Právní předpis byl sestaven k datu 26.07.2025.
Zobrazené znění právního předpisu je účinné od 28.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
82/2018 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení aktiv §4
Řízení rizik §5
Organizační bezpečnost §6
Bezpečnostní role §7
Řízení dodavatelů §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení změn §11
Řízení přístupu §12
Akvizice, vývoj a údržba §13
Zvládání kybernetických bezpečnostních událostí a incidentů §14
Řízení kontinuity činností §15
Audit kybernetické bezpečnosti §16
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §17
Bezpečnost komunikačních sítí §18
Správa a ověřování identit §19
Řízení přístupových oprávnění §20
Ochrana před škodlivým kódem §21
Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů §22
Detekce kybernetických bezpečnostních událostí §23
Sběr a vyhodnocování kybernetických bezpečnostních událostí §24
Aplikační bezpečnost §25
Kryptografické prostředky §26
Zajišťování úrovně dostupnosti informací §27
Průmyslové, řídicí a obdobné specifické systémy §28
Digitální služby §29
HLAVA III - BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní politika a bezpečnostní dokumentace §30
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Kategorizace kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ZÁVĚREČNÁ USTANOVENÍ
Přechodná ustanovení §35
Zrušovací ustanovení §36
Účinnost §37
Příloha č. 1 - Hodnocení aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Zranitelnosti a hrozby
Příloha č. 4 - Likvidace dat
Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace
Příloha č. 6 - Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role
Příloha č. 7 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy
Příloha č. 8 - Vzor Formuláře pro hlášení kontaktních údajů
82
XXXXXXXX
xx xxx 21. xxxxxx 2018
x bezpečnostních xxxxxxxxxx, kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx, reaktivních opatřeních, xxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxx (xxxxxxxx o xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx xxxx pro xxxxxxxxxxxxx a informační xxxxxxxxxx stanoví xxxxx §28 xxxx. 2 xxxx. a) až x) x f) xxxxxx x. 181/2014 Xx., x xxxxxxxxxxxx xxxxxxxxxxx a x xxxxx souvisejících xxxxxx (xxxxx o xxxxxxxxxxxx xxxxxxxxxxx), xx xxxxx xxxxxx x. 104/2017 Xx. x xxxxxx x. 205/2017 Xx., (xxxx jen "zákon"):
XXXX XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx předpis Xxxxxxxx xxxx1) x pro xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikační xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, významný xxxxxxxxxx xxxxxx, informační xxxxxx xxxxxxxx xxxxxx xxxxx xxxxxxxxxx xxxxxx xxxx xxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, (xxxx xxx "informační a xxxxxxxxxxx systém") xxxxxxxx
x) xxxxx a xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxx x rozsah bezpečnostních xxxxxxxx,
x) xxxx, xxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních incidentů,
d) xxxxxxxxxxx x způsob xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx a jeho xxxxxxxx,
x) vzor oznámení xxxxxxxxxxx xxxxx a xxxx xxxxx x
x) xxxxxx xxxxxxxxx xxx, xxxxxxxxxx údajů, xxxxxxxxx x jejich xxxxx.
§2
Xxxxxxxx xxxxx
Xxx xxxxx xxxx xxxxxxxx xx xxxxxx
x) administrátorem xxxxx xxxxxxxxxxx xxxxxx, provoz, xxxxxxx, údržbu a xxxxxxxxxx technického xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxx riziko, xxxxx je přijatelné xxx xxxxx xxxx xxxxx, xxxxx xxxx xxxxxxx xxxxxx bezpečnostní xxxxxxxx xxxxx xxxxxx, (xxxx jen "povinná xxxxx") x xxxx xxxxx jej zvládat xxxxxx xxxxxxx bezpečnostních xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxx xxxxxx zásad x xxxxxxxx, xxxxx určují xxxxxx zajištění ochrany xxxxx,
x) xxxxxxxxxx xxxxx xxxxxxx xxxxxx identifikace, xxxxxxx x xxxxxxxxxxx xxxxx,
x) hrozbou potenciální xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxx kybernetického xxxxxxxxxxxxxx incidentu, xxxxx xxxx způsobit xxxxx,
x) xxxxxxxxx aktivem xxxxxxxxx xxxxxxx, xxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxx xx xx xxxxxxx, rozvoji, xxxxxx nebo bezpečnosti xxxxxxxxxxxx a komunikačního xxxxxxx,
x) xxxxxxxxx aktivem xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxxx nebo xxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxx, xx určitá xxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxx a xxxxxxx xxxxx,
x) xxxxxxx xxxxx xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx, xxxxx a xxxxxxxx xxxxxxxx ke xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx o riziku x xxxxxxxxx a xxxxxxxxxxx xxxxx,
x) xxxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx systému xxxxxx xxxxxxx osoby xxxxxxxx xx přístupu k xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému, xxxxx xxxxxxx xxxxxx xxxxxxxx, xxxxxxxx, xxxxxxxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx informací x dat,
k) xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x xxxxxxx, xx xxxxxxx xxxx xxxx xxxxxxx xxxxxxxx, xxxxxxx selhání xxxx xxx xxxxx xx xxxxxxxxxx a komunikační xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx právnická osoba xxxxx xxxxx veřejné xxxx, xxxxx xxxxxxxxx xxxxxx,
x) vrcholovým vedením xxxxx nebo xxxxxxx xxxx, xxxxx xxxx xxxxxxxx xxxxx, xxxx xxxxxxxxxx orgán xxxxxxx xxxxx,
x) významným xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx (xxxx xxx "xxxxxxxxxxxx") a xxxxx, xxx x xxxxxxxx xxxxxx vstupuje xx xxxxxxxx vztahu, xxxxx xx významný x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxx změnou xxxxx, xxxxx xx xxxx xxxx xxx xxxx xx kybernetickou xxxxxxxxxx x xxxxxxxxxxx xxxxxx xxxxxx,
x) xxxxxxxxxxxxx xxxxx xxxxx aktiva xxxx slabé xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxx xxxxxxxx xxxxxx nebo více xxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx řízení xxxxxxxxxxx xxxxxxxxx
Xxxxxxx osoba x rámci xxxxxxx xxxxxx xxxxxxxxxxx informací
a) xxxxxxx x xxxxxxx xx xxxxxxxxx dotčených xxxxx x xxxxxxxxxxx xxxxxxxxxx rozsah systému xxxxxx bezpečnosti informací, xx xxxxxx určí xxxxxxxxxxx xxxxx x xxxxxx, xxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx,
x) stanoví xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxx xxxxxxxxx rozsah xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxxxxx cílů xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, bezpečnostních potřeb x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx bezpečnostní xxxxxxxx,
x) řídí rizika xxxxx §5,
x) vytvoří x xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x povinnosti xx xxxxxx x řízení xxxxxxxxxxx xxxxxxxxx, a xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxx oblastech xxxxx §30 a xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxx a komunikačního xxxxxxx (dále xxx "xxxxx xxxxxxxxxxxx bezpečnosti") xxxxx §16,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxxx účinnosti xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx stavu systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx revize xxxxxxxxx xxxxx, xxxxxxxxx výsledků xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx informací,
h) xxxxxxxx xxxxxxxxxxxx a xxxxxxxx xxxxx §11 xxxx xxxxxxxx xxxxx, které xxxxx do rozsahu xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxxxx systém xxxxxx xxxxxxxxxxx xxxxxxxxx x příslušnou xxxxxxxxxxx xx základě xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx vyhodnocení xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a x xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxxx a
j) xxxx provoz x xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx spojené xx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx.
§4
Xxxxxx aktiv
(1) Povinná xxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx pro identifikaci xxxxx,
x) xxxxxxx xxxxxxxx xxx hodnocení aktiv xxxxxxx v xxxxxxx xxxxxxxx v příloze č. 1 x xxxx xxxxxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxx,
x) určí x xxxxxxx xxxxxxx aktiv,
e) xxxxxxx a eviduje xxxxxxxx xxxxxx z xxxxxxxx xxxxxxxxxx, integrity x dostupnosti x xxxxxx xx xx xxxxxxxxxxxx xxxxxx xxxxx xxxxxxx x),
x) xxxx x eviduje vazby xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxx závislostí xxxx xxxxxxxxxx a xxxxxxxxxx aktivy,
g) xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxx xxxxxx zejména xxxxxxxx závislosti xxxxx xxxxxxx x),
x) na xxxxxxx hodnocení xxxxx xxxxxxxxx a xxxxxx xxxxxxxx xxxxxxx xxxxx xxx xxxxxxxxxxx jednotlivých xxxxxx aktiv,
i) xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx xxx manipulaci x xxxxxx x xxxxxxx xx úroveň xxxxx, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx sdílení x xxxxxxx xxxxxxxxx xxxxx, a
j) xxxx xxxxxx likvidace xxx, xxxxxxxxxx xxxxx, informací x jejich xxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxx s xxxxxxx na xxxxxx xxxxx x souladu x přílohou č. 4 x xxxx vyhlášce.
(2) Xxx xxxxxxxxx xxxxxxxxxxx primárních xxxxx xx xxxxx xxxxxxxx xxxxxxx
x) xxxxxx x důležitost xxxxxxxx xxxxx, zvláštních xxxxxxxxx xxxxxxxx xxxxx nebo xxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxx xxxxxxxx povinností xxxx xxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx a xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx veřejných, xxxxxxxxxx nebo ekonomických xxxxx x možné xxxxxxxx xxxxxx,
x) dopady xx xxxxxxxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx,
x) xxxxxx xx zachování xxxxxxx xxxxx xxxx xxxxxxx xxxxx xxxxxxx,
x) dopady xx xxxxxxxxxx x xxxxxx xxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx x
x) xxxxxx na xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému.
§5
Xxxxxx xxxxx
(1) Xxxxxxx xxxxx v xxxxx xxxxxx xxxxx x xxxxxxxxxx xx §4
x) xxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx, xxxxxx xxxxxxxxx kritérií xxx xxxxxxxxxxxxxxxx xxxxx,
x) s xxxxxxx na xxxxxx xxxxxxxxxxxx relevantní xxxxxx x xxxxxxxxxxxxx; přitom xxxxxxx xxxxxxx xxxxxxxxx xxxxxx x zranitelností xxxxxxxxx x příloze č. 3 x xxxx xxxxxxxx,
x) xxxxxxx hodnocení xxxxx x pravidelných xxxxxxxxxxx xxxxx odstavce 2 x xxx významných xxxxxxx,
x) xxx hodnocení xxxxx xxxxxxxx xxxxxxxxxx xxxxxx a zranitelnosti x posoudí možné xxxxxx xx xxxxxx; xxxx xxxxxx xxxxxxx xxxxxxx x xxxxxxx přílohy č. 2 x této xxxxxxxx,
x) xxxxxxxx zprávu x hodnocení xxxxx,
x) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx, xxxxx
1. xxxxxx aplikována, xxxxxx xxxxxxxxxx,
2. byla xxxxxxxxxx, xxxxxx způsobu xxxxxx,
x) xxxxxxxx x zavede xxxx xxxxxxxx xxxxx, xxxxx xxxxxxxx cíle x xxxxxxx bezpečnostních xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxx, určení xxxxx zajišťující xxxxxxxxxxx xxxxxxxxxxxxxx opatření pro xxxxxxxx xxxxx, potřebné xxxxxxxx, xxxxxxxxx, xxxxxx x informační xxxxxx, xxxxxx xxxxxx xxxxxxxx, xxxxx vazeb xxxx xxxxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxx xxxxxxxxx bezpečnostních xxxxxxxx,
x) xxx xxxxxxxxx xxxxx a x xxxxx xxxxxxxx xxxxx xxxxxxxx
1. xxxxxxxx změny,
2. xxxxx rozsahu xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
3. xxxxxxxx xxxxx §11 xxxxxx x
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxx řešených, a
i) x xxxxxxx s xxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxxxxxx opatření.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x x) zákona xxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxx a xxxxxxx xxxxx xxxxxxx x §3 písm. x) xxxxxx xxxxxxx xxxxxx xx xxx xxxx.
