
2. xxxxxx xxxxxxxx a
f) xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx pro sběr x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx informačního x xxxxxxxxxxxxx systému.
§25
Aplikační xxxxxxxxxx
(1) Xxxxxxx xxxxx xxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému xx xxxxxxxxx xx důležitá xxxxxx, x to
a) xxxx xxxxxx xxxxxxxx xx provozu x
x) x xxxxxxxxxxx x xxxxxxxxx xxxxxx podle §11 xxxx. 3.
(2) Xxxxxxx xxxxx dále x xxxxx aplikační xxxxxxxxxxx xxxxxxx trvalou xxxxxxx xxxxxxxx, xxxxxxxxx x xxxxxxxxx před
a) xxxxxxxxxxxx činností a
b) xxxxxxxx xxxxxxxxxxx činností.
§26
Xxxxxxxxxxxxxx xxxxxxxxxx
Xxxxxxx xxxxx xxx xxxxxxx aktiv xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) používá aktuálně xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x kryptografické klíče,
b) xxxxxxx systém xxxxxx xxxxx a xxxxxxxxxxx, xxxxx
1. xxxxxxx xxxxxxxxxx, xxxxxxxxxx, xxxxxxxx, změny, xxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxx a
2. umožní xxxxxxxx a xxxxx,
x) xxxxxxxxx xxxxxxxx xxxxxxxxx x kryptografickými xxxxxxxxxx x
x) xxxxxxxxxx doporučení x oblasti xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx Xxxxxx, xxxxxxxxxx xx xxxx xxxxxxxxxxxxx xxxxxxxxx.
§27
Xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx xxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxx dostupnosti, xxxxxxx xxxxxxx
x) dostupnost informačního x komunikačního systému xxx splnění xxxx xxxxx §15,
x) xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx mohly xxxxxx xxxx xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx x komunikačního xxxxxxx x
x) xxxxxxxxxx xxxxx xxxxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx.
§28
Xxxxxxxxxx, řídicí x xxxxxxx xxxxxxxxxx xxxxxxx
Xxxxxxx xxxxx pro xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx průmyslových, xxxxxxxx a xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxx x opatření, xxxxx xxxxxxx
x) xxxxxxx xxxxxxxxxxx a programových xxxxxxxxxx, xxxxx xxxx xxxxxx xx specifického xxxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxx k xxxxxxxxx xxxxxx xxxxxxx a xx xxxxxxxxxxx xxxx,
x) xxxxxxxxx xxxxxxxxxxx sítě xxxxxx xxx xxxx xxxxxxx xx ostatní xxxxxxxxxxxxxx,
x) xxxxxxx x xxxxxx xxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx,
x) xxxxxxx jednotlivých xxxxxxxxxxx xxxxx xxxxxx xxxxxxx xxxx využitím xxxxxxx xxxxxxxxxxxxx a
f) obnovení xxxxx xxxxxx xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
§29
Digitální služby
(1) Xxxxxxx xxxxx xxxxxxx x §3 písm. x) xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx podle xxxxxxxxxxx xxxxxxxx Xxxxxx (XX) 2018/151 xx xxx 30. xxxxx 2018, xxxxxx xx xxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Rady (XX) 2016/1148, xxxxx xxx x bližší xxxxxxxxx xxxxx, xxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx při xxxxxx xxxxxxxxxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xxxx x xxxxxxxxxx xxxxxxx, x xxxxxxxxx xxx xxxxxxxxxx xxxx, zda xx dopad incidentu xxxxxxxx; ustanovení §3 xx 28 xx xx xxxx xxxxxxxx xxxxx nepoužijí.
(2) Xxxxxxx xxxxx uvedená x §3 xxxx. x) xxxxxx xxxxx xxxxxxxxx xxxxx podle §34 xxxx. 2.
(3) Povinná xxxxx uvedená x §3 xxxx. x) xxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §32 odst. 2 x 3.
XXXXX XXX
XXXXXXXXXXXX XXXXXXXX X XXXXXXXXXXXX XXXXXXXXXXX
§30
Xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxxxx osoba
a) xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxxxxxx xxxxxxxxxxx zahrnující oblasti xxxxxxx v příloze č. 5,
b) xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx x
x) zajistí, xxx xxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx.
(2) Xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxx být
a) xxxxxxxx x listinné xxxx xxxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxx x rámci xxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxx dotčeným stranám,
d) xxxxxx,
x) chráněny x xxxxxxx důvěrnosti, xxxxxxxxx x xxxxxxxxxxx a
f) xxxxxx xxx, xxx xxxxxxxxx x xxxx xxxxxxxx xxxx úplné, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx x xxxxxx xxxxxxxxxxxx.
ČÁST XXXXX
XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX
§31
Xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Jednotlivé kybernetické xxxxxxxxxxxx incidenty se xxxxxxxxxxxx podle xxxxxxxxxxx xxx xxxxxxxxxx
x) xxxxxx xxxxxxxxxx v dopadových xxxxxxxxxx xxxxxxxxxx, podle xxxxxxx xxxx xxxxxxx xxxxx xxxxxx,
x) počtu xxxxxxxxx uživatelů,
c) xxxxxxxxx xxxx xxxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) dopadů xx xxxxxxxxxxx služby xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxx xxxxxxxxxxx jinými informačními x xxxxxxxxxxxxx systémy,
g) xxxxx xxxxxx incidentu,
h) xxxxxxxxxxx xxxxxxx dotčené xxxxxxx x
x) xxxxxxx xxxxxx.
(2) Xxx xxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx xx xxxxxxx xxxxxxxxxx podle xxxxxxxx 1 xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxxx xxxxxxxxx
x) Kategorie XXX - velmi xxxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx xxxxx x xxxxxxxx xxxxxxxx bezpečnost xxxxxxxxxxxxx xxxxxx nebo xxxxx. Xxxx řešení xxxxxxxx neprodlené xxxxxx xxxxxxx x tím, xx xxxx xxx xxxxx dostupnými prostředky xxxxxxxxx dalšímu xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxx,
x) Xxxxxxxxx XX - xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, při xxxxxx xx narušena xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx řešení xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx s xxx, xx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx vzniklých xxxx, xxxx
x) Xxxxxxxxx X - xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx incident, xxx xxxxxx xxxxxxx x xxxx xxxxxxxxxx xxxxxxxx bezpečnosti xxxxxxxxxxxxx xxxxxx xxxx aktiv. Xxxx xxxxxx xxxxxxxx xxxxxx xxxxxxx x xxx, že xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxx další xxxxxx xxxxxxxxxxxxxx bezpečnostního incidentu xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
(3) Typy kybernetických xxxxxxxxxxxxxx xxxxxxxxx podle xxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobující xxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx integrity xxxxx,
x) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, nebo
d) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx v xxxxxxxxx x) až x).
