Právní předpis byl sestaven k datu 30.04.2025.
Zobrazené znění právního předpisu je účinné od 28.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
82/2018 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení aktiv §4
Řízení rizik §5
Organizační bezpečnost §6
Bezpečnostní role §7
Řízení dodavatelů §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení změn §11
Řízení přístupu §12
Akvizice, vývoj a údržba §13
Zvládání kybernetických bezpečnostních událostí a incidentů §14
Řízení kontinuity činností §15
Audit kybernetické bezpečnosti §16
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §17
Bezpečnost komunikačních sítí §18
Správa a ověřování identit §19
Řízení přístupových oprávnění §20
Ochrana před škodlivým kódem §21
Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů §22
Detekce kybernetických bezpečnostních událostí §23
Sběr a vyhodnocování kybernetických bezpečnostních událostí §24
Aplikační bezpečnost §25
Kryptografické prostředky §26
Zajišťování úrovně dostupnosti informací §27
Průmyslové, řídicí a obdobné specifické systémy §28
Digitální služby §29
HLAVA III - BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní politika a bezpečnostní dokumentace §30
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Kategorizace kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ZÁVĚREČNÁ USTANOVENÍ
Přechodná ustanovení §35
Zrušovací ustanovení §36
Účinnost §37
Příloha č. 1 - Hodnocení aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Zranitelnosti a hrozby
Příloha č. 4 - Likvidace dat
Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace
Příloha č. 6 - Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role
Příloha č. 7 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy
Příloha č. 8 - Vzor Formuláře pro hlášení kontaktních údajů
82
XXXXXXXX
xx xxx 21. xxxxxx 2018
x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx, xxxxxxxxxxx opatřeních, xxxxxxxxxxxxx podání x xxxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxx xxx (xxxxxxxx o kybernetické xxxxxxxxxxx)
Xxxxxxx xxxx xxx xxxxxxxxxxxxx a informační xxxxxxxxxx xxxxxxx xxxxx §28 odst. 2 xxxx. x) až x) a x) xxxxxx x. 181/2014 Xx., x xxxxxxxxxxxx xxxxxxxxxxx x x xxxxx souvisejících xxxxxx (xxxxx o xxxxxxxxxxxx xxxxxxxxxxx), ve znění xxxxxx x. 104/2017 Xx. a zákona x. 205/2017 Sb., (xxxx xxx "xxxxx"):
ČÁST XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx Xxxxxxxx xxxx1) x xxx xxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxx informační xxxxxx, xxxxxxxxxx xxxxxx xxxxxxxx xxxxxx anebo xxxxxxxxxx xxxxxx xxxx xxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, (dále xxx "informační x xxxxxxxxxxx xxxxxx") upravuje
a) xxxxx x xxxxxxxxx xxxxxxxxxxxx dokumentace,
b) obsah x xxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxx, xxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
d) xxxxxxxxxxx x xxxxxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x xxxxxxxxx reaktivního xxxxxxxx x xxxx xxxxxxxx,
x) xxxx xxxxxxxx xxxxxxxxxxx xxxxx a xxxx formu x
x) xxxxxx xxxxxxxxx xxx, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx.
§2
Vymezení xxxxx
Xxx xxxxx xxxx vyhlášky xx xxxxxx
x) xxxxxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxxx, provoz, xxxxxxx, údržbu a xxxxxxxxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxx xxxxxx, xxxxx xx přijatelné xxx orgán xxxx xxxxx, xxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx zákona, (xxxx xxx "povinná xxxxx") a xxxx xxxxx jej xxxxxxx xxxxxx dalších xxxxxxxxxxxxxx xxxxxxxx,
x) bezpečnostní xxxxxxxxx xxxxxx xxxxx a xxxxxxxx, které určují xxxxxx xxxxxxxxx xxxxxxx xxxxx,
x) hodnocením xxxxx xxxxxxx xxxxxx xxxxxxxxxxxx, xxxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu, která xxxx způsobit xxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xx xx provozu, rozvoji, xxxxxx nebo xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx zpracovává xxxx xxxxxxxxx informační a xxxxxxxxxxx systém,
h) xxxxxxx xxxxxxx, xx určitá xxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxx a xxxxxxx xxxxx,
x) xxxxxxx xxxxx xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx, xxxxx a xxxxxxxx xxxxxxxx xx xxxxxxxx xxxxx, sdílení xxxxxxxxx x xxxxxx x sledování x xxxxxxxxxxx xxxxx,
x) xxxxxxxx xxxxxx xxxxxxxxxxx informací xxxx systému řízení xxxxxxx xxxxx xxxxxxxx xx xxxxxxxx k xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému, xxxxx xxxxxxx xxxxxx xxxxxxxx, xxxxxxxx, xxxxxxxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxx bezpečnosti xxxxxxxxx x xxx,
x) xxxxxxxxxx xxxxxxx xxxxxx technické xxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x programové vybavení xxxxxxxxxxxx x komunikačního xxxxxxx x objekty, xx xxxxxxx jsou xxxx xxxxxxx xxxxxxxx, xxxxxxx xxxxxxx xxxx xxx dopad xx xxxxxxxxxx x xxxxxxxxxxx xxxxxx,
x) uživatelem xxxxxxx xxxx právnická xxxxx xxxxx xxxxx xxxxxxx xxxx, které xxxxxxxxx xxxxxx,
x) xxxxxxxxxx vedením xxxxx xxxx xxxxxxx xxxx, xxxxx řídí xxxxxxxx xxxxx, nebo xxxxxxxxxx xxxxx povinné xxxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx (dále xxx "provozovatel") x xxxxx, kdo s xxxxxxxx xxxxxx xxxxxxxx xx xxxxxxxx vztahu, xxxxx xx významný x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxx xxxxx, xxxxx xx xxxx může xxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxx xxxxxx,
x) zranitelností xxxxx xxxxx aktiva xxxx xxxxx xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxx xxxxxxxx xxxxxx nebo více xxxxxxxx.