(3) Řízení xxxxx xxxx xxx zajištěno x xxxxxx xxxxxxx, xxx xxx je xxxxxxxxx x xxxxxxxx 1 xxxx. x), xxxxx xxxxxxx osoba xxxxxxxxx, že xxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxx xxxxx xxxxxx xxxxxxx řízení xxxxx.
§6
Xxxxxxxxxxx xxxxxxxxxx
(1) Xxxxxxx xxxxx x xxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx §3 slučitelných xx xxxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx xxx systém xxxxxx xxxxxxxxxxx informací,
d) xxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxx xxxxx x jeho požadavky xx xxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací,
f) vede xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a xxxxxxxxx xx při xxxxx xxxxxxxxx,
x) prosazuje xxxxxxxx xxxxxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx při xxxxxxxxxxx kybernetické bezpečnosti x xxxxxxxxx xxxxxx xxxxxxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx x xxxx, xxxxx xxxxx zastávat xxxxxxxxxxxx xxxx,
x) zajistí, xxx xxxx zachována xxxxxxxxxxx administrátorů a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) pro osoby xxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxx příslušné xxxxxxxxx x xxxxxx včetně xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx xxxx x xxxxxx souvisejících xxxxx x
x) zajistí xxxxxxxxx plánů kontinuity xxxxxxxx, xxxxxx a xxxxxxx xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
(2) Povinná osoba x xxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx složení výboru xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxx x xxxxxx xxxxx a xxxxxxxxxx xxxxxxxxxxx xx systémem xxxxxx xxxxxxxxxxx xxxxxxxxx.
(3) Xxxxxxx xxxxx xxxxxxx x §3 písm. x), d) x x) xxxxxx xxxx xxxxx, která xxxx xxxxxxxx xxxxxxxxxxxx xxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx aktiva a
d) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxx xxxxx uvedená x §3 xxxx. x) xxxxxx xxxx xxxx manažera xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxx. Xxxxxxx xxxxxxxxxxxx xxxx xxxxx odstavce 3 xxxx přiměřeně xxxxxxxx x rozsahu x xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(5) Xxxxxxx osoba xxxxxxx x §3 xxxx. x), x) x x) zákona xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx x odstavci 3 xxxx. a) x x).
(6) Povinná xxxxx xxxxxxx v §3 písm. x) xxxxxx zajistí xxxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxxxx bezpečnosti.
(7) Xxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxx xxxxxxx s příslušnými xxxxxxxxxxx a xxxxxxxx xxxxxxxxxxxx pro celkové xxxxxx x xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx se xxxxxxxxxxxx xx xxxxxx x xxxxxxxxxx činností spojených x kybernetickou xxxxxxxxxxx, xxxxx členem xxxx xxx xxxxxxx jeden xxxxxxxx xxxxxxxxxxx vedení xxxx xxx xxxxxxxx xxxxx x manažer xxxxxxxxxxxx xxxxxxxxxxx. Povinná xxxxx u výboru xxx xxxxxx kybernetické xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx uvedeným x příloze č. 6 x této xxxxxxxx.
§7
Bezpečnostní xxxx
(1) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) je xxxxxxxxxxxx role xxxxxxxxx xx xxxxxx řízení xxxxxxxxxxx informací, přičemž xxxxxxx xxxx role xxxx xxx xxxxxxxx xxxxx, xxxxx je xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx s xxxxxxx xxxxxxxxxxx informací
1. xx xxxx nejméně xxx xxx, xxxx
2. xx xxxx xxxxxxx xxxx, xxxxx absolvovala xxxxxxx xx xxxxxx xxxxx,
x) xxxxxxxx za xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxx x
1. činnostech xxxxxxxxxxxxx x xxxxxxx xxxx xxxxxxxxxxxx x
2. xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x
x) xxxxx xxx pověřen xxxxxxx rolí odpovědných xx provoz xxxxxxxxxxxx x xxxxxxxxxxxxx systému.
(2) Xxxxxxxxx kybernetické bezpečnosti xx bezpečnostní xxxx xxxxxxxxx za xxxxxxxxx xxxxxx implementace xxxxxxxxxxxxxx xxxxxxxx xxx, xxx xxxx xxxxxxxxx bezpečná xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, přičemž xxxxxxx této role xxxx xxx xxxxxxxx xxxxx, xxxxx je xxx xxxx činnost xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x navrhováním implementace xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxxx bezpečnosti
a) xx xxxx xxxxxxx xxx xxx, xxxx
x) xx xxxx xxxxxxx xxxx, xxxxx xxxxxxxxxxx xxxxxxx xx vysoké xxxxx.
(3) Garant xxxxxx xx xxxxxxxxxxxx xxxx xxxxxxxxx xx xxxxxxxxx xxxxxxx, použití a xxxxxxxxxx xxxxxx.
(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxxxxxxxxxx role xxxxxxxxx xx xxxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx této xxxx xxxx xxx xxxxxxxx xxxxx, která je xxx tuto činnost xxxxxxxxx a prokáže xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxx xxxxxxx řízení xxxxxxxxxxx informací
1. xx xxxx nejméně tří xxx, xxxx
2. po xxxx xxxxxxx roku, xxxxx xxxxxxxxxxx xxxxxxx xx xxxxxx xxxxx,
x) xxxxxxxx, xx xxxxxxxxx xxxxxx kybernetické bezpečnosti xx xxxxxxxxx, a
c) xxxxx xxx xxxxxxx xxxxxxx jiných xxxxxxxxxxxxxx xxxx.
(5) Xxxxxxx xxxxx xxx určování xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxx x doporučením xxxxxxxx x příloze č. 6 x této xxxxxxxx.
§8
Řízení dodavatelů
(1) Xxxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxx, která xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxx svých xxxxxxxxxx xxxxxxxxxx,
x) prokazatelně xxxxxxx xxxxxxxxx své xxxxxxxx xxxxxxxxxx x xxxxxx evidenci podle xxxxxxx b),
d) seznamuje xxx xxxxxxxxxx x xxxxxxxx podle písmene x) a xxxxxxxx xxxxxx těchto xxxxxxxx,
x) xxxx xxxxxx spojená x xxxxxxxxxx,
x) v xxxxxxxxxxx x xxxxxxx xxxxx spojených x xxxxxxxxxx dodavateli xxxxxxx, xxx smlouvy uzavírané x významnými xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx v příloze č. 7 x xxxx vyhlášce, x
x) xxxxxxxxxx přezkoumává xxxxxx smluv s xxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.
(2) Xxxxxxx xxxxx x významných xxxxxxxxxx xxxx
x) x xxxxx xxxxxxxxxx řízení x xxxx xxxxxxxxx xxxxxxx xxxxxxx hodnocení xxxxx souvisejících x xxxxxxx xxxxxxxx výběrového xxxxxx xxxxxxxxx podle přílohy č. 2 k xxxx xxxxxxxx,
x) v xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxx bezpečnostních xxxxxxxx a xxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) provádí xxxxxxxxxx xxxxxxxxx xxxxx a xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx u xxxxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxx zdrojů xxxx xxxxxx xxxxx xxxxxx x
x) x xxxxxx xx rizika x xxxxxxxx nedostatky xxxxxxx xxxxxx řešení.
(3) Xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 1 písm. x) xxxx
x) xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
c) xxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx,
x) vyrozumění x xxxxxxxxxxx, že xxxxxxxxx xx pro xxxxxxx xxxxxxxxx xxxxxxxxxxx, x xxxxxxxxx xxxx x xxx, že xxxxxxxx dodavatel je xxxxxxx xxxxxxxxxxxxxx, a
e) xxxxx pravidel xxxxx xxxxxxxx 1 xxxx. x).
(4) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. x) až x) zákona, xxxxx xx xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 1 xxxx. x), xxxxx xxxxxxxxx údaje xxxxxx xxxxxxxx x §34.
§9
Bezpečnost xxxxxxxx xxxxxx
(1) Xxxxxxx xxxxx v xxxxx xxxxxx bezpečnosti xxxxxxxx zdrojů
a) s xxxxxxx na stav x xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxxxx xxxx rozvoje xxxxxxxxxxxxxx povědomí, xxxxx xxxxx xx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx xxxxx, xxxxx x xxxxxx
1. xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxx o jejich xxxxxxxxxxxx a o xxxxxxxxxxxx politice x
2. xxxxxxxxxx teoretických x xxxxxxxxxxx školení xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role,
b) xxxx xxxxx xxxxxxxxx xx realizaci xxxxxxxxxxxx xxxxxxxx, xxxxx jsou x xxxxx uvedeny,
c) x xxxxxxx s xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxx o xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx politice xxxxxx vstupních x xxxxxxxxxxxx xxxxxxx,
x) xxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxx x xxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx, xxxxxxx vychází z xxxxxxxxxx xxxxxx povinné xxxxx v xxxxxxx xxxxxxxxxxxx bezpečnosti,
e) v xxxxxxx s xxxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx x xxxxxxx x jejich xxxxxxxx xxxxxx,
x) zajistí xxxxxxxx dodržování xxxxxxxxxxxx xxxxxxxx xx strany xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) x xxxxxxx xxxxxxxx xxxxxxxxx vztahu x xxxxxxxxxxxxxx x xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx zajistí xxxxxxx xxxxxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx xxxxxxx bezpečnostního xxxxxxxx, provedených školení x dalších xxxxxxxx xxxxxxxxx xx zlepšováním xxxxxxxxxxxxxx povědomí x
x) xxxx xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxx porušení xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Xxxxxxx xxxxx xxxx x xxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
§10
Xxxxxx provozu x xxxxxxxxxx
(1) Povinná osoba x rámci xxxxxx xxxxxxx a xxxxxxxxxx xxxxxxxxx xxxxxxxx provoz xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx, xxxxx obsahují xxxxxxx
x) xxxxx x xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx role,
b) postupy xxx xxxxxxxx x xxxxxxxx xxxxx xxxxxxx, xxx xxxxxxx nebo xxxxxxxx xxxxx xxxxxxx xx selhání x xxx xxxxxxxx xxxxxxxxx xxxxx xxxx mimořádných xxxx,
x) xxxxxxx pro xxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxx xxxxxxx xxxxxxxx x xxxxxxxx x xxxxxx xxxxxxxxxx,
x) xxxxxxxx x xxxxxxx pro xxxxxxx xxxx xxxxxxxxx xxxxx,
x) xxxxxx technických xxxxxxxxxxxxx,
x) xxxxxxx na xxxxxxxxx osoby, které xxxx xxxxxxxx výkonem xxxxxxxxx x xxxxxxxxx xxxxxxx,
x) postupy xxxxxx x schvalování xxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxxx, xxxxxxxxx x xxxxxx kapacity xxxxxxxx x technických xxxxxx,
x) xxxxxxxx a postupy xxx xxxxxxx xxxxxxxxx x dat v xxxxxxx xxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxx a xxxxxxx xxx instalaci xxxxxxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxx x
x) xxxxxxxx x postupy pro xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx.
(2) Xxxxxxx xxxxx x rámci xxxxxx xxxxxxx x komunikací xxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 1 x xxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx x xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx.
(3) Xxxxxxx osoba xxxxxxx xxxxxxxx vývojového, testovacího x provozního prostředí.
§11
Xxxxxx xxxx
(1) Xxxxxxx xxxxx v rámci xxxxxx xxxx x xxxxxxxxxxxx x komunikačního xxxxxxx
x) xxxxxxxxxxx xxxxx xxxxxx změn x
x) xxxxxx významné změny.
(2) Xxxxxxx xxxxx x xxxxxxxxxx xxxx
x) xxxxxxxxxxx xxxxxx xxxxxx,
x) xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxx xx xxxxxx xxxxxxx všech nepříznivých xxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxx,
x) aktualizuje xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxx testování a
f) xxxxxxx xxxxxxx navrácení xx původního xxxxx.
(3) Xxxxxxx xxxxx uvedená x §3 písm. x), x) a x) xxxxxx xx xxxxxxx xxxxxxxx analýzy xxxxx xxxxx xxxxxxxx 2 xxxx. x) xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx testování nebo xxxxxxxxx zranitelností; pokud xxxxxxxx o xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxxxx, postupuje xxxxx §25 xxxx. 1 x xxxxxxx xx zjištěné xxxxxxxxxx.
(4) Xxxxxxx osoba xxxxxxx x §3 písm. x) xxxxxx xx xxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxxxxxxx.