(4) Xxxx ustanovení xx xxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx u xxxxxxx xxxxx uvedené x §3 písm. x) xxxxxx.
§32
Forma a náležitosti xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Kybernetický xxxxxxxxxxxx xxxxxxxx xx Úřadu xxxxx xx elektronickém xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx xxxxxxxx
x) xx adresu xxxxxxxxxxxx xxxxx Xxxxx xxxxxxx pro xxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
x) xx datové xxxxxxxx Xxxxx, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xx xxxxxxxxx, jehož xxxxx xx xxxxxxxxx xx internetových xxxxxxxxx Xxxxx.
(2) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx XXXX hlásí xx xxxxxxxxxxxxx formuláři xxxxxxxxxxx na internetových xxxxxxxxx xxxxxxxxxxxxx národního XXXX xxxxxxxx
x) na xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxxx CERT xxxxxxx pro xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxxxxxxx xx xxxx xxxxxxxxxxxxx stránkách,
b) xx datové xxxxxxxx xxxxxxxxxxxxx národního CERT, xxxx
x) xxxxxxxxxxxxxxx internetových xxxxxxx xxxxxxxxxxxxx národního XXXX.
(3) Xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu je xxxxx zaslat x x xxxxxxxx podobě, xxxxx xxxxx v xxxxxxxxx, xxx nelze xxxxxx žádný ze xxxxxxx uvedených x xxxxxxxxxx 1 x 2.
(4) Xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx
x) identifikace xxxxxxxxxxx,
x) xxxxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx,
x) datum x čas xxxxxxxx xxxxxxxxx x
x) popis xxxxxxxxx.
ČÁST XXXXXX
XXXXXXXXX XXXXXXXX X XXXXXXXXX XXXXX
§33
Xxxxxxxxx xxxxxxxx
(1) Povinná xxxxx, xxxxx Úřad xxxxxx xxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xx xxxxxxxxxx x komunikační xxxxxx x na xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxx xxxxxxxxx účinky x
x) xxxxxxx způsob xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxx, xxxxx xxxxxxxxxxxx xxxx xxxxx xxxxxxxxx xxxxxx, x určí časový xxxx xxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx, xxxxx Xxxx xxxxxx provést xxxxxxxxx xxxxxxxx, xxxxxx xxxxxx xxxxxxxxx reaktivního xxxxxxxx x jeho xxxxxxxx ve xxxxx xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
§34
Kontaktní xxxxx
(1) Kontaktní xxxxx se Úřadu xxxxxxxx xx elektronickém xxxxxxxxx xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx xxxxxxxx
x) na xxxxxx xxxxxxxxxxxx pošty Úřadu xxxxxxx xxx příjem xxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Úřadu,
b) xx xxxxxx xxxxxxxx Xxxxx, xxxx
x) prostřednictvím xxxxxxxx xxxxxxxx, xxxxx xx xxxxxxxxx, xxxxx xxxxx xx zveřejněn xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxxxx xxxxx xx xxxxxxxxxxxxx xxxxxxxxx CERT xxxxxxxx na elektronickém xxxxxxxxx zveřejněném na xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxx xxx xxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxxxxxx na xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx xxxxxx xxxxxxxx xxxxxxxxxxxxx národního XXXX, xxxx
x) prostřednictvím internetových xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.
(3) Xxxxxxx xxxxxxxxxxx xxxxx xx možné xxxxxx i x xxxxxxxx podobě, avšak xxxxx x xxxxxxxxx, xxx xxxxx využít xxxxx xx xxxxxxx xxxxxxxxx x odstavcích 1 a 2.
(4) Xxxx xxxxxxxx kontaktních xxxxx xx xxxxxx x příloze č. 8 x xxxx vyhlášce.
(5) Xxxxxxx xxxxx uvedená x §3 písm. x) xx f) zákona, xxxxx xx provozovatelem, xxxx k xxxxxxx xxxxxxxxxxx xxxxx xxxxx xxxxxxxx 1 přikládá xxxxxxxx, xxxxxx xx xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §8 xxxx. 1 xxxx. c).
XXXX PÁTÁ
ZÁVĚREČNÁ USTANOVENÍ
§35
Přechodná xxxxxxxxxx
(1) X případě xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury a xxxxxxxxxxxxx systémů xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx xxxx určeny xxxxx xxxx xxxxxx xxxxxxxxx xxxx vyhlášky, x x xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x xxxxxxx došlo x xxxxxxxx xxxxxxxxxx kritérií xxxxx xxxx nabytí xxxxxxxxx xxxx xxxxxxxx, xx xx jednoho xxxx xxx xxx xxxxxx xxxxxxxxx této xxxxxxxx xxx obsah x strukturu bezpečnostní xxxxxxxxxxx x xxxxx x rozsah zavedených xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentech, xxxxxxxxxxx xxxxxxxxxx x x xxxxxxxxx náležitostí xxxxxx x oblasti xxxxxxxxxxxx xxxxxxxxxxx (vyhláška x xxxxxxxxxxxx xxxxxxxxxxx).
(2) X případě informačních xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxx xxxx xxxxxx xxxxx xxxx xxxxxx xxxxxxxxx této xxxxxxxx, x v xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x xxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, xx xx jednoho xxxx xxx dne nabytí xxxxxxxxx xxxx vyhlášky xxx xxxxxx xxxxxxxxx xxx, provozních xxxxx, xxxxxxxxx a xxxxxx xxxxx xxxx xxxxxxxx xxxxxxxxx.
§36
Xxxxxxxxx xxxxxxxxxx
Xxxxxxx xx xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx a x xxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx).
§37
Xxxxxxxx
Xxxx xxxxxxxx xxxxxx xxxxxxxxx dnem xxxxxxxxx.
Xxxxxxx:
Xxx. Xxxxxxxx x. x.
Příloha x. 1 x xxxxxxxx č. 82/2018 Sb.
Hodnocení xxxxx
(1) Xxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxx x xxxxx případě xxxxxxx xxxxxxxx x čtyřech xxxxxxxx a xxxxxxxx xx, xxxx dopad xx mělo narušení xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxx. Xxxxxxx xxxxx xxxx xxxxxxxx xxxxxxx xxxxx xxxxxx xxx hodnocení xxxxxxxxxxx xxxxx, než xxxx xx xxxxxx x xxxx xxxxxxx, dodrží-li xxxxxxxxxxx xxxxx mezi xxxx používaným způsobem xxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx a xxxxxxxx xxx hodnocení xxxxxxxxxxx xxxxx, xxxxx xxxx xxxxxxx x xxxx xxxxxxx.
(2) Je xxxxxxxxxx, xxx xx xxxxx povinná xxxxx xxxx dopadové xxxxxx xxxxxxxxxxxx xxxx xxxxxxxx.