ČÁST XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx xxxxxx xxxxxxxxxxx informací
Povinná xxxxx x xxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx x xxxxxxx xx xxxxxxxxx xxxxxxxxx xxxxx a xxxxxxxxxxx xxxxxxxxxx rozsah xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xx xxxxxx xxxx xxxxxxxxxxx části x xxxxxx, xxxxx xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx xxxx,
x) stanoví xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) pro xxxxxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxxxxx cílů xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, bezpečnostních potřeb x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxx rizika xxxxx §5,
e) xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, která xxxxxxxx xxxxxx xxxxxx, cíle, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx ve xxxxxx x xxxxxx xxxxxxxxxxx informací, x xx xxxxxxx bezpečnostních xxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §30 a xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx u xxxxxxxxxxxx a komunikačního xxxxxxx (xxxx jen "xxxxx xxxxxxxxxxxx xxxxxxxxxxx") xxxxx §16,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx stavu systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxx, xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx x xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx a následně xxxxx §11 xxxx xxxxxxxx xxxxx, které xxxxx xx xxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx,
x) xxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x příslušnou xxxxxxxxxxx xx základě xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x v xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxxx a
j) xxxx xxxxxx a xxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx a xxxxxxxxxxx xxxxxxxx spojené xx systémem řízení xxxxxxxxxxx xxxxxxxxx a xxxxxxx xxxxx.
§4
Xxxxxx xxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxx
x) stanoví xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) stanoví xxxxxxxx xxx hodnocení xxxxx xxxxxxx v rozsahu xxxxxxxx x příloze č. 1 x xxxx xxxxxxxx,
x) xxxxxxxxxxxx x eviduje xxxxxx,
x) xxxx x xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx a eviduje xxxxxxxx xxxxxx z xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x xxxxxx xx xx xxxxxxxxxxxx úrovní xxxxx xxxxxxx b),
f) určí x eviduje xxxxx xxxx primárními x xxxxxxxxxx xxxxxx a xxxxxxx důsledky závislostí xxxx xxxxxxxxxx a xxxxxxxxxx aktivy,
g) xxxxxxx xxxxxxxx aktiva x xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxx f),
h) xx xxxxxxx hodnocení xxxxx xxxxxxxxx a zavádí xxxxxxxx xxxxxxx nutná xxx zabezpečení xxxxxxxxxxxx xxxxxx aktiv,
i) xxxxxxx xxxxxxxxx xxxxxxx používání xxxxx a pravidla xxx xxxxxxxxxx s xxxxxx x xxxxxxx xx úroveň xxxxx, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxx xxxxx, a
j) xxxx xxxxxx xxxxxxxxx xxx, xxxxxxxxxx xxxxx, informací x xxxxxx kopií xxxx likvidaci xxxxxxxxxxx xxxxxx dat x xxxxxxx xx xxxxxx xxxxx x xxxxxxx x přílohou č. 4 k xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx xx xxxxx xxxxxxxx xxxxxxx
x) rozsah x důležitost xxxxxxxx xxxxx, xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxx jiných xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx a xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx veřejných, xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxx x xxxxx xxxxxxxx xxxxxx,
x) xxxxxx xx xxxxxxxxxxx důležitých xxxxxx,
x) xxxxxx narušení xxxxxxx xxxxxxxx,
x) xxxxxx xx zachování xxxxxxx xxxxx xxxx xxxxxxx xxxxx xxxxxxx,
x) xxxxxx xx bezpečnost a xxxxxx xxxx,
x) xxxxxx xx mezinárodní vztahy x
x) xxxxxx na xxxxxxxxx informačního a xxxxxxxxxxxxx xxxxxxx.