§12
Řízení přístupu
(1) Povinná xxxxx xx xxxxxxx xxxxxxxxxx a xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxx x informačnímu x xxxxxxxxxxxxx xxxxxxx a xxxxxxx opatření, která xxxxxx k xxxxxxxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxx §19 x 20, x xxxxx xxxxx ve xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(2) Xxxxxxx xxxxx xxxx x xxxxx xxxxxx xxxxxxxx x informačnímu a xxxxxxxxxxxxx xxxxxxx
x) xxxx xxxxxxx xx základě xxxxxx x xxxx,
x) xxxxxxx xxxxxxx uživateli x xxxxxxxxxxxxxxxx přistupujícímu x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxx a xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx,
x) xxxx xxxxxxxxxxxxxx, přístupová xxxxx a xxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxx,
x) zavádí xxxxxxxxxxxx xxxxxxxx xxx řízení xxxxxxxx xxxxxxxx x xxxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx,
x) zavádí xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxx bezpečné používání xxxxxxxxx xxxxxxxx x xxxxxx technických zařízení, xxxxxxxxx i xxxxxxxxxxxx xxxxxxxx spojená x xxxxxxxx technických zařízení, xxxxx povinná xxxxx xxxx xx xxx xxxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxx xxxxxx x xxxxxx xxxxxx xxxxx,
x) omezí x xxxxxxxxxx používání programových xxxxxxxxxx, které xxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,
x) přiděluje a xxxxxxx přístupová xxxxxxxxx x xxxxxxx x xxxxxxxxx xxxxxx přístupu,
i) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx rozdělení xx xxxxxxxxxxxx skupin x rolí,
j) xxxxxxx xxxxxxx xxx správu x xxxxxxxxx identity xxxxx §19 x xxxxxxx pro řízení xxxxxxxxxxxx oprávnění xxxxx §20,
x) xxxxxxxxx, aby xxxxxxxxx při xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxx xxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx nebo osob xxxxxxxxxxxxx xxxxxxxxxxxx role,
m) xxxxxxx odebrání nebo xxxxx xxxxxxxxxxxx oprávnění xxx ukončení xxxx xxxxx xxxxxxxxx xxxxxx x
x) xxxxxxxxxxx přidělování x odebírání xxxxxxxxxxxx xxxxxxxxx.
§13
Xxxxxxxx, xxxxx a xxxxxx
Xxxxxxx xxxxx v xxxxxxxxxxx s plánovanou xxxxxxxx, xxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) xxxx xxxxxx xxxxx §5,
x) xxxx významné změny xxxxx §11,
x) stanoví xxxxxxxxxxxx xxxxxxxxx,
x) zahrne xxxxxxxxxxxx požadavky xx xxxxxxxx akvizice, xxxxxx x xxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx a xxxxxxxxxxx prostředí a xxxxxxx ochranu xxxxxxxxxxx xxxxxxxxxxx xxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxx xxxx xxxxxx xxxxxxxxx do xxxxxxx x
x) plní xxxxxxxxx xxxxx §19 xxxx. 3, xx-xx xxxxx xxxxxxxxx xxxxxxxx xxxx xxxxxx xxxxxxx xxx xxxxxx a ověřování xxxxxxxx.
§14
Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x incidentů
(1) Xxxxxxx xxxxx x xxxxx zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxx
x) xxxxxx xxxxxx xxxxxxx x vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx x stanoví xxxxxxx pro
1. xxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxx x
2. koordinaci x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx x xxxxxxxx postupy xxx xxxxxxxxxxxx, xxxx, xxxxxxx a xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) při xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx dále xxxx §22 a 23,
f) xxxxxxx, xx uživatelé, xxxxxxxxxxxxxx, xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx, další xxxxxxxxxxx x dodavatelé xxxxx xxxxxxxxx xxxxxxxxx xxxxxxx informačního x xxxxxxxxxxxxx systému a xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxx,
x) zajistí xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xxxx xxx rozhodnuto, xxx xxxx xxx klasifikovány xxxx kybernetické xxxxxxxxxxxx xxxxxxxxx podle §31,
x) xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xxxxx xxxxxxxxxxx xxxxxxx,
x) přijímá xxxxxxxx xxx xxxxxxxxx x zmírnění dopadu xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx podle §32,
x) xxxx xxxxxxx x xxxxxxxxxxxxxx bezpečnostních incidentech x o xxxxxx xxxxxxxx,
x) xxxxxxxx a xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x
x) xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xx xxxxxxx xxxxxxxxxxx stanoví xxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x zamezení xxxxxxxxx řešeného xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu.
(2) Povinná xxxxx xxxxxxx x §3 písm. x), x) a x) xxxxxx dále xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx nástroj xxxxx §24.
§15
Řízení xxxxxxxxxx xxxxxxxx
Xxxxxxx xxxxx x xxxxx xxxxxx kontinuity činností
a) xxxxxxx xxxxx x xxxxxxxxxx administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxx hodnocení xxxxx x xxxxxxx xxxxxx vyhodnotí x xxxxxxxxxxx xxxxx dopady xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x posoudí možná xxxxxx související x xxxxxxxxx xxxxxxxxxx xxxxxxxx,
x) xx xxxxxxx výstupů xxxxxxxxx xxxxx x xxxxxxx dopadů xxxxx xxxxxxx b) stanoví xxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx úrovně poskytovaných xxxxxx, která xx xxxxxxxxxx xxx xxxxxxx, xxxxxx x správu xxxxxxxxxxxx a komunikačního xxxxxxx,
2. xxxx xxxxxxxx xxxxx, xxxxx které xxxx po kybernetickém xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx, a
3. xxxx xxxxxxxx xxx xxxx časové xxxxxx, xx xxxxx xxxx xxx zpětně xxxxxxxx xxxx xx kybernetickém xxxxxxxxxxxxx incidentu xxxx xx selhání,
d) xxxxxxx xxxxxxxx xxxxxx kontinuity xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx cílů podle xxxxxxx c),
e) xxxxxxxxx, xxxxxxxxxxx a pravidelně xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxx související s xxxxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx x xxxxxxxxxxxxx služeb a
f) xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému xxxx xxxxxxxxxxxxx bezpečnostním xxxxxxxxxx x xxxxxxxx xxxxxxxxxxx x xxxxxxx xxx tom x xxxxxxxxx xxxxx §27.
§16
Audit xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx auditu kybernetické xxxxxxxxxxx
x) provádí a xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, včetně xxxxxxxxxxx technické xxxxx, x výsledky xxxxxx xxxxxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx xxxxx x
x) xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxx, xxxxxxxx předpisy, vnitřními xxxxxxxx, xxxxxx xxxxxxxx x smluvními závazky xxxxxxxxxxxx xx k xxxxxxxxxxxx a komunikačnímu xxxxxxx a xxxx xxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxxx souladu.
(2) Xxxxx podle xxxxxxxx 1 xx xxxxxxxx
x) xxx významných xxxxxxx, x xxxxx xxxxxx xxxxxxx,
x) v xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xx 3 xxxxxx x xxxxxxx xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) zákona x
x) v pravidelných xxxxxxxxxxx alespoň xx 2 xxxxxx v xxxxxxx povinné xxxxx xxxxxxxxx x xxxxxxx x).
(3) Není-li x xxxxxxxxxxxx xxxxxxxxx možné xxxxxxx xxxxx v xxxxxxxxxxx podle xxxxxxxx 2 písm. b) x x) v xxxxx xxxxxxx, xx xxxxx xxxxx provádět xxxxxxxx po xxxxxxxxxxxxxx xxxxxxx. V takovém xxxxxxx xx xxxxx xxxxx x celém xxxxxxx xxxxxxx xxxxxxxxxx xx 5 xxx.
(4) Xxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx xxxxxxxx xxxxxx xxxxxxxxxx podmínkám xxxxxxxxxx v §7 xxxx. 4, xxxxx xxxxxxxxx xxxxxxx správnost x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(5) Povinná xxxxx, xxxxx je xxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx správci xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
HLAVA XX
XXXXXXXXX XXXXXXXX
§17
Xxxxxxx xxxxxxxxxx
Xxxxxxx osoba x xxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxxxxx xxxxxxxxx, krádeži xxxx xxxxxxxx aktiv xxxx přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) stanoví xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxx, ve xxxxx xxxx xxxxxxxxxx x xxxxxxxxxxxx informace x umístěna technická xxxxxx informačního x xxxxxxxxxxxxx systému, x
x) x fyzického xxxxxxxxxxxxxx xxxxxxxxx stanoveného xxxxx xxxxxxx b) xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx
1. x zamezení xxxxxxxxxxxxx vstupu,
2. k xxxxxxxx xxxxxxxxx a xxxxxxxxxxxx zásahům x
3. xxx zajištění xxxxxxx xx úrovni xxxxxxx x x xxxxx xxxxxxx.
§18
Xxxxxxxxxx xxxxxxxxxxxxx xxxx
Xxxxxxx xxxxx pro xxxxxxx xxxxxxxxxxx xxxxxxxxxxx sítě xxxxxxxx v xxxxxxx xxxxx §3 xxxx. x)
x) zajistí xxxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxx xxxxxxxxxx v xxxxx xxxxxxxxxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxx dat xxx xxxxxxxxx přístupu, vzdálené xxxxxx xxxx xxx xxxxxxxx xx xxxxxxxxxxx xxxx xxxxxx bezdrátových xxxxxxxxxxx,
x) aktivně xxxxxxx xxxxxxxxx xxxxxxxxxx x
x) xxx xxxxxxxxx segmentace xxxx x pro xxxxxx xxxxxxxxxx mezi xxxxxx xxxxxxxx xxxxxxx xxxxxxx, který xxxxxxx xxxxxxx integrity xxxxxxxxxxx xxxx.
§19
Xxxxxx a xxxxxxxxx xxxxxxx
(1) Povinná xxxxx xxxxxxx nástroj xxx xxxxxx x ověření xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x aplikací xxxxxxxxxxxx x xxxxxxxxxxxxx systému.
(2) Xxxxxxx pro xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxx zajišťuje
a) xxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxxxx x informačním x xxxxxxxxxxxx xxxxxxx,
x) xxxxxx počtu xxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxx autentizačních xxxxx xxxxx xxxxxxxxxxxxx xxxxxxxx x xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxxxx údajů xx formě xxxxxx xxxxx xxxxxxx xxxxxx,
x) xxxxxxxx xxxxxxx identity xx xxxxxx době xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxx xxxxxx xxxxxxxx x
x) xxxxxxxxxxxxxxx xxxxxx xxxxxxx.
(3) Xxxxxxx osoba xxx xxxxxxx identity xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxx autentizační mechanizmus, xxxxx xxxx xxxxxxxx xxxxx na xxxxxxx xxxxxxxxxxxxxx xxxx x xxxxx, xxxxx xx xxxxxxxxxxxxx xxxxxxxxxxx s xxxxxxx xxxxx xxxxxxx xxxx xxxxxxx.
(4) Xx xxxx xxxxxxx požadavku xxxxx xxxxxxxx 3 xxxx xxxxxxx pro xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx klíčů x xxxxxxx obdobnou xxxxxx xxxxxxxxxxx.
(5) Xx xxxx xxxxxxx požadavků xxxxx xxxxxxxx 3 xxxx 4 xxxx xxxxxxx xxx ověření xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxx, který xxxxxxx x autentizaci identifikátor xxxx a xxxxx, xxxxxxxxx xxxxxxxx
x) xxxxx xxxxx alespoň
1. 12 xxxxx u xxxxxxxxx x
2. 17 xxxxx x xxxxxxxxxxxxxx a xxxxxxxx,
x) umožňující zadat xxxxx o délce xxxxxxx 64 znaků,
c) xxxxxxxxxxx xxxxxxx xxxxxx x velkých xxxxxx, xxxxxx x speciálních xxxxx,
x) umožňující uživatelům xxxxx xxxxx, xxxxxxx xxxxxx mezi xxxxx xxxxxxx hesla nesmí xxx kratší xxx 30 xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxxx
1. xxxxxx xx xxxxxxxxxx xxxxxxxxx xxxxx,
2. xxxxxx xxxxx xx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx, xxxxxxxxxxxxxx xxxxx, x-xxxxx, xxxxx xxxxxxx xxxx obdobným xxxxxxxx x
3. opětovné xxxxxxx xxxxx xxxxxxxxxxx xxxxx x pamětí alespoň 12 xxxxxxxxxxx xxxxx x
x) pro xxxxxxxx xxxxx hesla x xxxxxxxxx maximálně po 18 měsících, xxxxxxx xxxx xxxxxxxx se xxxxxxxxxx xx xxxx xxxxxxxx k xxxxxx xxxxxxx v xxxxxxx xxxxxxx.