Xxx. 1: Xxxxxxxx pro xxxxxxxxx důvěrnosti
|
Úroveň |
Popis |
Příklady požadavků xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxx xxxx veřejně přístupná xxxx xxxx xxxxxx xx xxxxxxxxxx. Narušení xxxxxxxxxx xxxxx neohrožuje xxxxxxxxx xxxxx xxxxxxx xxxxx. X xxxxxxx xxxxxxx xxxxxxxx xxxxxx s xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx xxx. xxxxxxx xxxxx xxxxxxxxx (xxxx jen "XXX") je xxxxxxxxx xxxxxxxx XXX:XXXXX. |
Xxxx vyžadována xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxxxx xxxxxxx přístupná x tvoří xxxx-xxx xxxxxxx osoby, xxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxxxxx. X xxxxxxx xxxxxxx xxxxxxxx xxxxxx x třetími xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx XXX xx xxxxxxxxx xxxxxxx xxxxxxxx XXX:XXXXX xxxx XXX:XXXXX. |
Xxx xxxxxxx důvěrnosti xxxx využívány xxxxxxxxxx xxx xxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx x xxxxxx xxxxxxx je xxxxxxxxxx xxxxxxxx předpisy, jinými xxxxxxxx nebo smluvními xxxxxxxxxx (xxxxxxxxx xxxxxxxx xxxxxxxxx, osobní xxxxx). X xxxxxxx sdílení xxxxxxxx xxxxxx s xxxxxxx xxxxxxxx x použití xxxxxxxxxxx xxxxx TLP xx xxxxxxxxx zejména xxxxxxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx jsou xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxx a xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx xxxx xxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Kritická |
Aktiva xxxxxx xxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxx xxx xxxxx xxxxxxxxx xxxxxxxxx (xxxxxxxxx xxxxxxxxxxx xxxxxxxx tajemství, xxxxxxxx kategorie xxxxxxxx xxxxx). X xxxxxxx xxxxxxx xxxxxxxx aktiva x xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx XXX xx využíváno xxxxxxx xxxxxxxx XXX:XXX xxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx využívány xxxxxxxxxx, xxxxx xxxxxxx xxxxxx x zaznamenávání xxxxxxxx. Xxxx xxxxxx xxxxxxx zabraňující xxxxxxxx xxxxx ze xxxxxx xxxxxxxxxxxxxx. Přenosy xxxxxxxxx xxxx chráněny pomocí xxxxxxxxxxxxxxxx prostředků. |
Xxx. 2: Stupnice pro xxxxxxxxx integrity
|
Úroveň |
Popis |
Příklady xxxxxxxxx xx ochranu aktiva |
|
Nízká |
Aktivum xxxxxxxxxx xxxxxxx z xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxx. |
Xxxx vyžadována xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx může vyžadovat xxxxxxx x xxxxxxxx xxxxxxxxx. Narušení integrity xxxxxx xxxx vést x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx osoby x xxxx xx xxxxxxxx xxxx xxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx (například xxxxxxx xxxxxxxxxxxx práv xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x hlediska integrity. Xxxxxxxx integrity aktiva xxxx k xxxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx s podstatnými xxxxxx xx xxxxxxxx xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx využívány xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx x xxxxxxxxxx xxxxxxxx osoby xxxxxxxxxxx xxxxx. Ochrana xxxxxxxxx xxxxxxxxx přenášených xxxxxxxxxxxxx xxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx prostředků. |
|
Kritická |
Aktivum xxxxxxxx xxxxxxx z xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx vede k xxxxx xxxxxxx poškození xxxxxxxxxxx zájmů xxxxxxx xxxxx x xxxxxxx x xxxxx xxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány speciální xxxxxxxxxx jednoznačné xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (xxxxxxxxx pomocí xxxxxxxxxxx xxxxxxxxxxx podpisu). |
Tab. 3: Xxxxxxxx xxx hodnocení xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx na xxxxxxx aktiva |
|
Nízká |
Narušení xxxxxxxxxxx xxxxxx xxxx xxxxxxxx x x xxxxxxx xxxxxxx xx xxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxx xxxxxxx (xxx xx 1 xxxxx). |
Xxx ochranu xxxxxxxxxxx xx postačující xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xx xxxxxx xxxxxxxxx xxxx xxxxxxxxxx dne, xxxxxxxxxxxxx výpadek xxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx využívány xxxxx xxxxxx zálohování x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx překročit xxxx xxxxxxxx xxxxx. Xxxxxxxx výpadek je xxxxx xxxxx neprodleně, xxxxxxx xxxx x xxxxxxx ohrožení xxxxxxxxxxx xxxxx povinné osoby. Xxxxxx jsou považována xx xxxxx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx xxxxxxx xxxxxxx x obnova xxxxxxxxxxx xxxxxx xxxx být xxxxxxxxx xxxxxx xxxxxxx xxxx výměnou xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxxx x x krátkodobá xxxxxxxxxxxx (x xxxx několika xxxxx) xxxx x xxxxxxx xxxxxxxx oprávněných xxxxx xxxxxxx xxxxx. Xxxxxx jsou xxxxxxxxxx xx kritická. |
Pro xxxxxxx xxxxxxxxxxx xxxx využívány xxxxxxx systémy x xxxxxx xxxxxxxxxxx xxxxxx xx krátkodobá x xxxxxxxxxxxxxx. |
Xxxxxxx č. 2 x xxxxxxxx x. 82/2018 Sb.
Hodnocení xxxxx
(1) Xxxxxxxxxxx xxxxxxxxx funkce xxx xxxxxx xxxxxx xx nezbytnou xxxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx xxxxx §5.
(2) Xxxxxxx xxxxxx xx xxxxxxxxxx xxxxxxxxx jako xxxxxx, xxxxxx xxxxxxxxx xxxxx, xxxxxx a xxxxxxxxxxxx.
(3) Xxx xxxxxxxxx xxxxx lze použít xxxxxxxxx tuto funkci:
Riziko = xxxxx x xxxxxx x xxxxxxxxxxxx.
(4) Xxxxx je x xxxxx případě odvozen x xxxxxxxxx xxxxx xxxxx přílohy č. 1.
(5) X xxxxxxx, xx xxxxxxx xxxxx využívá xxxxxx xxx xxxxxxxxx xxxxx, xxxxx nerozlišuje hodnocení xxxxxx a xxxxxxxxxxxxx, xx xxxxx xxxxxxxx xxx hodnocení xxxxxx x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx stupnic xx xxxxxx xxxx ke xxxxxx schopnosti xxxxxxxxx xxxxxx xxxxxx x xxxxxxxxxxxxx. Za xxxxx xxxxxx xxx xxxxxx xxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxx xxxxxx xxxxxx, xxx x xxxxxx xxxxxxxxxxxxx. Xxxxxxx se xxxxxxxxx x x xxxxxxxxx, xxx xxxxxxx xxxxx xxxxxxx xxxx xxxxx xxxxxx pro hodnocení xxxxxx, xxxxxx, xxxxxxxxxxxxx x xxxxx.