§5
Xxxxxx xxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx rizik v xxxxxxxxxx xx §4
x) xxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx, včetně xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxxxxx xxxxx,
x) x xxxxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxxxxxxx; přitom xxxxxxx xxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxxx x příloze č. 3 x této xxxxxxxx,
x) xxxxxxx hodnocení xxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 2 x xxx významných xxxxxxx,
x) při hodnocení xxxxx zohlední xxxxxxxxxx xxxxxx a xxxxxxxxxxxxx x xxxxxxx xxxxx xxxxxx xx aktiva; xxxx rizika xxxxxxx xxxxxxx x xxxxxxx přílohy č. 2 x této xxxxxxxx,
x) zpracuje xxxxxx x xxxxxxxxx rizik,
f) xxxxxxxx xx základě xxxxxxxxxxxxxx potřeb x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx x aplikovatelnosti, xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx požadovaných xxxxx xxxxxxxxx, xxxxx
1. xxxxxx aplikována, xxxxxx xxxxxxxxxx,
2. xxxx xxxxxxxxxx, xxxxxx xxxxxxx xxxxxx,
x) xxxxxxxx x xxxxxx xxxx xxxxxxxx xxxxx, xxxxx obsahuje cíle x xxxxxxx bezpečnostních xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx rizik, určení xxxxx xxxxxxxxxxx prosazování xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx, potřebné xxxxxxxx, technické, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxx jejich zavedení, xxxxx vazeb xxxx xxxxxx a příslušnými xxxxxxxxxxxxxx opatřeními a xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx,
x) při xxxxxxxxx xxxxx a x xxxxx xxxxxxxx xxxxx xxxxxxxx
1. významné xxxxx,
2. xxxxx xxxxxxx systému xxxxxx xxxxxxxxxxx informací,
3. xxxxxxxx podle §11 xxxxxx x
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxx řešených, x
x) x xxxxxxx x xxxxxx xxxxxxxx rizik xxxxxx xxxxxxxxxxxx xxxxxxxx.
(2) Xxxxxxx xxxxx uvedená x §3 xxxx. x), d) x x) xxxxxx xxxxxxx xxxxxxxxx rizik alespoň xxxxxx xxxxx a xxxxxxx xxxxx uvedená x §3 písm. x) xxxxxx xxxxxxx xxxxxx xx xxx xxxx.
(3) Řízení rizik xxxx xxx xxxxxxxxx x xxxxxx způsoby, xxx xxx xx xxxxxxxxx v odstavci 1 písm. d), xxxxx xxxxxxx xxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx zajistí stejnou xxxx xxxxx úroveň xxxxxxx xxxxxx rizik.
§6
Xxxxxxxxxxx xxxxxxxxxx
(1) Povinná xxxxx x xxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) zajistí xxxxxxxxx xxxxxxxxxxxx politiky x xxxx xxxxxxx xxxxxx bezpečnosti informací xxxxx §3 slučitelných xx xxxxxxxxxxxx směřováním xxxxxxx osoby,
b) xxxxxxx xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx xx xxxxxxx povinné xxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx xxx xxxxxx xxxxxx xxxxxxxxxxx informací,
d) xxxxxxxxx zaměstnance o xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx dosažení xxxxx x xxxx xxxxxxxxx xx xxxxx dotčenými xxxxxxxx,
x) zajistí podporu x xxxxxxxx zamýšlených xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací,
f) xxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx systému xxxxxx xxxxxxxxxxx informací x xxxxxxxxx je xxx xxxxx rozvíjení,
g) xxxxxxxxx xxxxxxxx xxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxx zastávající xxxxxxxxxxxx xxxx xxx xxxxxxxxxxx kybernetické xxxxxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx x osob, xxxxx budou zastávat xxxxxxxxxxxx xxxx,
x) xxxxxxx, xxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx a xxxx zastávajících bezpečnostní xxxx,
x) xxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx role xxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx rolí x xxxxxx xxxxxxxxxxxxx xxxxx x
x) xxxxxxx xxxxxxxxx plánů kontinuity xxxxxxxx, xxxxxx x xxxxxxx spojených xx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx x xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx xxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx a bezpečnostní xxxx x xxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxx informací.
(3) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x x) xxxxxx xxxx xxxxx, xxxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxx a
d) xxxxxxxx kybernetické bezpečnosti.
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx určí xxxx manažera xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxx. Ostatní xxxxxxxxxxxx xxxx xxxxx xxxxxxxx 3 určí přiměřeně xxxxxxxx k rozsahu x potřebám systému xxxxxx bezpečnosti xxxxxxxxx.
(5) Xxxxxxx xxxxx xxxxxxx x §3 písm. x), x) a x) xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx x xxxxxxxx 3 písm. x) x x).
(6) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. e) xxxxxx zajistí xxxxxxxxxxxxxx xxxxxxxxxxxx role xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(7) Výbor xxx xxxxxx kybernetické xxxxxxxxxxx je xxxxxx xxxxxxx x příslušnými xxxxxxxxxxx a xxxxxxxx xxxxxxxxxxxx xxx xxxxxxx xxxxxx x xxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx x xxxxxxx xxxxxxxx xx xxxxxxxxxxxx xx xxxxxx x xxxxxxxxxx xxxxxxxx spojených x xxxxxxxxxxxxx bezpečností, xxxxx xxxxxx musí xxx alespoň xxxxx xxxxxxxx xxxxxxxxxxx xxxxxx xxxx jím xxxxxxxx xxxxx a xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx. Povinná xxxxx u xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx v příloze č. 6 x xxxx xxxxxxxx.