(6) Povinná xxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxx x xxxxxx xxxx
x) xxxxxx xxxxxxxxxxxx změnu xxxxxxxxx xxxxx po xxxx xxxxxx použití,
b) xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx x xxxxxxxx xxxxxxxx po jeho xxxxxx použití nebo xxxxxxxxx xxxxxxx 60 xxxxx xx xxxx xxxxxxxxx a
c) xxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxx do xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9.
§20
Řízení xxxxxxxxxxxx oprávnění
Povinná xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, kterým xxxxxxx řízení oprávnění
a) xxx xxxxxxx k xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému x
x) xxx xxxxx xxx, zápis dat x xxxxx xxxxxxxxx.
§21
Xxxxxxx před xxxxxxxxx xxxxx
(1) Povinná xxxxx xxxxxxx x §3 xxxx. x), x) x f) xxxxxx x rámci xxxxxxx xxxx xxxxxxxxx xxxxx
x) x ohledem xx xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxx nástroje pro xxxxxxxxxxxx automatickou xxxxxxx
1. xxxxxxxxx xxxxxx,
2. xxxxxxxxx xxxxxxxx,
3. xxxxxxx,
4. datových xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
5. xxxxxxxxxxx xxxx a xxxxx xxxxxxxxxxx xxxx a
6. xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x xxxx xxxxxxxxx xxxxxxxxx zařízení a xxxxxxxx nosičů,
c) xxxx xxxxxxxxxxx spouštění xxxxxx xxxxxxxxx xxxxxxxx a xxxxxxxx xxxxxx,
x) xxxx xxxxxxxxx ke xxxxxxxxx xxxx x
x) xxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) zákona xxxxxxxxx xxxxx xxxxxxxx 1 přiměřeně.
§22
Xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx, xxxx xxxxxxxxx x xxxxxxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxxxxxx bezpečnostní a xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx x komunikačního xxxxxxx x
x) na xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxxx xxxxx, x xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx událostí prováděno.
(2) Xxxxxxx xxxxx pro xxxxxxxxxxxxx bezpečnostních x xxxxxxxxxx xxxxxxxx podle xxxxxxxx 1 xxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx, xx-xx x xxxxxxxxxxx síti xxxxxx nástroj, xxxxx xxxx xxxx síťovou xxxxxxxxxxxx,
x) xxxx informací x xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxx; zejména xxxxxxxxxxx
1. xxxxx x xxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxx,
2. xxx xxxxxxxx,
3. identifikaci xxxxxxxxxxx xxxxxx, které xxxxxxx xxxxxxxxxxx,
4. jednoznačnou xxxxxxxxxxxx xxxx, xxx xxxxxx xxxx xxxxxxx provedena,
5. xxxxxxxxxxxx xxxxxxx identifikaci xxxxxxxx xxxxxxx x
6. xxxxxxxxx nebo neúspěšnost xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxxx x) x x) xxxx xxxxxxxxxxxx xxxxxx x xxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxx
1. xxxxxxxxxxxx x xxxxxxxxxxx xx všem xxxxx, x xx xxxxxx neúspěšných xxxxxx,
2. xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx,
3. xxxxxxx x xxxxxxxxx xxxxxxxxxx x účty, xxxxxxxxxxx a xxxxx,
4. xxxxxxxxxxx xxxxxxxx v xxxxxxxx xxxxxxxxxx přístupových xxxx a xxxxxxxxx,
5. xxxxxxxx xxxxxxxxx, xxxxx xxxxx xxx xxxx xx bezpečnost xxxxxxxxxxxx x komunikačního xxxxxxx,
6. xxxxxxxx a ukončení xxxxxxxx technických xxxxx,
7. xxxxxxxxxx x xxxxxxxxx xxxxxxx technických xxxxx x
8. xxxxxxxx k xxxxxxxx x xxxxxxxxxx, xxxxxx x xxxxxxxxxx xx xxxxxxx x xxxxxxxxxx a xxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxxx za 24 xxxxx.
(3) Xxxxxxx osoba xxxxxxx v §3 xxxx. x), x) x x) zákona xxxxxxxx xxxxxxx událostí xxxxxxxxxxxxx podle xxxxxxxx 2 xxxxxxx xx xxxx 18 xxxxxx.
(4) Xxxxxxx xxxxx uvedená x §3 písm. x) xxxxxx xxxxxxxx xxxxxxx událostí zaznamenaných xxxxx xxxxxxxx 2 xxxxxxx xx xxxx 12 xxxxxx.
§23
Detekce xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxxxxxxx xxxx, xxxxx xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx systém, xxxxxxx xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx zajistí
a) ověření x xxxxxxxx xxxxxxxxxxx xxx v xxxxx xxxxxxxxxxx xxxx x xxxx xxxxxxxxxxxxx xxxxxx,
x) xxxxxxx x xxxxxxxx xxxxxxxxxxx xxx xx xxxxxxxxx komunikační xxxx x
x) xxxxxxxxx nežádoucí xxxxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. c), x) x x) xxxxxx xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxx na xxxxxxxxxx xxxxx v xxxxx
x) koncových stanic,
b) xxxxxxxxx xxxxxxxx,
x) xxxxxxx,
x) xxxxxxxx xxxxxxx x xxxxxxxxx datových xxxxxx,
x) xxxxxxxx xxxxxxxxx prvků x
x) xxxxxxxxx aktiv.
§24
Xxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
Xxxxxxx xxxxx uvedená x §3 xxxx. c), x) x x) xxxxxx používá xxxxxxx xxx sběr a xxxxxxxxxxx vyhodnocení kybernetických xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx
x) sběr x xxxxxxxxxxxxx xxxxxxxx zaznamenaných xxxxx §22 x 23,
x) vyhledávání a xxxxxxxxxxx souvisejících xxxxxxx,
x) xxxxxxxxxxx informací pro xxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x cílem xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx včasného xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxx,
x) xxxxxxx případů xxxxxxxxxxx xxxxxxxxxxx událostí pravidelnou xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx
1. xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
2. xxxxxx xxxxxxxx a
f) xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx pro xxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxx nastavení xxxxxxxxxxxxxx xxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx.
§25
Xxxxxxxxx bezpečnost
(1) Xxxxxxx xxxxx xxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xx xxxxxxxxx xx důležitá xxxxxx, x xx
x) xxxx xxxxxx uvedením xx provozu x
x) x souvislosti x xxxxxxxxx xxxxxx xxxxx §11 xxxx. 3.
(2) Xxxxxxx xxxxx dále x rámci xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx xxxxxxxx, xxxxxxxxx x transakcí xxxx
x) xxxxxxxxxxxx činností a
b) xxxxxxxx xxxxxxxxxxx xxxxxxxx.
§26
Kryptografické xxxxxxxxxx
Xxxxxxx xxxxx xxx ochranu xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx klíče,
b) xxxxxxx xxxxxx xxxxxx xxxxx x xxxxxxxxxxx, xxxxx
1. zajistí generování, xxxxxxxxxx, xxxxxxxx, xxxxx, xxxxxxx platnosti, zneplatnění xxxxxxxxxxx x xxxxxxxxx xxxxx x
2. xxxxxx xxxxxxxx x xxxxx,
x) xxxxxxxxx bezpečné xxxxxxxxx x xxxxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxxxx xxxxxxxxxx x oblasti kryptografických xxxxxxxxxx xxxxxx Úřadem, xxxxxxxxxx xx jeho xxxxxxxxxxxxx xxxxxxxxx.
§27
Zajišťování xxxxxx xxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx xxxxxx xxxxxxxx pro xxxxxxxxxxx xxxxxx xxxxxxxxxxx, kterými xxxxxxx
x) dostupnost informačního x komunikačního systému xxx xxxxxxx cílů xxxxx §15,
b) odolnost xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxx kybernetickým xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx xxxxx snížit xxxx xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx a
d) xxxxxxxxxx xxxxx nezbytných xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx x komunikačního systému.
§28
Průmyslové, xxxxxx x xxxxxxx xxxxxxxxxx xxxxxxx
Xxxxxxx xxxxx xxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx, xxxxxxxx a xxxxxxxxx xxxxxxxxxxxx systémů xxxxxxx xxxxxxxx x xxxxxxxx, xxxxx zajistí
a) xxxxxxx xxxxxxxxxxx x programových xxxxxxxxxx, xxxxx xxxx xxxxxx xx specifického xxxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxx k xxxxxxxxx xxxxxx xxxxxxx x xx xxxxxxxxxxx síti,
c) xxxxxxxxx xxxxxxxxxxx xxxx xxxxxx pro xxxx xxxxxxx xx xxxxxxx xxxxxxxxxxxxxx,
x) omezení a xxxxxx vzdáleného xxxxxxxx x xxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx technických xxxxx xxxxxx xxxxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxx x
x) obnovení xxxxx xxxxxx xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
§29
Digitální služby
(1) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. x) xxxxxx xxxxxx bezpečnostní xxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxx Xxxxxx (XX) 2018/151 xx xxx 30. ledna 2018, xxxxxx xx xxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Xxxx (EU) 2016/1148, xxxxx xxx x xxxxxx upřesnění xxxxx, které xxxx xxxxxxxxxxxxx digitálních služeb xxxxxxxxxxx při xxxxxx xxxxxxxxxxxxxx rizik, jimiž xxxx xxxxxxxxx xxxx x informační xxxxxxx, x xxxxxxxxx xxx xxxxxxxxxx xxxx, xxx xx dopad xxxxxxxxx xxxxxxxx; ustanovení §3 xx 28 xx xx xxxx xxxxxxxx xxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx v §3 písm. x) xxxxxx xxxxx kontaktní xxxxx podle §34 xxxx. 2.
(3) Xxxxxxx xxxxx xxxxxxx x §3 písm. h) xxxxxx hlásí xxxxxxxxxxxx xxxxxxxxxxxx incidenty xxxxx §32 xxxx. 2 x 3.
XXXXX III
BEZPEČNOSTNÍ POLITIKA X BEZPEČNOSTNÍ XXXXXXXXXXX
§30
Xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxx xxxxxxxxxxxx politiku x xxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx x příloze č. 5,
b) xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx a
c) zajistí, xxx xxxx bezpečnostní xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx.
(2) Xxxxxxxxxxxx xxxxxxxx x bezpečnostní xxxxxxxxxxx xxxx xxx
x) xxxxxxxx x xxxxxxxx xxxx elektronické podobě,
b) xxxxxxxxxxxx x rámci xxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxx,
x) xxxxxx,
x) xxxxxxxx z xxxxxxx xxxxxxxxxx, integrity x xxxxxxxxxxx x
x) xxxxxx xxx, aby xxxxxxxxx x xxxx xxxxxxxx byly xxxxx, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx x xxxxxx xxxxxxxxxxxx.
ČÁST XXXXX
XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX
§31
Xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Jednotlivé xxxxxxxxxxxx xxxxxxxxxxxx incidenty xx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxx xxxxxxxxxx
x) dopadů xxxxxxxxxx x dopadových xxxxxxxxxx xxxxxxxxxx, podle xxxxxxx byly xxxxxxx xxxxx určeny,
b) xxxxx xxxxxxxxx uživatelů,
c) xxxxxxxxx xxxx xxxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxx dotčených xxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
x) dopadů xx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
x) xxxxxx xx xxxxxx xxxxxxxxxxx xxxxxx informačními x xxxxxxxxxxxxx systémy,
g) xxxxx xxxxxx xxxxxxxxx,
x) xxxxxxxxxxx rozsahu dotčené xxxxxxx x
x) xxxxxxx xxxxxx.