Xxx. 1: Xxxxxxxx pro xxxxxxxxx xxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx nebo xx málo xxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xx xxxx xxxxxxxxxxxxx xx pravděpodobná. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxxxxx xx velmi pravděpodobná. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx jistá. |
Xxx. 2: Stupnice xxx xxxxxxxxx zranitelností
|
Úroveň |
Popis |
|
Nízká |
Zranitelnost xxxxxxxxxx nebo je xxxxxxxx zranitelnosti xxxx xxxxxxxxxxxxx. Xxxx zavedena xxxxxxxxxxxx opatření, xxxxx xxxx schopna xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx xxxxxxxx xxxxxx x jejich xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx málo xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxx xxxxxxxx bezpečnostní xxxxxxxx, xxxxxxx xxxxxxxx xx xxxxxxxxxx kontrolována. Xxxxxxxxx bezpečnostních opatření xxxx xxxxxxxxx možné xxxxxxxxxxxxx xxxx případné xxxxxx o xxxxxxxxx xxxxxxxx xx xxxxxxx. Xxxxxx známé xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx opatření xxxx xxxxxxxx, xxx xxxxxx xxxxxxxx nepokrývá všechny xxxxxxxx xxxxxxx x xxxx xxxxxxxxxx xxxxxxxxxxxx. Xxxx xxxxx dílčí xxxxxxx pokusy x xxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx velmi xxxxxxxxxxxxx až xxxxxxxx xxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx nebo xx xxxxxx xxxxxxxx xxxxxx omezena. Neprobíhá xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Xxxx xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření. |
Tab. 3: Xxxxxxxx pro xxxxxxxxx xxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx xx xxxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx může xxx sníženo xxxx xxxxxxxxx opatřeními nebo x xxxxxxx vyšší xxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxx nepřípustné x xxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx je xxxxxxxxxxx x xxxx xxx neprodleně xxxxxxxx xxxxx k jeho xxxxxxxxxx. |
Xxxxxxx x. 3 x xxxxxxxx č. 82/2018 Xx.
Xxxxxxxxxxxxx a xxxxxx
Xxxxxxxxxx: Tato xxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxxx a xxxxxx. Identifikace konkrétních xxxxxxxxxxxxx x hrozeb xx xxxxxxxxxxxx povinné xxxxx.
Xxxxxxxxxxxxx
1. nedostatečná xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
2. zastaralost xxxxxxxxxxxx x komunikačního xxxxxxx,
3. xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx,
4. nedostatečné xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
5. xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
6. nevhodné xxxxxxxxx xxxxxxxxxxxx oprávnění,
7. xxxxxxxxxxxx xxxxxxx při identifikování x xxxxxxxx negativních xxxxxxxxxxxxxx xxxx, kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
8. xxxxxxxxxxxx monitorování xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx x neschopnost odhalit xxxxxx nevhodné nebo xxxxxxx xxxxxxx xxxxxxx,
9. xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxx nebo xxxxxxxxxxxxx xxxxxxxx práv x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a bezpečnostních xxxx,
10. xxxxxxxxxxxx xxxxxxx xxxxx,
11. nevhodná xxxxxxxxxxxx xxxxxxxxxxxx,
12. xxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,
13. xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx strany xxxxxxxxxxx.
Xxxxxx
1. xxxxxxxx xxxxxxxxxxxx politiky, xxxxxxxxx neoprávněných xxxxxxxx, xxxxxxxx xxxxxxxxx xx xxxxxx uživatelů x xxxxxxxxxxxxxx,
2. poškození xxxx xxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
3. xxxxxxxx xxxxxxxx,
4. xxxxxxx xxxxxxxxxxxx xxxxxxxx x rozporu x xxxxxxxxxx podmínkami,
5. xxxxxxxx kód (xxxxxxxxx xxxx, xxxxxxx, trojské xxxx),
6. narušení xxxxxxx xxxxxxxxxxx,
7. přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx elektrické xxxxxxx,
8. zneužití xxxx xxxxxxxxxxx modifikace xxxxx,
9. xxxxxx, odcizení xxxx xxxxxxxxx xxxxxx,
10. nedodržení xxxxxxxxx xxxxxxx xx xxxxxx dodavatele,
11. xxxxxxxxx xx strany zaměstnanců,
12. xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,
13. xxxxxxxxxx přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, dodávky xxxxxxxxxx xxxxxxx nebo xxxxxx xxxxxxxxxx xxxxxx,
14. nedostatek xxxxxxxxxxx x potřebnou xxxxxxxx xxxxxx,
15. cílený xxxxxxxxxxxx útok pomocí xxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxx,
16. zneužití xxxxxxxxxxxxx xxxxxxxxxxx nosičů xxx,
17. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx (odposlech, xxxxxxxxxx).
Příloha x. 4 x xxxxxxxx č. 82/2018 Sb.
Likvidace xxx
(1) Xxxx xxxxxxx udává xxxxxxxxxx správce informačního x komunikačního systému x xxxxxxxxxx způsobů xxxxxx dat x xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx informace, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx.
(2) Jednotliví xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx si xxxxxxx pravidla xxx xxxxxx dat x xxxxxxxxx technických xxxxxx xxx v xxxxxxx x touto xxxxxxxx. Xxx nejsou dotčeny xxxxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx. Xx xxxxx xxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx bezpečnostní xxxxxxxx, xxxxxx adekvátních pravidel xxx mazání dat x xxxxxxxxx technických xxxxxx xxx, xxxxxxxx x xxxxxxx x xxxxxxxxxxx xxxxx.
(3) Xxxxxxxx xxx xxxxxxxxx dat xx měla xxx xxxxxxxxx xxxxxxxxx hodnotě x xxxxxxxxxxx xxxxx x měla xx xxxxxxx zohledňovat
a) xxxxxxx xxxxxx (xxxxxxx x xxxxxxx xxxxxxxxxx),
x) xxxxxxxxxxx (xxxx x xxxxxxxx xxxxxx xxxxxxxxx),
x) xxx xx xxxxx xxxxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxxxx xx nikoliv,
d) xxx xxxx xxxx xxxxxxxx dedikovaného xxxx xxxxxxxxxxxxxxx xxxxxxxxx,
x) xxx xxxx xxxxxxxxx xxx xxxxxxxx (xxxxxxx xxxxxxxxxxx, xxxx xxxxxxxxx),
x) xxxxxxxxxx xxxxxxxx x nástrojů xxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxxx xxxxxx,
x) xxx xx x dispozici xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxxx x xxxxxxx xx xxxxxxxx, xxxxxxx, xxxxxxxx, opětovné xxxxxxx xxxxxx xxxxxxxxx
x) xxxxx xxxxxxx xxxxxxxxx dat (xxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxx, xxxxxxxxxxxxx xxx xxxxxx šifrováním x xxxxxxx),
x) xxxxxxxxxx xxxxxxx xxxxxxxxx xxx vzhledem xx xxxxx xxxxxx xxxxxxxxx (například xxx xxxxxxxxx zařízení xxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxx xxxxxxxxx, xxx xxxxxxx ze způsobů xxxxxxx xxxxxxxxx).