§7
Bezpečnostní role
(1) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxxxxxxxxxx xxxx xxxxxxxxx xx systém řízení xxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxx role xxxx být xxxxxxxx xxxxx, xxxxx xx xxx xxxx činnost xxxxxxxxx x prokáže xxxxxxxx xxxxxxxxxxx praxí x xxxxxxx kybernetické xxxxxxxxxxx nebo s xxxxxxx xxxxxxxxxxx informací
1. xx dobu xxxxxxx xxx let, nebo
2. xx dobu xxxxxxx xxxx, xxxxx xxxxxxxxxxx xxxxxxx xx vysoké xxxxx,
x) xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxx x
1. xxxxxxxxxx xxxxxxxxxxxxx x xxxxxxx xxxx xxxxxxxxxxxx a
2. xxxxx systému xxxxxx xxxxxxxxxxx informací x
x) xxxxx xxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxx xx provoz informačního x xxxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxx role xxxxxxxxx xx zajištění xxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx xxx, xxx xxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, xxxxxxx xxxxxxx xxxx xxxx xxxx xxx xxxxxxxx xxxxx, xxxxx je xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxxx bezpečnosti
a) xx dobu xxxxxxx xxx xxx, nebo
b) xx dobu jednoho xxxx, xxxxx absolvovala xxxxxxx xx xxxxxx xxxxx.
(3) Xxxxxx xxxxxx xx xxxxxxxxxxxx role xxxxxxxxx za zajištění xxxxxxx, xxxxxxx x xxxxxxxxxx xxxxxx.
(4) Auditor xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxxxxxxxxxx xxxx odpovědná xx provádění auditu xxxxxxxxxxxx bezpečnosti, xxxxxxx xxxxxxx xxxx role xxxx xxx xxxxxxxx xxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx x prokáže xxxxxxxx xxxxxxxxxxx praxí x xxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxx xxxxxxx řízení xxxxxxxxxxx informací
1. xx xxxx xxxxxxx xxx xxx, nebo
2. xx xxxx jednoho xxxx, xxxxx xxxxxxxxxxx xxxxxxx xx xxxxxx xxxxx,
x) xxxxxxxx, xx provedení xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxx, a
c) xxxxx být xxxxxxx xxxxxxx jiných xxxxxxxxxxxxxx xxxx.
(5) Povinná osoba xxx xxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx x příloze č. 6 x xxxx xxxxxxxx.
§8
Xxxxxx xxxxxxxxxx
(1) Xxxxxxx xxxxx
x) stanoví xxxxxxxx xxx xxxxxxxxxx, která xxxxxxxxxx xxxxxxxxx systému xxxxxx xxxxxxxxxxx informací,
b) xxxx xxxxxxxx svých xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxx své xxxxxxxx dodavatele x xxxxxx evidenci podle xxxxxxx x),
x) xxxxxxxxx xxx dodavatele x xxxxxxxx xxxxx písmene x) x vyžaduje xxxxxx těchto xxxxxxxx,
x) xxxx rizika xxxxxxx x dodavateli,
f) v xxxxxxxxxxx x xxxxxxx xxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxx, xxx smlouvy xxxxxxxxx x významnými dodavateli xxxxxxxxxx relevantní oblasti xxxxxxx x příloze č. 7 x této vyhlášce, x
x) xxxxxxxxxx přezkoumává xxxxxx smluv x xxxxxxxxxx xxxxxxxxxx z xxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Povinná xxxxx x významných xxxxxxxxxx xxxx
x) x xxxxx xxxxxxxxxx xxxxxx x xxxx xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxx souvisejících s xxxxxxx xxxxxxxx výběrového xxxxxx xxxxxxxxx xxxxx přílohy č. 2 x této xxxxxxxx,
x) v xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx xxxxxxx a xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx x xxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxx rizik x xxxxxxxxxxx kontrolu zavedených xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxx plnění xxxxxx xxxxxxxxx xxxxxx xxxx xxxxxx xxxxx xxxxxx x
x) x xxxxxx xx xxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxx.
(3) Xxxxxxxxxxx xxxxxxxxxxxxxx informování xxxxx xxxxxxxx 1 xxxx. x) xxxx
x) xxxxxxxxxxxx xxxxxxx nebo xxxxxxxxxxxxx,
x) xxxxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx,
x) identifikace xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx x skutečnosti, že xxxxxxxxx je xxx xxxxxxx xxxxxxxxx xxxxxxxxxxx, x xxxxxxxxx xxxx x tom, xx xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx, x
x) xxxxx xxxxxxxx podle xxxxxxxx 1 xxxx. x).
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx, která xx xxxxxxxxxxxxxx a xxxx prokazatelně informována xxxxx xxxxxxxx 1 xxxx. c), hlásí xxxxxxxxx xxxxx xxxxxx xxxxxxxx v §34.