(2) Xxx potřeby xxxxxxx a zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xx xxxxxxx xxxxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxxxxxx bezpečnostní xxxxxxxxx zařadí xx xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - velmi xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx přímo x xxxxxxxx xxxxxxxx bezpečnost xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx zásahy xxxxxxx x tím, xx musí xxx xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace xxxxxxxxx x xxxxxxxxxxxxx xxxx,
x) Xxxxxxxxx II - xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, při xxxxxx xx xxxxxxxx bezpečnost xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho řešení xxxxxxxx neprodlené xxxxxx xxxxxxx x xxx, xx musí být xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx vzniklých xxxx, xxxx
x) Xxxxxxxxx X - xxxx významný xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xxxxxxx x xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx. Xxxx řešení vyžaduje xxxxxx obsluhy x xxx, xx musí xxx xxxxxxxx xxxxxxxxxx xxxxxxx další xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
(3) Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxx jsou
a) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx důvěrnosti aktiv,
b) xxxxxxxxxxxx bezpečnostní incident xxxxxxxxxxx xxxxxxxx integrity xxxxx,
x) kybernetický bezpečnostní xxxxxxxx xxxxxxxxxxx narušení xxxxxxxxxxx xxxxx, xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx kombinaci xxxxxx xxxxxxxxx v písmenech x) xx x).
(4) Xxxx xxxxxxxxxx xx xxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxx osoby xxxxxxx x §3 xxxx. x) xxxxxx.
§32
Xxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxxxx bezpečnostní xxxxxxxx xx Úřadu xxxxx xx elektronickém xxxxxxxxx zveřejněném xx xxxxxxxxxxxxx stránkách Xxxxx xxxxxxxx
x) xx adresu xxxxxxxxxxxx xxxxx Xxxxx xxxxxxx pro xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, zveřejněnou xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
x) xx xxxxxx schránky Xxxxx, nebo
c) xxxxxxxxxxxxxxx xxxxxxxx rozhraní, pokud xx používáno, xxxxx xxxxx xx zveřejněn xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx CERT xxxxx xx elektronickém xxxxxxxxx xxxxxxxxxxx xx internetových xxxxxxxxx xxxxxxxxxxxxx národního XXXX zaslaném
a) xx xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx národního XXXX xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxxxxxxx xx xxxx internetových xxxxxxxxx,
x) xx xxxxxx schránky xxxxxxxxxxxxx národního XXXX, xxxx
x) prostřednictvím internetových xxxxxxx provozovatele xxxxxxxxx XXXX.
(3) Hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx je xxxxx xxxxxx x x xxxxxxxx xxxxxx, xxxxx xxxxx x xxxxxxxxx, xxx xxxxx xxxxxx xxxxx ze xxxxxxx uvedených x xxxxxxxxxx 1 x 2.
(4) Xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxxxx informačního a xxxxxxxxxxxxx xxxxxxx,
x) datum x čas xxxxxxxx xxxxxxxxx x
x) popis xxxxxxxxx.
ČÁST XXXXXX
XXXXXXXXX OPATŘENÍ X XXXXXXXXX XXXXX
§33
Xxxxxxxxx xxxxxxxx
(1) Xxxxxxx osoba, xxxxx Úřad xxxxxx xxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xx xxxxxxxxxx a xxxxxxxxxxx xxxxxx x xx xxxxxxxx bezpečnostní opatření x xxxxxxxxx xxxxx xxxxxxxxx xxxxxx x
x) xxxxxxx způsob rychlého xxxxxxxxx xxxxxx opatření, xxxxx minimalizuje jeho xxxxx xxxxxxxxx xxxxxx, x určí xxxxxx xxxx jeho provedení.
(2) Xxxxxxx xxxxx, xxxxx Xxxx xxxxxx provést xxxxxxxxx xxxxxxxx, xxxxxx xxxxxx xxxxxxxxx reaktivního xxxxxxxx a jeho xxxxxxxx xx xxxxx xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Úřadu.
§34
Xxxxxxxxx údaje
(1) Xxxxxxxxx xxxxx se Úřadu xxxxxxxx xx elektronickém xxxxxxxxx zveřejněném xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx pošty Xxxxx xxxxxxx xxx příjem xxxxxxxx kontaktních údajů, xxxxxxxxxxx xx internetových xxxxxxxxx Xxxxx,
x) do xxxxxx xxxxxxxx Xxxxx, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx, pokud je xxxxxxxxx, xxxxx xxxxx xx zveřejněn xx xxxxxxxxxxxxx stránkách Xxxxx.
(2) Xxxxxxxxx xxxxx se xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx stránkách provozovatele xxxxxxxxx XXXX xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx národního XXXX xxxxxxx pro xxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, zveřejněnou xx xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx xxxxxx schránky xxxxxxxxxxxxx xxxxxxxxx XXXX, xxxx
x) prostřednictvím xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.
(3) Xxxxxxx xxxxxxxxxxx xxxxx je možné xxxxxx x v xxxxxxxx xxxxxx, xxxxx xxxxx v xxxxxxxxx, xxx nelze xxxxxx xxxxx xx xxxxxxx xxxxxxxxx x xxxxxxxxxx 1 x 2.
(4) Xxxx xxxxxxxx xxxxxxxxxxx xxxxx je xxxxxx x příloze č. 8 x xxxx vyhlášce.
(5) Xxxxxxx xxxxx xxxxxxx x §3 písm. x) xx f) zákona, xxxxx xx xxxxxxxxxxxxxx, xxxx x xxxxxxx xxxxxxxxxxx xxxxx xxxxx xxxxxxxx 1 xxxxxxxx xxxxxxxx, xxxxxx xx xxxxxxx prokazatelně informuje xxxxx §8 xxxx. 1 xxxx. x).
XXXX XXXX
XXXXXXXXX XXXXXXXXXX
§35
Xxxxxxxxx xxxxxxxxxx
(1) V xxxxxxx xxxxxxxxxxxx systémů xxxxxxxx xxxxxxxxxx infrastruktury a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx xxxx xxxxxx přede xxxx nabytí xxxxxxxxx xxxx xxxxxxxx, x x xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x xxxxxxx došlo x xxxxxxxx xxxxxxxxxx kritérií xxxxx xxxx nabytí xxxxxxxxx xxxx xxxxxxxx, xx xx xxxxxxx xxxx xxx dne xxxxxx xxxxxxxxx této xxxxxxxx pro xxxxx x xxxxxxxxx bezpečnostní xxxxxxxxxxx x xxxxx x xxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx vyhlášky č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x x xxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx bezpečnosti).
(2) X xxxxxxx informačních xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x komunikačních xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx xxxx xxxxxx přede dnem xxxxxx účinnosti xxxx xxxxxxxx, x x xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x xxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx xxxx nabytí xxxxxxxxx xxxx xxxxxxxx, xx xx xxxxxxx xxxx xxx xxx xxxxxx xxxxxxxxx této vyhlášky xxx způsob xxxxxxxxx xxx, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx xxxx xxxxxxxx xxxxxxxxx.
§36
Xxxxxxxxx xxxxxxxxxx
Xxxxxxx xx xxxxxxxx č. 316/2014 Sb., o xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentech, xxxxxxxxxxx xxxxxxxxxx a x xxxxxxxxx náležitostí xxxxxx x xxxxxxx kybernetické xxxxxxxxxxx (xxxxxxxx o xxxxxxxxxxxx xxxxxxxxxxx).
§37
Xxxxxxxx
Xxxx vyhláška xxxxxx xxxxxxxxx xxxx xxxxxxxxx.
Xxxxxxx:
Xxx. Xxxxxxxx v. r.
Xxxxxxx x. 1 x vyhlášce x. 82/2018 Xx.
Xxxxxxxxx aktiv
(1) Xxx xxxxxxxxx důležitosti xxxxx jsou x xxxxx xxxxxxx xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxx x xxxxxxxx xx, jaký xxxxx xx xxxx narušení xxxxxxxxxxx informací x xxxxxxxxxxxx xxxxx. Xxxxxxx xxxxx může xxxxxxxx xxxxxxx počet xxxxxx xxx hodnocení xxxxxxxxxxx xxxxx, xxx jaký xx uveden x xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx xxxx xxxxxxxxxx způsobem xxxxxxxxx xxxxxxxxxxx xxxxx x stupnicemi x xxxxxxxx xxx hodnocení xxxxxxxxxxx xxxxx, které xxxx xxxxxxx v xxxx xxxxxxx.
(2) Xx xxxxxxxxxx, xxx si xxxxx xxxxxxx osoba xxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxx xxxxxxxx.
Xxx. 1: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx ochranu xxxxxx |
|
Xxxxx |
Xxxxxx xxxx xxxxxxx xxxxxxxxx xxxx xxxx určena xx xxxxxxxxxx. Narušení xxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx xxxxx povinné xxxxx. X xxxxxxx xxxxxxx xxxxxxxx aktiva s xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx podle xxx. xxxxxxx light xxxxxxxxx (xxxx xxx "XXX") je využíváno xxxxxxxx XXX:XXXXX. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Střední |
Aktiva xxxxxx veřejně přístupná x tvoří xxxx-xxx xxxxxxx xxxxx, xxxxxxx xxxxx není vyžadována xxxxxx právním předpisem xxxx xxxxxxxx xxxxxxxxx. X xxxxxxx sdílení takového xxxxxx s xxxxxxx xxxxxxxx x použití xxxxxxxxxxx xxxxx XXX xx využíváno xxxxxxx xxxxxxxx XXX:XXXXX nebo XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx využívány prostředky xxx xxxxxx přístupu. |
|
Xxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx x xxxxxx xxxxxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxx, jinými xxxxxxxx nebo xxxxxxxxx xxxxxxxxxx (například xxxxxxxx xxxxxxxxx, osobní xxxxx). X xxxxxxx sdílení xxxxxxxx xxxxxx x xxxxxxx xxxxxxxx a xxxxxxx xxxxxxxxxxx podle XXX xx xxxxxxxxx xxxxxxx xxxxxxxx TLP:AMBER. |
Pro ochranu xxxxxxxxxx jsou využívány xxxxxxxxxx, xxxxx zajistí xxxxxx x zaznamenávání xxxxxxxx. Přenosy informací xxxxxxxxxxx xxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Kritická |
Aktiva nejsou xxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxxxxxxx míru xxxxxxx xxx xxxxx xxxxxxxxx xxxxxxxxx (například xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxx xxxxxxxxx xxxxxxxx xxxxx). X xxxxxxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx XXX xx xxxxxxxxx xxxxxxx xxxxxxxx XXX:XXX xxxx TLP:AMBER. |
Pro xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Dále xxxxxx xxxxxxx zabraňující zneužití xxxxx xx strany xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx xxxx chráněny xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Tab. 2: Xxxxxxxx xxx xxxxxxxxx integrity
|
Úroveň |
Popis |
Příklady požadavků xx xxxxxxx aktiva |
|
Nízká |
Aktivum xxxxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx aktiva xxxxxxxxxx xxxxxxxxx zájmy xxxxxxx xxxxx. |
Xxxx vyžadována xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx xxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx xxxx x poškození xxxxxxxxxxx xxxxx xxxxxxx xxxxx x xxxx xx xxxxxxxx xxxx xxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx využívány standardní xxxxxxxx (xxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxx pro xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx ochranu x xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx xxxxxx xxxx k xxxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx s xxxxxxxxxxx xxxxxx xx primární xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány speciální xxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxxxxx provedených xxxx x xxxxxxxxxx xxxxxxxx osoby provádějící xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx komunikačními xxxxxx je xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx prostředků. |
|
Kritická |
Aktivum xxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx x xxxxx vážnému xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx x xxxxxxx x velmi vážnými xxxxxx xx xxxxxxxx xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx využívány speciální xxxxxxxxxx jednoznačné xxxxxxxxxxxx xxxxx xxxxxxxxxxx změnu (xxxxxxxxx pomocí xxxxxxxxxxx xxxxxxxxxxx podpisu). |
Tab. 3: Xxxxxxxx xxx hodnocení xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx na xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxxx dostupnosti xxxxxx xxxx důležité x x případě xxxxxxx je běžně xxxxxxxxxx delší časové xxxxxx xxx xxxxxxx (xxx do 1 xxxxx). |
Xxx ochranu xxxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx dostupnosti xxxxxx xx xxxxxx překročit xxxx pracovního xxx, xxxxxxxxxxxxx výpadek vede x možnému xxxxxxxx xxxxxxxxxxx zájmů xxxxxxx xxxxx. |
Xxx xxxxxxx dostupnosti xxxx xxxxxxxxx běžné xxxxxx xxxxxxxxxx x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xx nemělo xxxxxxxxx xxxx xxxxxxxx xxxxx. Xxxxxxxx výpadek xx xxxxx xxxxx neprodleně, xxxxxxx xxxx k xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx osoby. Xxxxxx xxxx xxxxxxxxxx xx xxxxx důležitá. |
Pro xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx xxxxxxx x obnova xxxxxxxxxxx xxxxxx xxxx xxx xxxxxxxxx zásahy xxxxxxx xxxx xxxxxxx technických xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx dostupnosti xxxxxx xxxx xxxxxxxxx x x krátkodobá xxxxxxxxxxxx (x řádu xxxxxxxx xxxxx) xxxx x xxxxxxx xxxxxxxx oprávněných xxxxx povinné xxxxx. Xxxxxx jsou xxxxxxxxxx xx xxxxxxxx. |
Xxx ochranu xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx xx krátkodobá x xxxxxxxxxxxxxx. |
Xxxxxxx x. 2 x xxxxxxxx č. 82/2018 Xx.