(4) Způsoby xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxx, xxxxxxxxxx údajů, xxxxxxxxx a xxxxxx xxxxx:
x) Xxxxxxxxxx
1. Xxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxxx dat xxx, xxx xxxx xxx xxxxxx xxxxxxxxxx (xxxxxxxxx xxxxxxxxxx xxxxxxxx souboru, xxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxx).
2. Xxx x xxxxxxx xxxxxxxx xxxxxx likvidace xxx. X xxxxxxx xxxxxxx xxxxxx informace je xxxxx s xxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxx xxxxxxx.
3. Tato xxxxxx xxxx použitelná xxx xxxxxx digitálních xxx xxxxxxxxxxxx xxxxxxxx zápis.
4. Xxxxxxxxxx xxxxxx pro xxxxxx xxxxxxxxxx aktiva (xxxxxxx x přílohy č. 1): xxxxx.
x) Xxxxxxxx
1. Způsob xxxxxxxxx spočívá v xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxx.
2. Jde x xxxxxxx bezpečný xxxxxx likvidace xxx. Xxxxx xxxxxxxx nástroje xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx.
3. Přepsání může xxx nahrazeno xxxx xxxxxxxxxxx bezpečnou xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx x xxxxxxxxxxx informaci.
4. Xxxx xxxxxx xxxx xxxxxx xxx xxxxxxxxx xxxxx, xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx, xxxxxxxx xxx xxxxx x xxxxxx xxxxxxxxx.
5. Xxxxxxxxxx xxxxxx xxx xxxxxx důvěrnosti xxxxxx (xxxxxxx z přílohy č. 1): nízká xx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx
1. Způsob xxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxx informace, xxxxxxxxx x rozebrání xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx (xxxxxxxxxxx, xxxxxxxxx xx xxxxxxxx působením).
2. Jde x xxxxxxxxxxxxxx xxxxxx xxxxxxxxx dat. Nosič xxxxxxxxx xx xxxxxxx xxxxxxxxx nelze xxxxx xxxxxx pro xxxxxxx xxxx. Xxxxxxx informace xxxx xxxxx xxxxxxx xxx xxx xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx x xxxxx.
3. Xxxxxxxxxx xxxxxx xxxxxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1): xxxxxxx xx kritická.
Příklad xxxxxxx xxxxxxx likvidace xxxxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1)
|
Xxxxxxxxx xxxxxx xxxxxxxxx xxxxx úrovně xxxxxxxxxxx xxxxxx |
|||||
|
Xxxxx xxxxxxxxx |
1. Xxxxx |
2. Xxxxxxx |
3. Xxxxxx |
4. Xxxxxxxx |
|
|
Xxxxxxxxx xx xxxxxx čitelném xxxxxx (xxxxxxx xxxxxxxxx, xxxxxxxx x podobně) |
Odstranění: Xxxxxxxx do xxxxxx. |
Xxxxxxxx: Xxxxxxxxx. |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxxx xxxxxxxxx: |
|||||
|
Xxxxxxx xxxxxxxx (xxxxxxx xxxxxxxx, xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxx zařízení (xxxxxx, xxxxxx, xxxxx x xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
|||
|
Xxxxxxxxxxx xxxxxxxx (xxxxxxx, xxxxxxxx, xxx) |
|||||
|
Xxxxxxxxxx xxxxx (xxxxxxxxxx xxxxx, xxxxx, HDD [Xxxx Xxxx Xxxxx]) |
Xxxxxxxxxx: |
Xxxxxxxx: |
|||
|
Xxxxxxx média (XX, XXX, XX-XXX, XXX-XXX) |
Xxxxxxx xxxxxxxxx: |
||||
|
Xxxxxxx xxxxxxxxx. |
|||||
|
Xxxxxxxxxxxx média (xxxxx xxxxxx) |
|||||
|
Xxxxxxxxxxx x xxxxx |
Xxxxxxxxx xxxxxx likvidace xxx xx měl být xxxxxxxx xxxxxxxx ujednáním. |
||||
|
Odstranění: |
Xxxxxxxx: |
Přepsání: |
Přepsání/fyzická xxxxxxxxx: |
||
|
Alternativně x xxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx je xxxxx xxxx po xxxxxxxx xxxxxx přepsat. |
|||||
Příloha x. 5 x vyhlášce č. 82/2018 Xx.
Xxxxx bezpečnostní xxxxxxxx a bezpečnostní xxxxxxxxxxx
1. Bezpečnostní xxxxxxxx
1.1. Xxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx
x) Xxxx, xxxxxxxx x potřeby xxxxxx xxxxxxxxxxx informací.
b) Xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx xxx řízení xxxxxxxxxxx.
x) Pravidla x xxxxxxx pro xxxxxx xxxxxx x xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Pravidla a xxxxxxx pro provádění xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxx x postupy xxx přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx informací.
g) Xxxxxxxx x postupy xxx nápravná opatření x zlepšování systému xxxxxx xxxxxxxxxxx informací.
1.2. Xxxxxxxx xxxxxx xxxxx
x) Xxxxxxxxxxxx, hodnocení x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx primárních xxxxx xxxxxx určení xxxxxx xxxxxxx,
2. xxxxxxxxx důležitosti xxxxxxxxxx aktiv x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx aktiv xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxx vazeb xxxx xxxxxxxxxx x podpůrnými xxxxxx.
x) Xxxxxxxx ochrany xxxxxxxxxxxx xxxxxx xxxxx
1. xxxxxxx rozlišování jednotlivých xxxxxx aktiv,
2. xxxxxxxx xxx manipulaci x xxxxxxxx xxxxx xxxxx xxxxxx xxxxx,
3. přípustné xxxxxxx xxxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx dat, informací, xxxxxxxxxx údajů a xxxxxx xxxxx.
1.3. Politika xxxxxxxxxxx bezpečnosti
a) Určení xxxxxxxxxxxxxx xxxx x xxxxxx práv x xxxxxxxxxx.
x) Požadavky xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx rolí.
c) Xxxxxxxxx na xxxxxxxx xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxx.