§9
Bezpečnost lidských zdrojů
(1) Xxxxxxx xxxxx x xxxxx xxxxxx bezpečnosti xxxxxxxx xxxxxx
x) x xxxxxxx na xxxx x potřeby xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx plán xxxxxxx xxxxxxxxxxxxxx povědomí, xxxxx xxxxx xx zajistit xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x který obsahuje xxxxx, xxxxx x xxxxxx
1. poučení uživatelů, xxxxxxxxxxxxxx, osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx a xxxxxxxxxx o jejich xxxxxxxxxxxx x x xxxxxxxxxxxx politice a
2. xxxxxxxxxx teoretických i xxxxxxxxxxx školení xxxxxxxxx, xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx bezpečnostní xxxx,
x) xxxx xxxxx odpovědné xx xxxxxxxxx jednotlivých xxxxxxxx, xxxxx jsou x xxxxx xxxxxxx,
x) x xxxxxxx s xxxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx bezpečnostní xxxx x xxxxxxxxxx x xxxxxx xxxxxxxxxxxx x x bezpečnostní xxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) pro xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx x souladu x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx odborná xxxxxxx, xxxxxxx xxxxxxx x xxxxxxxxxx xxxxxx xxxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) x xxxxxxx s plánem xxxxxxx bezpečnostního xxxxxxxx xxxxxxx pravidelné xxxxxxx x xxxxxxxxx bezpečnostního xxxxxxxx xxxxxxxxxxx v xxxxxxx x xxxxxx xxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx ze xxxxxx xxxxxxxxx, administrátorů x xxxx zastávajících xxxxxxxxxxxx xxxx,
x) v xxxxxxx xxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxxx x xxxxxxx xxxxxxxxxxxxx bezpečnostní xxxx xxxxxxx xxxxxxx xxxxxxxxxxxx,
x) hodnotí xxxxxxxx xxxxx xxxxxxx bezpečnostního xxxxxxxx, xxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
x) xxxx xxxxxxxx x xxxxxxx pro xxxxxx xxxxxxx xxxxxxxx stanovených xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Povinná xxxxx vede o xxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx, xxxxx xxxxxxxx xxxxxxx školení x xxxxxx xxxx, xxxxx xxxxxxx absolvovaly.
§10
Řízení provozu x xxxxxxxxxx
(1) Povinná xxxxx x xxxxx xxxxxx xxxxxxx x komunikací xxxxxxxxx xxxxxxxx provoz xxxxxxxxxxxx a komunikačního xxxxxxx a xxxxxxx xxxxxxxx pravidla x xxxxxxx, xxxxx xxxxxxxx xxxxxxx
x) xxxxx a xxxxxxxxxx xxxxxxxxxxxxxx, uživatelů x xxxx zastávajících xxxxxxxxxxxx xxxx,
x) xxxxxxx xxx spuštění a xxxxxxxx xxxxx xxxxxxx, xxx restart xxxx xxxxxxxx xxxxx systému xx xxxxxxx a xxx xxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx a opatření xxx ochranu přístupu x xxxxxxxx x xxxxxx xxxxxxxxxx,
x) pravidla x xxxxxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxx,
x) xxxxxx technických xxxxxxxxxxxxx,
x) xxxxxxx xx xxxxxxxxx osoby, které xxxx pověřeny xxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxxxx provozních xxxx,
x) xxxxxxx pro xxxxxxxxx, plánování x xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxxx x xxxxxxx xxx ochranu xxxxxxxxx x xxx x xxxxxxx xxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx,
x) provádění xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx provedených xxxxx a
l) xxxxxxxx x postupy xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx.
(2) Xxxxxxx xxxxx x xxxxx řízení xxxxxxx x komunikací xxxxxxxx pravidla a xxxxxxx stanovené xxxxx xxxxxxxx 1 x xxxx xxxxxxxx x xxxxxxx aktualizuje x xxxxxxxxxxx s xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx.
(3) Xxxxxxx xxxxx xxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxx.
§11
Xxxxxx xxxx
(1) Xxxxxxx xxxxx v rámci xxxxxx xxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) xxxxxxxxxxx xxxxx xxxxxx xxxx x
x) xxxxxx xxxxxxxx xxxxx.
(2) Xxxxxxx osoba x xxxxxxxxxx změn
a) xxxxxxxxxxx xxxxxx xxxxxx,
x) xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxx xx účelem xxxxxxx xxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxxxx politiku x xxxxxxxxxxxx xxxxxxxxxxx,
x) zajistí xxxxxx xxxxxxxxx a
f) xxxxxxx xxxxxxx xxxxxxxxx xx původního stavu.
(3) Xxxxxxx xxxxx uvedená x §3 xxxx. x), x) a x) zákona na xxxxxxx výsledků xxxxxxx xxxxx xxxxx odstavce 2 xxxx. x) xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx nebo xxxxxxxxx zranitelností; xxxxx xxxxxxxx x provedení xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxxxx, postupuje xxxxx §25 xxxx. 1 a xxxxxxx xx xxxxxxxx xxxxxxxxxx.
(4) Xxxxxxx xxxxx uvedená x §3 xxxx. x) xxxxxx se xxxx xxxxxxxxx podle xxxxxxxx 3 xxxxxxxxx.