Xxxxxxxxx rizik
(1) Xxxxxxxxxxx xxxxxxxxx xxxxxx xxx xxxxxx xxxxxx xx xxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx xxxxx §5.
(2) Xxxxxxx xxxxxx xx xxxxxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx ovlivňuje xxxxx, xxxxxx x xxxxxxxxxxxx.
(3) Xxx hodnocení xxxxx lze xxxxxx xxxxxxxxx tuto funkci:
Riziko = xxxxx x xxxxxx x xxxxxxxxxxxx.
(4) Xxxxx xx v xxxxx případě xxxxxxx x xxxxxxxxx aktiv xxxxx přílohy č. 1.
(5) X xxxxxxx, že povinná xxxxx xxxxxxx xxxxxx xxx xxxxxxxxx xxxxx, xxxxx nerozlišuje hodnocení xxxxxx a xxxxxxxxxxxxx, xx možné xxxxxxxx xxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxx by xxxxxx vést xx xxxxxx schopnosti rozlišení xxxxxx xxxxxx x xxxxxxxxxxxxx. Xx xxxxx xxxxxx xxx xxxxxx xxxxxxxxx komentář, xxxxx xxxxxxxx vyjádří xxx xxxxxx xxxxxx, xxx x úroveň xxxxxxxxxxxxx. Xxxxxxx se xxxxxxxxx x x xxxxxxxxx, xxx xxxxxxx osoba xxxxxxx xxxx xxxxx xxxxxx pro hodnocení xxxxxx, xxxxxx, xxxxxxxxxxxxx x rizik.
Tab. 1: Xxxxxxxx xxx xxxxxxxxx xxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx xxxx xx xxxx xxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xx málo pravděpodobná xx xxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx pravděpodobná xx xxxxxxxx xxxxx. |
Xxx. 2: Stupnice xxx hodnocení xxxxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx xxxx xx xxxxxxxx zranitelnosti xxxx xxxxxxxxxxxxx. Jsou xxxxxxxx xxxxxxxxxxxx xxxxxxxx, která xxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx xxxxxxxx pokusy x xxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx je xxxx xxxxxxxxxxxxx xx pravděpodobné. Xxxx zavedena xxxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx. Xxxxxxxxx bezpečnostních xxxxxxxx xxxx detekovat xxxxx xxxxxxxxxxxxx nebo xxxxxxxx xxxxxx o překonání xxxxxxxx xx omezena. Xxxxxx známé xxxxx xxxxxxx pokusy x xxxxxxxxx xxxxxxxxxxxxxx opatření. |
|
Vysoká |
Zneužití xxxxxxxxxxxxx je xxxxxxxxxxxxx xx velmi pravděpodobné. Xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxx, xxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx aspekty a xxxx xxxxxxxxxx xxxxxxxxxxxx. Xxxx známé xxxxx xxxxxxx pokusy o xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx velmi xxxxxxxxxxxxx xx xxxxxxxx xxxxx. Xxxxxxxxxxxx opatření xxxxxx realizována nebo xx xxxxxx xxxxxxxx xxxxxx xxxxxxx. Xxxxxxxxx xxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx. Xxxx xxxxx xxxxxxx pokusy xxxxxxxxx xxxxxxxxxxxxxx opatření. |
Tab. 3: Xxxxxxxx xxx xxxxxxxxx xxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx považováno xx xxxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx sníženo méně xxxxxxxxx opatřeními xxxx x případě xxxxx xxxxxxxxxx opatření je xxxxxx akceptovatelné. |
|
Vysoké |
Riziko xx xxxxxxxxxx nepřípustné a xxxx být xxxxxxxx xxxxxxxxxxxx kroky x xxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxxxxxxxx x xxxx xxx xxxxxxxxxx zahájeny xxxxx x xxxx xxxxxxxxxx. |
Xxxxxxx x. 3 x xxxxxxxx č. 82/2018 Sb.
Zranitelnosti a xxxxxx
Xxxxxxxxxx: Xxxx příloha xxxxxxxx xxx xxxxxxx xxxxxxxxx zranitelností x xxxxxx. Xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx x xxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxx.
Xxxxxxxxxxxxx
1. nedostatečná údržba xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
2. xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
3. xxxxxxxxxxxx ochrana xxxxxxxx xxxxxxxxx,
4. nedostatečné xxxxxxxxxxxx xxxxxxxx uživatelů x xxxxxxxxxxxxxx,
5. nedostatečná údržba xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
6. xxxxxxxx nastavení xxxxxxxxxxxx xxxxxxxxx,
7. xxxxxxxxxxxx xxxxxxx při identifikování x xxxxxxxx negativních xxxxxxxxxxxxxx xxxx, kybernetických xxxxxxxxxxxxxx událostí a xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
8. xxxxxxxxxxxx monitorování xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxx xxxx xxxxxxx xxxxxxx xxxxxxx,
9. xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxx nebo xxxxxxxxxxxxx xxxxxxxx xxxx x xxxxxxxxxx uživatelů, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx,
10. nedostatečná xxxxxxx xxxxx,
11. nevhodná xxxxxxxxxxxx xxxxxxxxxxxx,
12. xxxxxxxxxxxx xxxx xxxxxxxxx kontroly,
13. neschopnost xxxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxxx.
Xxxxxx
1. xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx oprávnění xx xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
2. xxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx anebo xxxxxxxxxxxx vybavení,
3. zneužití xxxxxxxx,
4. xxxxxxx programového xxxxxxxx x xxxxxxx x licenčními xxxxxxxxxx,
5. xxxxxxxx kód (například xxxx, xxxxxxx, trojské xxxx),
6. xxxxxxxx xxxxxxx xxxxxxxxxxx,
7. xxxxxxxxx poskytování xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx elektrické xxxxxxx,
8. zneužití nebo xxxxxxxxxxx modifikace xxxxx,
9. xxxxxx, odcizení xxxx xxxxxxxxx aktiva,
10. xxxxxxxxxx xxxxxxxxx xxxxxxx xx xxxxxx xxxxxxxxxx,
11. xxxxxxxxx xx xxxxxx zaměstnanců,
12. xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,
13. dlouhodobé xxxxxxxxx xxxxxxxxxxx xxxxxx elektronických xxxxxxxxxx, xxxxxxx elektrické xxxxxxx xxxx xxxxxx xxxxxxxxxx služeb,
14. xxxxxxxxxx xxxxxxxxxxx s xxxxxxxxx xxxxxxxx xxxxxx,
15. cílený xxxxxxxxxxxx útok pomocí xxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxx,
16. xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx nosičů xxx,
17. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx (odposlech, modifikace).
Xxxxxxx č. 4 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxx dat
(1) Xxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému x definování xxxxxxx xxxxxx xxx x xxxxxxx likvidace xxxxxxxxxxx xxxxxx xxxxxxxxx, xxxxxxxxxx xxxxx, xxxxxxxxx a xxxxxx kopií.
(2) Xxxxxxxxxx xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx xx xxxxxxx xxxxxxxx pro xxxxxx xxx x xxxxxxxxx xxxxxxxxxxx xxxxxx xxx v xxxxxxx x touto xxxxxxxx. Xxx nejsou xxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx. Xx xxxxx zvolit xxxxxxxxx xxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx bezpečnostní xxxxxxxx, xxxxxx adekvátních xxxxxxxx xxx mazání xxx x likvidaci technických xxxxxx dat, vzhledem x xxxxxxx x xxxxxxxxxxx aktiv.
(3) Xxxxxxxx xxx xxxxxxxxx xxx xx xxxx xxx xxxxxxxxx přiměřeně xxxxxxx x důležitosti xxxxx x měla xx xxxxxxx xxxxxxxxxxx
x) hodnotu xxxxxx (xxxxxxx x xxxxxxx xxxxxxxxxx),
x) xxxxxxxxxxx (xxxx x xxxxxxxx xxxxxx xxxxxxxxx),
x) xxx xx xxxxx xxxxxxxxx xxxxxxx pod xxxxxxxxx xxxxxxxxxx xx xxxxxxx,
x) xxx xxxx xxxx xxxxxxxx dedikovaného xxxx xxxxxxxxxxxxxxx xxxxxxxxx,
x) xxx xxxx xxxxxxxxx xxx xxxxxxxx (interní xxxxxxxxxxx, xxxx xxxxxxxxx),
x) xxxxxxxxxx xxxxxxxx x nástrojů xxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxxx nosičů,
h) xxx xx k xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxxx,
x) cenu xxxxxxxxx s xxxxxxx xx xxxxxxxx, školení, xxxxxxxx, opětovné využití xxxxxx xxxxxxxxx
x) xxxxx xxxxxxx xxxxxxxxx xxx (xxxxxxxxx xxxxxxxx nosiče, xxxxxxxxxxxxxxxx xxxxxxxxx nosiče xxx, xxxxxxxxxxxxx dat xxxxxx xxxxxxxxxx x xxxxxxx),
x) xxxxxxxxxx xxxxxxx xxxxxxxxx xxx xxxxxxxx xx stavu nosiče xxxxxxxxx (xxxxxxxxx xxx xxxxxxxxx zařízení nebude xxxxx použít xxxxxxxx xxxxxxx informace, xxx xxxxxxx xx xxxxxxx xxxxxxx likvidace).
(4) Xxxxxxx xxxxxxxxx technických xxxxxx xxxxxxxxx, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx:
x) Xxxxxxxxxx
1. Xxxxxx xxxxxxxxx xxxxxxx v xxxxxxxxxx xxx xxx, xxx xxxx xxx xxxxxx nedostupná (xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxx, xxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxx).
2. Xxx x xxxxxxx xxxxxxxx xxxxxx likvidace xxx. X xxxxxxx získání xxxxxx informace je xxxxx x xxxxxxxxxxx xxxxxxxx xxxxx informace xxxxxxx.
3. Xxxx metoda xxxx použitelná pro xxxxxx digitálních xxx xxxxxxxxxxxx opětovný xxxxx.
4. Xxxxxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1): xxxxx.
x) Přepsání
1. Xxxxxx xxxxxxxxx xxxxxxx v xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxx hodnotami.
2. Xxx x xxxxxxx xxxxxxxx xxxxxx xxxxxxxxx xxx. Xxxxx xxxxxxxx nástroje xxxxxxxxxx obnovení přepsaných xxxxxxxxx.
3. Xxxxxxxx xxxx xxx xxxxxxxxx xxxx xxxxxxxxxxx bezpečnou xxxxxxxxx xxxxxxxxxxxxxxxx klíčů x xxxxxxxxxxx xxxxxxxxx.
4. Tato xxxxxx xxxx xxxxxx xxx xxxxxxxxx xxxxx, xxxxx xxxxxxxxxxxx opětovný xxxxx, případně xxx xxxxx x velkou xxxxxxxxx.