1.4. Xxxxxxxx xxxxxx dodavatelů
a) Xxxxxxxx x xxxxxxxx xxx xxxxx xxxxxxxxxx.
x) Xxxxxxxx xxx hodnocení xxxxx xxxxxxxxxxxxx x xxxxxxxxxx.
x) Xxxxxxxxxxx xxxxxxx x xxxxxx služeb a xxxxxxx x úrovní xxxxxxxxx xxxxxxxxxxxxxx opatření x x xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx.
x) Xxxxxxxx xxx provádění xxxxxxxx zavedení xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx dodavatelů.
1.5. Xxxxxxxx xxxxxxxxxxx xxxxxxxx zdrojů
a) Xxxxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxx hodnocení
1. xxxxxxx x formy xxxxxxx xxxxxxxxx,
2. xxxxxxx x xxxxx poučení garantů xxxxx,
3. xxxxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx a formy xxxxxxx xxxx zastávajících xxxxxxxxxxxx xxxx.
x) Xxxxxxxxxxxx xxxxxxx nových zaměstnanců.
c) Xxxxxxxx xxx řešení xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx změnu xxxxxxxx xxxxxx
1. xxxxxxx xxxxxxxxx xxxxx a xxxxxxxx práv při xxxxxxxx xxxxxxxxxx xxxxxx,
2. xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxx xxxxxx.
1.6. Politika xxxxxx xxxxxxx x komunikací
a) Xxxxxxxxx x odpovědnosti xxxxxxx x xxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx x xxxxxxxxx xxxxxxxxxx provozu.
d) Xxxxxxxx x xxxxxxx xxx provádění xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxxxxxxxxxxxx xxxxx.
1.7. Politika xxxxxx xxxxxxxx
x) Xxxxxxx xxxxxxxxxxx oprávnění/potřeba xxxx (xxxx xx know).
b) Xxxxxxxxx xx xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxx xxxxxxxx.
x) Řízení xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxxxxx xxx mimořádné xxxxxxx.
x) Pravidelné xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx.
1.8. Xxxxxxxx bezpečného chování xxxxxxxxx
x) Xxxxxxxx xxx xxxxxxxx xxxxxxxxx x xxxxxx.
x) Xxxxxxxx použití xxxxxxxxxxxx xxxxx.
x) Bezpečné xxxxxxx elektronické xxxxx x přístupu na xxxxxxxx.
x) Bezpečný xxxxxxxx xxxxxxx.
x) Xxxxxxxx xxxxxxx xx xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx xx xxxxxx x mobilním xxxxxxxxx.
1.9. Xxxxxxxx xxxxxxxxxx x xxxxxx x xxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxxx xx xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx.
x) Xxxxxxxx a xxxxxxx dlouhodobého xxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxxx ukládání xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx obnovy.
f) Pravidla x xxxxxxx xxxxxxxxx xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx přístupu x xxxxxxx, xxxxxxxxx xxxxxxxxxx.
1.10. Xxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxx informací
a) Xxxxxxxx x xxxxxxx xxx ochranu xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx ochrany xxxxxxxxxxxx výměny informací.
c) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx ochrany.
1.11. Xxxxxxxx xxxxxx technických xxxxxxxxxxxxx
x) Xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx vybavení.
b) Xxxxxxxx a postupy xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx testování oprav xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx nasazení xxxxx xxxxxxxxxxxx xxxxxxxx.
1.12. Xxxxxxxx bezpečného xxxxxxxxx xxxxxxxxx xxxxxxxx
x) Xxxxxxxx x postupy xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx zařízení, která xxxxxxx xxxxx nemá xx své správě.
1.13. Xxxxxxxx akvizice, xxxxxx x xxxxxx
x) Bezpečnostní xxxxxxxxx xxx xxxxxxxx, xxxxx a xxxxxx.
x) Xxxxxx zranitelností.
c) Xxxxxxxx xxxxxxxxxxx a nabývání xxxxxxx programového xxxxxxxx x xxxxxxxxx
1. xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx,
2. xxxxxxxx x xxxxxxx pro xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
1.14. Xxxxxxxx xxxxxxx xxxxxxxx xxxxx
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx osobních údajů.
b) Xxxxx přijatých a xxxxxxxxxxx xxxxxxxxxxxxx opatření xxx xxxxxxx xxxxxxxx xxxxx.
x) Popis xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
1.15. Xxxxxxxx xxxxxxx xxxxxxxxxxx
x) Xxxxxxxx xxx xxxxxxx objektů.
b) Xxxxxxxx xxx kontrolu xxxxxx xxxx.
x) Pravidla xxx xxxxxxx zařízení.
d) Xxxxxxx xxxxxxxx fyzické xxxxxxxxxxx.
1.16. Xxxxxxxx bezpečnosti xxxxxxxxxxx sítě
a) Xxxxxxxx x postupy pro xxxxxxxxx xxxxxxxxxxx sítě.
b) Xxxxxx práv x xxxxxxxxxx xx xxxxxxxx xxxxxx xxxx.
x) Pravidla x postupy xxx xxxxxx xxxxxxxx x xxxxx xxxx.
x) Pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxxxx x síti.
e) Pravidla x postupy xxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxxx xxxxxxxxxx záznamů.
1.17. Xxxxxxxx ochrany před xxxxxxxxx xxxxx
x) Pravidla x xxxxxxx pro xxxxxxx xxxxxx xxxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxx serverů x xxxxxxxxx datových xxxxxxx.
x) Xxxxxxxx x xxxxxxx pro ochranu xxxxxxxxxx xxxxxx.
1.18. Politika xxxxxxxx x xxxxxxxxx xxxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
a) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx vyhodnocování x xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx bezpečnostní události.
c) Xxxxxxxx x postupy xxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
1.19. Xxxxxxxx xxxxxxx x xxxxxx xxxxxxxx xxx xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí
a) Xxxxxxxx a xxxxxxx xxx xxxxxxxx a xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx vyhodnocení xxxxxxxxxxxxxx bezpečnostních událostí.
c) Xxxxxxxx a xxxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxx xxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
1.20. Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx
x) Xxxxxx xxxxxxx x xxxxxxx na typ x sílu kryptografického xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx
1. xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx,
2. při uložení xx xxxxxxx zařízení xxxx xxxxxxxxxxx technický xxxxx xxx.
x) Systém xxxxxx klíčů.
1.21. Xxxxxxxx xxxxxx xxxx
x) Způsob x xxxxxxxx řízení xxxxxxxxxx xxxx v xxxxx povinné osoby, xxxxxx procesech, xxxxxxxxxxxx x xxxxxxxxxxxxx systémech.
b) Xxxxxxxxxxxxx xxxxxx xxxxxxxxxx xxxx.
x) Xxxxxx xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxx změn.