§12
Řízení xxxxxxxx
(1) Xxxxxxx xxxxx xx základě xxxxxxxxxx x bezpečnostních xxxxxx řídí přístup x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx, xxxxx xxxxxx k xxxxxxxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxx §19 x 20, x xxxxx brání ve xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(2) Xxxxxxx xxxxx dále v xxxxx xxxxxx přístupu x xxxxxxxxxxxx a xxxxxxxxxxxxx systému
a) xxxx xxxxxxx xx xxxxxxx xxxxxx x rolí,
b) xxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxx a xxxxxxxxxxxxx systému xxxxxxxxxx xxxxx a xxxxxxxxx x xxxxxxxxx identifikátor,
c) xxxx xxxxxxxxxxxxxx, přístupová xxxxx x oprávnění xxxxxxxx x xxxxxxxxxxx xxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxxx xxx řízení xxxxxxxx xxxxxxxx x xxxxxxxxxxx informačního a xxxxxxxxxxxxx systému,
e) zavádí xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxx bezpečné xxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxx technických xxxxxxxx, xxxxxxxxx i xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx technických xxxxxxxx, xxxxx xxxxxxx xxxxx xxxx ve xxx xxxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxx oprávnění xx xxxxxx xxxxxxxx xxxxxx x výkonu náplně xxxxx,
x) xxxxx x xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx xxxx aplikační xxxxxxxx,
x) xxxxxxxxx a xxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx s xxxxxxxxx xxxxxx xxxxxxxx,
x) xxxxxxx pravidelné xxxxxxxxxxx xxxxxxxxx veškerých xxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxx xx přístupových xxxxxx x xxxx,
x) xxxxxxx xxxxxxx pro xxxxxx x xxxxxxxxx xxxxxxxx xxxxx §19 a xxxxxxx pro řízení xxxxxxxxxxxx xxxxxxxxx xxxxx §20,
x) xxxxxxxxx, xxx xxxxxxxxx xxx xxxxxxxxx xxxxxxxxxx autentizačních informací xxxxxxxxxx xxxxxxxxx xxxxxxx,
x) xxxxxxx odebrání xxxx xxxxx přístupových xxxxxxxxx xxx změně pozice xxxx zařazení uživatelů, xxxxxxxxxxxxxx nebo xxxx xxxxxxxxxxxxx bezpečnostní role,
m) xxxxxxx xxxxxxxx nebo xxxxx přístupových xxxxxxxxx xxx xxxxxxxx xxxx xxxxx smluvního vztahu x
x) xxxxxxxxxxx přidělování x xxxxxxxxx přístupových xxxxxxxxx.
§13
Xxxxxxxx, xxxxx x xxxxxx
Xxxxxxx xxxxx v xxxxxxxxxxx s xxxxxxxxxx xxxxxxxx, vývojem x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému
a) xxxx xxxxxx xxxxx §5,
x) xxxx významné xxxxx xxxxx §11,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) zahrne xxxxxxxxxxxx požadavky xx xxxxxxxx xxxxxxxx, vývoje x xxxxxx,
x) zajistí xxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx x xxxxxxx ochranu xxxxxxxxxxx xxxxxxxxxxx xxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxx xxxx xxxxxx xxxxxxxxx do xxxxxxx x
x) xxxx xxxxxxxxx xxxxx §19 odst. 3, je-li cílem xxxxxxxxx xxxxxxxx xxxx xxxxxx xxxxxxx xxx xxxxxx x xxxxxxxxx xxxxxxxx.
§14
Xxxxxxxx kybernetických bezpečnostních xxxxxxxx x xxxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) zavede proces xxxxxxx a vyhodnocování xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
b) přidělí xxxxxxxxxxxx x xxxxxxx xxxxxxx pro
1. detekci x vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx a
2. koordinaci x xxxxxxxx kybernetických xxxxxxxxxxxxxx incidentů,
c) xxxxxxxx x aplikuje xxxxxxx xxx xxxxxxxxxxxx, sběr, xxxxxxx a xxxxxxxx xxxxxxxxxxx podkladů xxxxxxxxxx xxx analýzu kybernetického xxxxxxxxxxxxxx incidentu,
d) zajistí xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) při xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx xx dále xxxx §22 x 23,
f) xxxxxxx, xx xxxxxxxxx, xxxxxxxxxxxxxx, osoby xxxxxxxxxxx xxxxxxxxxxxx role, další xxxxxxxxxxx x dodavatelé xxxxx xxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx systému a xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxx,
x) zajistí xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxx xxxxxx xxxx xxx xxxxxxxxxx, zda xxxx být xxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §31,
x) xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx postupů,
i) přijímá xxxxxxxx pro xxxxxxxxx x zmírnění dopadu xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx,
x) xxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx xxxxx §32,
k) xxxx záznamy x xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx x x jejich xxxxxxxx,
x) prošetří a xxxx příčiny xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x
x) xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xx xxxxxxx xxxxxxxxxxx xxxxxxx nutná xxxxxxxxxxxx opatření, popřípadě xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx k zamezení xxxxxxxxx řešeného xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. c), x) a f) xxxxxx dále při xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx používá xxxxxxx xxxxx §24.