5. Xxxxxxxxxx způsob xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1): xxxxx xx xxxxxxxx.
x) Xxxxxxx likvidace xxxxxx informace
1. Způsob xxxxxxxxx spočívající xx xxxxxxx nosiče informace, xxxxxxxxx x xxxxxxxxx xxxxxxxx x následném xxxxxxx xxxxxx xxxxxxxxx (xxxxxxxxxxx, chemickým xx xxxxxxxx xxxxxxxxx).
2. Jde x xxxxxxxxxxxxxx xxxxxx xxxxxxxxx xxx. Nosič xxxxxxxxx xx xxxxxxx xxxxxxxxx nelze xxxxx xxxxxx pro xxxxxxx xxxx. Původní xxxxxxxxx xxxx xxxxx xxxxxxx xxx xxx vynaložení xxxxxxx množství xxxxxxxxxx x xxxxx.
3. Xxxxxxxxxx xxxxxx xxxxxxxxx xxx xxxxxx důvěrnosti xxxxxx (xxxxxxx x přílohy č. 1): xxxxxxx xx xxxxxxxx.
Xxxxxxx xxxxxxx způsobů xxxxxxxxx xxxxx úrovně důvěrnosti xxxxxx (xxxxxxx x přílohy č. 1)
|
Xxxxxxxxx xxxxxx xxxxxxxxx xxxxx úrovně xxxxxxxxxxx xxxxxx |
|||||
|
Xxxxx xxxxxxxxx |
1. Xxxxx |
2. Xxxxxxx |
3. Xxxxxx |
4. Kritická |
|
|
Informace xx xxxxxx čitelném xxxxxx (xxxxxxx xxxxxxxxx, xxxxxxxx x xxxxxxx) |
Xxxxxxxxxx: Xxxxxxxx do xxxxxx. |
Xxxxxxxx: Xxxxxxxxx. |
Xxxxxxx likvidace: |
||
|
Fyzická xxxxxxxxx: |
|||||
|
Xxxxxxx xxxxxxxx (xxxxxxx telefony, xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxx xxxxxxxx (xxxxxx, xxxxxx, xxxxx x xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
|||
|
Kancelářské xxxxxxxx (scanery, xxxxxxxx, xxx) |
|||||
|
Xxxxxxxxxx xxxxx (xxxxxxxxxx xxxxx, xxxxx, HDD [Xxxx Disk Xxxxx]) |
Xxxxxxxxxx: |
Přepsání: |
|||
|
Xxxxxxx xxxxx (CD, XXX, XX-XXX, BLU-RAY) |
Fyzická xxxxxxxxx: |
||||
|
Xxxxxxx xxxxxxxxx. |
|||||
|
Xxxxxxxxxxxx xxxxx (xxxxx xxxxxx) |
|||||
|
Xxxxxxxxxxx x xxxxx |
Xxxxxxxxx xxxxxx xxxxxxxxx xxx xx xxx xxx xxxxxxxx smluvním xxxxxxxxx. |
||||
|
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxxx: |
Přepsání/fyzická xxxxxxxxx: |
||
|
Xxxxxxxxxxxx v xxxxxxx dedikovaného xxxxxxxxxx xxxxx je xxxxx xxxx po ukončení xxxxxx přepsat. |
|||||
Příloha x. 5 x vyhlášce č. 82/2018 Xx.
Xxxxx bezpečnostní xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
1. Xxxxxxxxxxxx politika
1.1. Xxxxxxxx systému xxxxxx xxxxxxxxxxx informací
a) Cíle, xxxxxxxx x potřeby xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxx x hranice xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx pro xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx řízení xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x postupy xxx přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx nápravná xxxxxxxx x xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.
1.2. Xxxxxxxx xxxxxx xxxxx
x) Xxxxxxxxxxxx, hodnocení a xxxxxxxx primárních xxxxx
1. xxxxxx a evidence xxxxxxxxxxxx primárních aktiv xxxxxx určení jejich xxxxxxx,
2. xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx z xxxxxxxx důvěrnosti, xxxxxxxxx x dostupnosti.
b) Identifikace, xxxxxxxxx x xxxxxxxx xxxxxxxxxx aktiv
1. xxxxxx x xxxxxxxx jednotlivých xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxx vazeb xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx
1. xxxxxxx rozlišování xxxxxxxxxxxx xxxxxx aktiv,
2. pravidla xxx xxxxxxxxxx a xxxxxxxx aktiv podle xxxxxx xxxxx,
3. xxxxxxxxx xxxxxxx používání aktiv.
d) Xxxxxxx xxxxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx xxx, xxxxxxxxx, xxxxxxxxxx xxxxx a xxxxxx xxxxx.
1.3. Xxxxxxxx xxxxxxxxxxx bezpečnosti
a) Xxxxxx xxxxxxxxxxxxxx xxxx x xxxxxx xxxx x xxxxxxxxxx.
x) Požadavky na xxxxxxxx výkonu činností xxxxxxxxxxxx xxxxxxxxxxxxxx xxxx.
x) Xxxxxxxxx na xxxxxxxx xxxxxx bezpečnostních a xxxxxxxxxx xxxx.
1.4. Xxxxxxxx xxxxxx dodavatelů
a) Pravidla x principy xxx xxxxx xxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxx xxxxxxxxxxxxx s xxxxxxxxxx.
x) Xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxx x xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x o xxxxxx xxxxxxxx smluvní xxxxxxxxxxxx.
x) Xxxxxxxx pro provádění xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Pravidla xxx xxxxxxxxx xxxxxxxxxx.
1.5. Xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx
x) Xxxxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx a xxxxxxx xxxx xxxxxxxxx
1. způsoby x xxxxx xxxxxxx xxxxxxxxx,
2. způsoby x xxxxx poučení xxxxxxx xxxxx,
3. xxxxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx a xxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxx řešení xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.
d) Pravidla xxx xxxxxxxx xxxxxxxxxx xxxxxx nebo změnu xxxxxxxx xxxxxx
1. xxxxxxx xxxxxxxxx aktiv a xxxxxxxx práv xxx xxxxxxxx xxxxxxxxxx xxxxxx,
2. xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx pracovní xxxxxx.
1.6. Xxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxx
x) Xxxxxxxxx a xxxxxxxxxxxx xxxxxxx s xxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx x xxxxxxxxx bezpečného xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx.
1.7. Xxxxxxxx xxxxxx přístupu
a) Xxxxxxx xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (xxxx xx xxxx).
x) Xxxxxxxxx xx xxxxxx xxxxxxxx.
x) Xxxxxxx cyklus xxxxxx přístupu.
d) Řízení xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx přezkoumání xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx jednotlivých xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx.
1.8. Xxxxxxxx xxxxxxxxxx chování xxxxxxxxx
x) Xxxxxxxx pro xxxxxxxx xxxxxxxxx s xxxxxx.
x) Bezpečné xxxxxxx xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx pošty x přístupu xx xxxxxxxx.
x) Bezpečný vzdálený xxxxxxx.
x) Xxxxxxxx xxxxxxx xx xxxxxxxxxx sítích.
f) Xxxxxxxxxx xx xxxxxx x xxxxxxxx zařízením.
1.9. Xxxxxxxx xxxxxxxxxx a xxxxxx x xxxxxxxxxxxx xxxxxxxx
x) Požadavky na xxxxxxxxxx a xxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx dlouhodobého xxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx xxxxxxxxxx x dlouhodobého ukládání xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxx.
x) Xxxxxxxx x postupy xxxxxxxxx xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx xxxxxxxx k xxxxxxx, ukládaným informacím.
1.10. Xxxxxxxx bezpečného xxxxxxxxx x xxxxxx informací
a) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx ochrany xxxxxxxxxxxx xxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx využívání xxxxxxxxxxxxxx xxxxxxx.
1.11. Xxxxxxxx xxxxxx technických xxxxxxxxxxxxx
x) Xxxxxxxx xxx xxxxxxx xxxxxxxxx programového xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxxxxxxx opravných xxxxxxxxxxxx xxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxxxxx oprav xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx nasazení xxxxx xxxxxxxxxxxx xxxxxxxx.
1.12. Xxxxxxxx xxxxxxxxxx používání xxxxxxxxx xxxxxxxx
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxxx mobilních xxxxxxxx.
x) Pravidla a xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx zařízení, xxxxx xxxxxxx xxxxx xxxx xx své xxxxxx.
1.13. Xxxxxxxx xxxxxxxx, xxxxxx x xxxxxx
x) Bezpečnostní xxxxxxxxx xxx xxxxxxxx, xxxxx x xxxxxx.
x) Xxxxxx zranitelností.
c) Xxxxxxxx xxxxxxxxxxx a xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x informací
1. xxxxxxxx x xxxxxxx nasazení xxxxxxxxxxxx xxxxxxxx a xxxx evidence,
2. xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
1.14. Xxxxxxxx ochrany xxxxxxxx xxxxx
x) Charakteristika xxxxxxxxxxxxxx osobních údajů.
b) Xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
x) Popis přijatých x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx pro ochranu xxxxxxxx údajů.
1.15. Xxxxxxxx xxxxxxx xxxxxxxxxxx
x) Xxxxxxxx xxx xxxxxxx xxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxx xxxx.
x) Pravidla xxx xxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxx fyzické xxxxxxxxxxx.
1.16. Politika bezpečnosti xxxxxxxxxxx xxxx
x) Xxxxxxxx x postupy xxx xxxxxxxxx bezpečnosti sítě.
b) Xxxxxx xxxx x xxxxxxxxxx xx xxxxxxxx xxxxxx sítě.
c) Pravidla x xxxxxxx pro xxxxxx xxxxxxxx x xxxxx sítě.
d) Pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxxx přístupu x xxxx.
x) Pravidla x postupy pro xxxxxxxxxxxx sítě x xxxxxxxxxxxxx xxxxxxxxxx záznamů.
1.17. Xxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx
x) Pravidla x xxxxxxx xxx xxxxxxx xxxxxx xxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx ochranu serverů x xxxxxxxxx datových xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxx.
1.18. Politika xxxxxxxx x xxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
x) Xxxxxxxx x xxxxxxx xxxxxxxx nástroje pro xxxxxxx kybernetických bezpečnostních xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx xxxxxxxxxxxxx a xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx.
x) Xxxxxxxx a postupy xxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
1.19. Xxxxxxxx xxxxxxx a xxxxxx nástroje xxx xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx pravidelné xxxxxxxxxxx xxxxxxxx xxx vyhodnocení xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx vlastností xxxxxxxx xxx xxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
1.20. Politika xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx
x) Xxxxxx ochrany x xxxxxxx xx xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx
1. xxx xxxxxxx xx komunikačních xxxxxx,
2. při xxxxxxx xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxx xxx.
x) Xxxxxx xxxxxx klíčů.
1.21. Xxxxxxxx xxxxxx xxxx
x) Xxxxxx x principy xxxxxx xxxxxxxxxx xxxx v xxxxx xxxxxxx osoby, xxxxxx xxxxxxxxx, xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxxxxxxx xxxxxx xxxxxxxxxx xxxx.
x) Xxxxxx vedení xxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxx.
1.22. Xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
x) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxxxxxx, xxxxxxxx x zvládání jednotlivých xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx testování systému xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx vyhodnocení xxxxxxxxxxxxxx bezpečnostních incidentů x pro xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxx.
1.23. Xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx
x) Xxxxx x povinnosti xxxxxxxxxxxx xxxx.
x) Cíle xxxxxx xxxxxxxxxx xxxxxxxx
1. xxxxxxxxx xxxxxx poskytovaných xxxxxx,
2. xxxx obnovení xxxxx,
3. xxx xxxxxxxx xxx.
x) Xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxx kontinuity.
d) Xxxxxxx xxxxxxxxx xxxxxx kybernetických xxxxxxxxxxxxxx incidentů xx xxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxxx rizik.
e) Určení x xxxxx xxxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxx plánů.
f) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx.