1.22. Xxxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
x) Definování xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu.
b) Xxxxxxxx x xxxxxxx xxx identifikaci, xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů x xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxx.
1.23. Xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx
x) Xxxxx x xxxxxxxxxx zúčastněných xxxx.
x) Xxxx xxxxxx xxxxxxxxxx xxxxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx služeb,
2. xxxx xxxxxxxx chodu,
3. xxx xxxxxxxx xxx.
x) Xxxxxxxx řízení xxxxxxxxxx xxxxxxxx pro naplnění xxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx na xxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxxx xxxxx.
x) Xxxxxx x xxxxx potřebných xxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxx.
x) Postupy xxx realizaci xxxxxxxx xxxxxxxx Xxxxxx.
2. Xxxxx xxxxxxxxxxxx xxxxxxxxxxx
2.1. Xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) Xxxx auditu xxxxxxxxxxxx bezpečnosti.
b) Xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx auditu kybernetické xxxxxxxxxxx.
x) Identifikování xxxx xxxxxxxx a xxxx, xxxxx se xxxxxx xxxxxxxxxxxx xxxxxxxxxxx zúčastnily.
e) Xxxxx x xxxxx, xxx byly xxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti.
f) Zjištění x xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
2.2. Zpráva x přezkoumání xxxxxxx xxxxxx bezpečnosti xxxxxxxxx
x) Xxxxxxxxxxx xxxxxxxx z xxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.
b) Xxxxxxxxxxxx xxxx x xxxxxxxxx, xxxxx xxxxx xxx xxxx na xxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Zpětná vazba x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x xxxxxxxx opatření,
2. xxxxxxxx monitorování a xxxxxx,
3. xxxxxxxx xxxxxx,
4. xxxxxxxx cílů systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxx xxxxx x xxxx xxxxx xxxxxxxx xxxxx.
x) Identifikace xxxxxxxx xxx xxxxxxxx xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, stanovení xxxxxxxx x xxxx zajišťujících xxxxx xxxxxxxxxxxx xxxxxxxx.
2.3. Xxxxxxxx xxx xxxxxxxxxxxx x hodnocení aktiv x xxx xxxxxxxxx xxxxx
x) Xxxxxx stupnice xxx xxxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxx,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní dostupnosti xxxxx.
x) Xxxxxx xxxxxxxx xxx hodnocení rizik
1. xxxxxx xxxxxxxx pro xxxxxxxxx úrovní xxxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx zranitelnosti,
4. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxx.
x) Xxxxxx x xxxxxxxx xxx xxxxxxxx rizik.
d) Xxxxxxx schvalování xxxxxxxxxxxxxxxx xxxxx.
2.4. Zpráva x xxxxxxxxx xxxxx x xxxxx
x) Xxxxxxx primárních xxxxx
1. identifikace a xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. hodnocení primárních xxxxx x hlediska xxxxxxxxxx, integrity a xxxxxxxxxxx.
x) Přehled podpůrných xxxxx
1. identifikace x xxxxx xxxxxxxxxx aktiv,
2. xxxxxx garantů xxxxxxxxxx xxxxx,
3. xxxxxx vazeb xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.
x) Xxxxxxxxx xxxxx
1. xxxxxxxxx xxxxxxx xxxxxx na xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx existujících opatření,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx této úrovně x kritérii xxx xxxxxxxxxxxxxxxx xxxxx,
5. určení x xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx.
x) Xxxxxxxx rizik
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. xxxxx xxxxxxxx x xxxxxx realizace.
2.5. Xxxxxxxxxx x xxxxxxxxxxxxxxxx
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx požadovaných touto xxxxxxxxx xxxxxx xxxxxxxxxx, xxxx xxxxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx bezpečnostních xxxxxxxx xxxxxx způsobu xxxxxx implementace.
2.6. Xxxx xxxxxxxx xxxxx
x) Xxxxx x cíle vybraných xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx včetně xxxxx xx xxxxxxxxx xxxxxx.
x) Xxxxxxxx zdroje xxx jednotlivá xxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxx xxxxxxxxx bezpečnostních opatření.
f) Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx zvládání xxxxx.
2.7. Plán xxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Obsah x termíny xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Přehledy, xxxxx xxxxxxxx xxxxxxx jednotlivých xxxxxxx x seznam xxxx, xxxxx školení xxxxxxxxxxx.
x) Xxxxx x xxxxxxx xxxxxxxxx plánu.
2.8. Xxxxxxxx změn
a) Xxxxxxxx xxxxxxxxx xxxxx významných xxxx.
x) Xxxxxxx x xxxxxxx konfigurace podpůrných xxxxx.
2.9. Hlášené kontaktní xxxxx
Xxxxxxx xxxxxxxxx kontaktních xxxxx.
2.10. Přehled xxxxxx xxxxxxxxx xxxxxxxx předpisů, xxxxxxxxx xxxxxxxx x xxxxxx předpisů a xxxxxxxxx xxxxxxx
x) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
x) Xxxxxxx vnitřních xxxxxxxx a xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxx.
2.11. Další doporučená xxxxxxxxxxx
x) Xxxxxxxxx xxxxxxxxxxxxxx.
x) Xxxxxxx síťových zařízení.
Xxxxxxx č. 6 x xxxxxxxx x. 82/2018 Sb.
Výbor xxx xxxxxx kybernetické xxxxxxxxxxx x bezpečnostní xxxx
Xxxx xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxx xxxx xxxxxxx x §6 x 7.