§15
Xxxxxx xxxxxxxxxx xxxxxxxx
Xxxxxxx xxxxx x xxxxx xxxxxx xxxxxxxxxx xxxxxxxx
x) xxxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxx xxxxxxxxx xxxxx x xxxxxxx xxxxxx vyhodnotí a xxxxxxxxxxx xxxxx dopady xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxx kontinuity xxxxxxxx,
x) xx základě výstupů xxxxxxxxx rizik x xxxxxxx xxxxxx xxxxx xxxxxxx x) xxxxxxx xxxx řízení xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx úrovně poskytovaných xxxxxx, xxxxx xx xxxxxxxxxx xxx užívání, xxxxxx x správu xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
2. doby xxxxxxxx xxxxx, xxxxx xxxxx xxxx po xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx poskytovaných xxxxxx informačního a xxxxxxxxxxxxx xxxxxxx, x
3. xxxx obnovení xxx xxxx časové období, xx xxxxx xxxx xxx xxxxxx xxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxx xx selhání,
d) stanoví xxxxxxxx řízení xxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx c),
e) xxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxx xxxxx kontinuity xxxxxxxx x havarijní xxxxx xxxxxxxxxxx s xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx a xxxxxxxxxxxxx xxxxxx x
x) xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx informačního x komunikačního xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx a xxxxxxxx xxxxxxxxxxx x vychází xxx xxx x xxxxxxxxx xxxxx §27.
§16
Audit xxxxxxxxxxxx bezpečnosti
(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xxxxxxx x xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx, x výsledky xxxxxx xxxxxxxx v xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx xxxxx a
b) xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, vnitřními xxxxxxxx, jinými xxxxxxxx x xxxxxxxxx závazky xxxxxxxxxxxx xx x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx a xxxx xxxxxxxx xxxxxxxx xxxxxxxx xxx zajištění xxxxxxx.
(2) Xxxxx xxxxx xxxxxxxx 1 xx xxxxxxxx
x) xxx xxxxxxxxxx xxxxxxx, x xxxxx xxxxxx xxxxxxx,
x) v xxxxxxxxxxxx xxxxxxxxxxx alespoň xx 3 xxxxxx v xxxxxxx xxxxxxx osoby xxxxxxx v §3 xxxx. x) zákona x
x) x xxxxxxxxxxxx xxxxxxxxxxx alespoň po 2 xxxxxx v xxxxxxx xxxxxxx xxxxx xxxxxxxxx x písmenu x).
(3) Xxxx-xx v xxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxx v xxxxxxxxxxx xxxxx odstavce 2 xxxx. x) x c) v xxxxx rozsahu, xx xxxxx xxxxx xxxxxxxx xxxxxxxx xx xxxxxxxxxxxxxx xxxxxxx. V xxxxxxx xxxxxxx xx nutno xxxxx x celém xxxxxxx provést nejpozději xx 5 xxx.
(4) Xxxxx kybernetické bezpečnosti xxxx xxx prováděn xxxxxx xxxxxxxxxx podmínkám xxxxxxxxxx x §7 xxxx. 4, xxxxx xxxxxxxxx hodnotí xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(5) Xxxxxxx xxxxx, xxxxx xx xxxxxxxx xxxxxxxxxxxxxx, předkládá xxxxxxxx auditu kybernetické xxxxxxxxxxx správci daného xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx.
XXXXX XX
XXXXXXXXX XXXXXXXX
§17
Xxxxxxx xxxxxxxxxx
Xxxxxxx osoba v xxxxx xxxxxxx bezpečnosti
a) xxxxxxxxx xxxxxxxxx, krádeži xxxx xxxxxxxx xxxxx xxxx přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxxx oblast, ve xxxxx jsou xxxxxxxxxx x xxxxxxxxxxxx informace x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx systému, x
x) x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx b) xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxx prostředky xxxxxxx xxxxxxxxxxx
1. k zamezení xxxxxxxxxxxxx xxxxxx,
2. x xxxxxxxx poškození x xxxxxxxxxxxx xxxxxxx x
3. xxx xxxxxxxxx ochrany xx úrovni xxxxxxx x v xxxxx xxxxxxx.
§18
Xxxxxxxxxx xxxxxxxxxxxxx xxxx
Xxxxxxx xxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxx x xxxxxxx xxxxx §3 písm. x)
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxx komunikace x xxxxx xxxxxxxxxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxx,
x) pomocí xxxxxxxxxxxx xxxxxxx xxxxxxxxx a xxxxxxxxx xxx xxx xxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxx xxxx při xxxxxxxx xx xxxxxxxxxxx xxxx xxxxxx bezdrátových xxxxxxxxxxx,
x) aktivně blokuje xxxxxxxxx komunikaci x
x) xxx xxxxxxxxx segmentace xxxx x pro xxxxxx xxxxxxxxxx xxxx xxxxxx segmenty xxxxxxx xxxxxxx, který xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx.