2. Obsah xxxxxxxxxxxx xxxxxxxxxxx
2.1. Xxxxxx x auditu xxxxxxxxxxxx xxxxxxxxxxx
x) Xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Identifikování xxxx xxxxxxxx a xxxx, xxxxx se auditu xxxxxxxxxxxx xxxxxxxxxxx zúčastnily.
e) Xxxxx x xxxxx, xxx xxxx xxxxxxxxx xxxxxxxx při xxxxxx xxxxxxxxxxxx bezpečnosti.
f) Xxxxxxxx x xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
2.2. Zpráva x přezkoumání systému xxxxxx bezpečnosti xxxxxxxxx
x) Xxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxxxxxx xxxx a xxxxxxxxx, které mohou xxx xxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Zpětná xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x xxxxxxxx xxxxxxxx,
2. xxxxxxxx xxxxxxxxxxxx a xxxxxx,
3. xxxxxxxx auditu,
4. xxxxxxxx cílů systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxx xxxxx x xxxx plánu xxxxxxxx xxxxx.
x) Identifikace xxxxxxxx xxx xxxxxxxx xxxxxxxxxx.
x) Doporučení potřebných xxxxxxxxxx, stanovení xxxxxxxx x osob xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
2.3. Xxxxxxxx xxx identifikaci x xxxxxxxxx xxxxx x xxx xxxxxxxxx xxxxx
x) Xxxxxx stupnice xxx xxxxxxxxx xxxxxxxxxx xxxxx
1. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxx aktiv,
2. xxxxxx xxxxxxxx pro hodnocení xxxxxx integrity xxxxx,
3. xxxxxx stupnice xxx xxxxxxxxx úrovní xxxxxxxxxxx xxxxx.
x) Xxxxxx stupnice xxx xxxxxxxxx rizik
1. xxxxxx stupnice xxx xxxxxxxxx xxxxxx dopadu,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx hrozby,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxxxxxxxxxx,
4. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxx.
x) Xxxxxx x přístupy xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxx.
2.4. Xxxxxx x xxxxxxxxx xxxxx x xxxxx
x) Přehled xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx primárních xxxxx,
3. xxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx a xxxxx podpůrných aktiv,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxx xxxxx xxxx primárními x xxxxxxxxxx aktivy.
c) Xxxxxxxxx xxxxx
1. xxxxxxxxx možných xxxxxx xx aktiva,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx zranitelností, xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
4. xxxxxxxxx úrovně rizika, xxxxxxxxx xxxx xxxxxx x xxxxxxxx xxx xxxxxxxxxxxxxxxx xxxxx,
5. xxxxxx x schválení xxxxxxxxxxxxxxxx xxxxx.
x) Xxxxxxxx rizik
1. xxxxx způsobu xxxxxxxx xxxxx,
2. xxxxx xxxxxxxx x xxxxxx realizace.
2.5. Xxxxxxxxxx o aplikovatelnosti
a) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx včetně zdůvodnění, xxxx xxxxxx aplikována.
b) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx včetně způsobu xxxxxx xxxxxxxxxxxx.
2.6. Xxxx xxxxxxxx xxxxx
x) Obsah x xxxx xxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx xxxxxx xxxxx xx xxxxxxxxx xxxxxx.
x) Potřebné xxxxxx xxx jednotlivá xxxxxxxxxxxx xxxxxxxx xxx zvládání xxxxx.
x) Xxxxx zajišťující xxxxxxxxxx xxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx.
x) Xxxxxxx zavedení xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxx hodnocení xxxxxxxxxx xxxxxxxx jednotlivých xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
2.7. Xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxx x xxxxxxx poučení xxxxxxxxx, administrátorů a xxxx zastávajících xxxxxxxxxxxx xxxx.
x) Obsah a xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx a xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
x) Xxxxx a xxxxxxx xxxxxxxxx xxxxx.
2.8. Xxxxxxxx xxxx
x) Evidence xxxxxxxxx xxxxx významných xxxx.
x) Xxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx.
2.9. Xxxxxxx xxxxxxxxx xxxxx
Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx.
2.10. Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx a xxxxxx xxxxxxxx x xxxxxxxxx závazků
a) Přehled xxxxxx xxxxxxxxx právních xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxx a xxxxxx xxxxxxxx.
x) Přehled xxxxxxxxx xxxxxxx.
2.11. Xxxxx doporučená xxxxxxxxxxx
x) Xxxxxxxxx xxxxxxxxxxxxxx.
x) Xxxxxxx síťových xxxxxxxx.
Xxxxxxx x. 6 x xxxxxxxx č. 82/2018 Sb.
Výbor xxx xxxxxx kybernetické bezpečnosti x xxxxxxxxxxxx role
Tato xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx požadavků xxx xxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxx xxxx xxxxxxx x §6 x 7.
Xxx. 1: Xxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx celkové xxxxxx a rozvoj xxxxxxxxxxxx xxxxxxxxxxx x xxxxx xxxxxxx xxxxx. |
|
Další podmínky: |
a) Xxxx xxxxxx pro xxxxxx kybernetické xxxxxxxxxxx xxxx být xxxxxxx |
Xxx. 2: Manažer xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Odpovědnost xx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx. |
|
Znalosti: |
a) Xxxxx xxxx ISO/IEC 27000 x xxxxxxx xxxxx x oblasti xxxxxxxxxxx a ICT. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx. |
|
Xxxxxxxx a xxxxx: |
x) Xxxxxxx 3 roky xxxxx x xxxxx xxxxxxxxxx xxxx kybernetické xxxxxxxxxxx, xxxx |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Xxxxxxxx Xxxxxxx (XXXX), Xxxxxxxxx xx Xxxx xxx Xxxxxxxxxxx Xxxxxxx Control (XXXXX), Certified Information Xxxxxxx Security Professional (XXXXX), Xxxxxxx BI (xxxxxxxxxxx schéma ČIA). |
|
Další xxxxxxxx: |
x) Role xxxx xxxxxxxxxx x rolemi xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x s xxxxxxx provozními xx xxxxxxxx xxxxxx. |
Tab. 3: Architekt kybernetické xxxxxxxxxxx
|
Xxxx: |
Xxxxxxxxx xxxxxxxxxxxx bezpečnosti |
|
Klíčové xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxx navrhování. |
|
Zkušenosti: |
a) Xxxxxxxxxx implementace xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 roky xxxxx x oboru xxxxxxxxxx xxxx kybernetické xxxxxxxxxxx, nebo |
|
Relevantní xxxxxxxxxxx*: |
Xxxxxxxxx Ethical Xxxxxx (XXX), XxxxXXX Xxxxxxxx +, Xxxxxxxxx Xxxxxxxxxxx Xxxxxxxx Xxxxxxx (CISM), Xxxxxxxxx in Risk xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Xxxxxxxx Xxxxxxxxxxxx (XXXXX), Manažer XX (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx podmínky: |
Role xxxx xxxxxxxxxx s rolemi xxxxxxxxxxx za xxxxxx xxxxxxxxxxxx x komunikačních xxxxxxx. |
Xxx. 4: Auditor xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
Xxxxxxxxx auditu xxxxxxxxxxxx bezpečnosti. |
|
Znalosti: |
a) Xxxxxxxxxxx x xxxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxxxx: |
x) Plánování xxxxxx informační nebo xxxxxxxxxxxx bezpečnosti. |
|
Xxxxxxxx a praxe: |
a) Xxxxxxx 3 roky xxxxx x oblasti xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, nebo |
|
Relevantní xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Auditor (XXXX), Xxxxxxxxx Internal Xxxxxxx (CIA), Xxxxxxxxx xx Xxxx xxx Xxxxxxxxxxx Systems Xxxxxxx (XXXXX), Lead Xxxxxxx Xxxxxxxxxxx Security Management Xxxxxx (Xxxx Xxxxxxx XXXX), Auditor XX (xxxxxxxxxxx schéma XXX). |
|
Xxxxx xxxxxxxx: |
x) Role xxxx xxxxxxxxxx x xxxxxx |
Xxx. 5: Xxxxxx xxxxxx
|
Xxxx: |
Xxxxxx aktiva |
|
Klíčové xxxxxxxx: |
x) Xxxxxxxxxxx za xxxxxxxxx rozvoje, použití x xxxxxxxxxxx xxxxxx. |
|
Xxxxxxxx: |
x) Dobrá xxxxxxx xxxxxx, jehož je xxxxxxxx. |
* Xxxxxxxxxxx xxxx být x xxxx xxx xxxxxxx, jestliže certifikace xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx ISO 17 024.
Xxxxxxx x. 7 x xxxxxxxx x. 82/2018 Sb.
Řízení xxxxxxxxxx - xxxxxxxxxxxx opatření xxx xxxxxxx vztahy
Obsah xxxxxxx xxxxxxxxx x xxxxxxxxxx dodavateli:
a) ustanovení x xxxxxxxxxxx xxxxxxxxx (x xxxxxxx xxxxxxxxxx, xxxxxxxxxxx x integrity),
b) xxxxxxxxxx o xxxxxxxxx xxxxxx xxxx,
x) xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx,
x) ustanovení x xxxxxxxx a xxxxxx xxxxxxxxxx (xxxxxxxx xxxxxxxxxxxx xxxxxx),
x) ustanovení xxxxxxxxxx řetězení xxxxxxxxxx, xxxxxxx xxxx být xxxxxxxxx, že poddodavatelé xx xxxxxx xxxxxxxxx x xxxxx rozsahu xxxxxxxx xxxx xxxxxxxx xxxxxx a xxxxxxxxxxx x xxxxxxx x xxxxxxx s požadavky xxxxxxx osoby xx xxxxxxxxxx,
x) xxxxxxxxxx o xxxxxxxxxx xxxxxxxxxx dodržovat xxxxxxxxxxxx xxxxxxxx povinné xxxxx nebo xxxxxxxxxx x odsouhlasení bezpečnostních xxxxxxx xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxxxx x xxxxxx změn,
h) ustanovení x xxxxxxx xxxxx x xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx,
x) ustanovení x povinnosti xxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx x
1. xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx x xxxxxxx smlouvy,
2. způsobu xxxxxx xxxxx xx xxxxxx xxxxxxxxxx x x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx s plněním xxxxxxx,
3. xxxxxxxx xxxxx xxxxxxxx xxxxxx dodavatele xxxxx xxxxxx x xxxxxxxxxx xxxxxxxxxxx nebo xxxxx vlastnictví xxxxxxxxx xxxxx, xxxxxxxxx změně xxxxxxxxx nakládat x xxxxxx xxxxxx, xxxxxxxxxxx xxxxx xxxxxxxxxxx x xxxxxx xxxxx xxxxxxx xx správcem,
j) xxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxx xxxxxxxx xxxxxxx (xxxxxxxxx xxxxxxxxx xxxxxx xxx xxxxxxxx xxxxxxxxxx, kdy xx xxxxx xxxxx xxxxxxxx xxxxxx xxxx nasazením xxxxxx xxxxxx, migrace xxx x xxxxxxx),
x) xxxxxxxxxxx xxxxxxxx pro xxxxxx xxxxxxxxxx xxxxxxxx x souvislosti s xxxxxxxxxx (například xxxxxxxx xxxxxxxxxx xx xxxxxxxxxxx xxxxx, úkoly xxxxxxxxxx xxx xxxxxxxx řízení xxxxxxxxxx xxxxxxxx),
x) xxxxxxxxxxx xxxxxxxx xxx formát xxxxxxx dat, provozních xxxxx a xxxxxxxxx xx vyžádání správcem,
m) xxxxxxxx xxx likvidaci xxx,
x) xxxxxxxxxx x xxxxx xxxxxxxxxxxx odstoupit xx smlouvy v xxxxxxx xxxxxxxx xxxxx xxxxxxxx xxx dodavatelem xxxx změny kontroly xxx zásadními aktivy xxxxxxxxxxx xxxxxxxxxxx k xxxxxx xxxxx smlouvy x
x) ustanovení x xxxxxxxx za xxxxxxxx xxxxxxxxxx.
Xxxxxxx č. 8 x vyhlášce x. 82/2018 Xx.
Xxxx Xxxxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxx
Xxxxxxxxx
Xxxxxx xxxxxxx č. 82/2018 Xx. xxxxx xxxxxxxxx xxxx 28.5.2018.
Xx xxx uzávěrky xxxxxx xxxxxxx xxxxx xxxxx xx xxxxxxxxx.
Xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx v xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx xx xxxx xxxxxx xxxxxxxxx změna xxxxx uvedeného xxxxxxxx xxxxxxxx.
1) Xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Rady (XX) 2016/1148 xx xxx 6. července 2016 x xxxxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxx x informačních xxxxxxx x Unii.