Xxx. 1: Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxx pro xxxxxx xxxxxxxxxxxx bezpečnosti |
|
Klíčové činnosti: |
a) Xxxxxxxxxxx xx xxxxxxx xxxxxx a xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxx xxxxxxx xxxxx. |
|
Další xxxxxxxx: |
x) Xxxx xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx alespoň |
Xxx. 2: Manažer xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx činnosti: |
a) Xxxxxxxxxxx xx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx. |
|
Znalosti: |
a) Xxxxx xxxx ISO/IEC 27000 x xxxxxxx xxxxx x xxxxxxx xxxxxxxxxxx a ICT. |
|
Xxxxxxxxxx: |
x) Prosazování xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx x xxxxx xxxxxxxxxx nebo kybernetické xxxxxxxxxxx, nebo |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Information Xxxxxxxx Xxxxxxx (XXXX), Xxxxxxxxx xx Xxxx and Xxxxxxxxxxx Systems Xxxxxxx (XXXXX), Certified Xxxxxxxxxxx Xxxxxxx Xxxxxxxx Xxxxxxxxxxxx (XXXXX), Xxxxxxx XX (xxxxxxxxxxx schéma ČIA). |
|
Další xxxxxxxx: |
x) Xxxx není xxxxxxxxxx s rolemi xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x x xxxxxxx xxxxxxxxxx xx xxxxxxxx xxxxxx. |
Xxx. 3: Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxxxx xxxxxxxxxxxx bezpečnosti |
|
Klíčové xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxxxx: |
x) Architektura xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxx xxxxxxxxxx. |
|
Zkušenosti: |
a) Xxxxxxxxxx implementace xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx a xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx x oboru xxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxxxxx, nebo |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Ethical Xxxxxx (XXX), XxxxXXX Xxxxxxxx +, Certified Xxxxxxxxxxx Xxxxxxxx Manager (CISM), Xxxxxxxxx in Risk xxx Xxxxxxxxxxx Systems Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Systems Xxxxxxxx Xxxxxxxxxxxx (XXXXX), Manažer XX (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
Xxxx xxxx xxxxxxxxxx s rolemi xxxxxxxxxxx xx provoz xxxxxxxxxxxx x komunikačních xxxxxxx. |
Xxx. 4: Auditor xxxxxxxxxxxx bezpečnosti
|
Role: |
Auditor kybernetické xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
Xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti. |
|
Znalosti: |
a) Metodologie x rámce xxxxxx xxxxxxxxxx bezpečnosti. |
|
Zkušenosti: |
a) Xxxxxxxxx xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx x xxxxxxx xxxxxx informační xxxx xxxxxxxxxxxx xxxxxxxxxxx, nebo |
|
Relevantní certifikace*: |
Certified Xxxxxxxxxxx Systems Xxxxxxx (XXXX), Certified Xxxxxxxx Xxxxxxx (XXX), Xxxxxxxxx xx Xxxx xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Xxxx Auditor Xxxxxxxxxxx Xxxxxxxx Management Xxxxxx (Lead Xxxxxxx XXXX), Xxxxxxx XX (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
x) Xxxx není xxxxxxxxxx x rolemi |
Tab. 5: Xxxxxx xxxxxx
|
Xxxx: |
Xxxxxx xxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxxxxx xxxxxxx, xxxxxxx x xxxxxxxxxxx aktiva. |
|
Xxxxxxxx: |
x) Xxxxx xxxxxxx xxxxxx, xxxxx xx xxxxxxxx. |
* Xxxxxxxxxxx xxxx být x xxxx xxx xxxxxxx, jestliže xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx způsobilost xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx ISO 17 024.
Xxxxxxx č. 7 x vyhlášce x. 82/2018 Xx.
Xxxxxx xxxxxxxxxx - bezpečnostní opatření xxx xxxxxxx vztahy
Obsah xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx:
x) ustanovení x xxxxxxxxxxx informací (x xxxxxxx důvěrnosti, xxxxxxxxxxx x integrity),
b) xxxxxxxxxx x xxxxxxxxx xxxxxx xxxx,
x) xxxxxxxxxx x autorství xxxxxxxxxxxx xxxx, xxxxxxxxx x xxxxxxxxxxxx licencích,
d) xxxxxxxxxx x kontrole x xxxxxx xxxxxxxxxx (xxxxxxxx xxxxxxxxxxxx xxxxxx),
x) ustanovení xxxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxx xxxx xxx xxxxxxxxx, xx xxxxxxxxxxxxx xx xxxxxx xxxxxxxxx x xxxxx xxxxxxx xxxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxxxx x xxxxxxx v xxxxxxx s xxxxxxxxx xxxxxxx xxxxx na xxxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx povinné xxxxx xxxx xxxxxxxxxx x odsouhlasení bezpečnostních xxxxxxx xxxxxxxxxx povinnou xxxxxx,
x) xxxxxxxxxx x xxxxxx změn,
h) xxxxxxxxxx x xxxxxxx xxxxx x obecně závaznými xxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx osobu x
1. xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx souvisejících x xxxxxxx xxxxxxx,
2. způsobu xxxxxx xxxxx xx xxxxxx xxxxxxxxxx x x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx x plněním xxxxxxx,
3. xxxxxxxx xxxxx xxxxxxxx tohoto xxxxxxxxxx xxxxx zákona x xxxxxxxxxx korporacích xxxx xxxxx vlastnictví xxxxxxxxx xxxxx, popřípadě změně xxxxxxxxx xxxxxxxx x xxxxxx xxxxxx, xxxxxxxxxxx xxxxx xxxxxxxxxxx x xxxxxx xxxxx xxxxxxx xx správcem,
j) xxxxxxxxxxx xxxxxxxx z xxxxxxx xxxxxxxxxxx xxx xxxxxxxx xxxxxxx (xxxxxxxxx xxxxxxxxx xxxxxx xxx ukončení xxxxxxxxxx, kdy xx xxxxx ještě xxxxxxxx xxxxxx před nasazením xxxxxx řešení, xxxxxxx xxx x podobně),
k) xxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxx xxxxxxxx x xxxxxxxxxxx x xxxxxxxxxx (xxxxxxxxx xxxxxxxx xxxxxxxxxx do havarijních xxxxx, úkoly xxxxxxxxxx xxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx),
x) specifikace xxxxxxxx xxx formát xxxxxxx xxx, provozních xxxxx x xxxxxxxxx xx xxxxxxxx xxxxxxxx,
x) xxxxxxxx xxx likvidaci xxx,
x) xxxxxxxxxx x xxxxx jednostranně xxxxxxxxx xx xxxxxxx v xxxxxxx xxxxxxxx xxxxx xxxxxxxx xxx xxxxxxxxxxx xxxx xxxxx kontroly xxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxx smlouvy x
x) xxxxxxxxxx x xxxxxxxx xx xxxxxxxx xxxxxxxxxx.
Příloha x. 8 x vyhlášce č. 82/2018 Xx.
Xxxx Xxxxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxx
Informace
Právní xxxxxxx x. 82/2018 Sb. xxxxx xxxxxxxxx xxxx 28.5.2018.
Xx xxx xxxxxxxx xxxxxx xxxxxxx xxxxx měněn xx xxxxxxxxx.
Xxxxxx xxxxxxx x. 82/2018 Xx. xxx xxxxxx xxxxxxx xxxxxxxxx č. 264/2025 Sb. x xxxxxxxxx od 1.11.2025.
Znění xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx právních xxxxxxxx x xxxxxxxx není xxxxxxxxxxxxx, pokud xx xxxx xxxxxx derogační xxxxx xxxxx uvedeného xxxxxxxx xxxxxxxx.
1) Směrnice Evropského xxxxxxxxxx a Rady (XX) 2016/1148 xx xxx 6. xxxxxxxx 2016 x opatřeních x zajištění xxxxxx xxxxxxxx úrovně xxxxxxxxxxx xxxx a xxxxxxxxxxxx xxxxxxx v Unii.