§19
Správa x xxxxxxxxx xxxxxxx
(1) Xxxxxxx xxxxx xxxxxxx xxxxxxx xxx xxxxxx x ověření xxxxxxxx xxxxxxxxx, administrátorů x xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxx pro xxxxxx x ověření identity xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxx xxxxxxxxx
x) xxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxxxx x informačním x xxxxxxxxxxxx systému,
b) xxxxxx xxxxx xxxxxxx xxxxxxxxxxx pokusů x xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxx přenášených xxxxxxxxxxxxxx xxxxx xxxxx xxxxxxxxxxxxx xxxxxxxx x xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxxxx xxxxx xx xxxxx xxxxxx xxxxx xxxxxxx xxxxxx,
x) xxxxxxxx ověření identity xx xxxxxx době xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxx při xxxxxx xxxxxxxx x
x) xxxxxxxxxxxxxxx xxxxxx xxxxxxx.
(3) Xxxxxxx xxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxx xxxxxxxx xxxxx na xxxxxxx xxxxxxxxxxxxxx xxxx x xxxxx, xxxxx na xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxx xxxxxxx xxxx xxxxxxx.
(4) Xx xxxx splnění xxxxxxxxx xxxxx odstavce 3 xxxx xxxxxxx pro xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxx x xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx.
(5) Xx xxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx 4 xxxx xxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx, xxxxx xxxxxxx x xxxxxxxxxxx identifikátor xxxx a xxxxx, xxxxxxxxx pravidla
a) xxxxx xxxxx xxxxxxx
1. 12 xxxxx x xxxxxxxxx x
2. 17 xxxxx x administrátorů x xxxxxxxx,
x) xxxxxxxxxx zadat xxxxx x xxxxx xxxxxxx 64 znaků,
c) xxxxxxxxxxx xxxxxxx malých x xxxxxxx písmen, xxxxxx a xxxxxxxxxxx xxxxx,
x) umožňující xxxxxxxxxx xxxxx xxxxx, přičemž xxxxxx xxxx xxxxx xxxxxxx xxxxx nesmí xxx xxxxxx xxx 30 xxxxx,
x) neumožňující xxxxxxxxxx x xxxxxxxxxxxxxxx
1. xxxxxx xx xxxxxxxxxx xxxxxxxxx xxxxx,
2. tvořit xxxxx xx základě xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx, xxxxxxxxxxxxxx xxxxx, x-xxxxx, xxxxx systému xxxx xxxxxxxx xxxxxxxx x
3. xxxxxxxx xxxxxxx xxxxx xxxxxxxxxxx hesel x xxxxxx xxxxxxx 12 xxxxxxxxxxx hesel x
x) xxx xxxxxxxx xxxxx hesla x xxxxxxxxx xxxxxxxxx xx 18 xxxxxxxx, přičemž xxxx pravidlo xx xxxxxxxxxx xx účty xxxxxxxx x xxxxxx xxxxxxx v xxxxxxx xxxxxxx.
(6) Xxxxxxx xxxxx x případě xxxxxxxxx xxxxxxxxxxx pouze xxxxx x heslem xxxx
x) xxxxxx xxxxxxxxxxxx změnu xxxxxxxxx hesla xx xxxx xxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx k xxxxxxxx xxxxxxxx xx xxxx xxxxxx použití xxxx xxxxxxxxx xxxxxxx 60 xxxxx xx xxxx xxxxxxxxx a
c) xxxxxxx xxxxxx pravidla tvorby xxxxxxxxxx xxxxx xx xxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxx §9.
§20
Řízení přístupových oprávnění
Povinná xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxx oprávnění, xxxxxx xxxxxxx xxxxxx xxxxxxxxx
x) xxx xxxxxxx k xxxxxxxxxxx xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx x
x) pro xxxxx xxx, xxxxx dat x xxxxx xxxxxxxxx.
§21
Xxxxxxx xxxx xxxxxxxxx xxxxx
(1) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. c), x) x x) zákona x xxxxx ochrany xxxx škodlivým xxxxx
x) x xxxxxxx na xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxx nástroje xxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx
1. xxxxxxxxx xxxxxx,
2. xxxxxxxxx xxxxxxxx,
3. serverů,
4. datových xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
5. komunikační xxxx x xxxxx xxxxxxxxxxx xxxx a
6. xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x řídí xxxxxxxxx xxxxxxxxx zařízení x xxxxxxxx xxxxxx,
x) xxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxx nosičů,
d) xxxx xxxxxxxxx xx xxxxxxxxx xxxx x
x) xxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxx.
(2) Xxxxxxx osoba xxxxxxx x §3 xxxx. x) xxxxxx xxxxxxxxx xxxxx xxxxxxxx 1 přiměřeně.
§22
Zaznamenávání xxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx, xxxx xxxxxxxxx x xxxxxxxxxxxxxx
(1) Xxxxxxx osoba
a) xxxxxxxxxxx bezpečnostní x xxxxxxxx provozní xxxxxxxx xxxxxxxxxx aktiv xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x
x) na xxxxxxx xxxxxxxxx důležitosti xxxxx xxxxxxxxxxx rozsah xxxxx, x xxxxxxx xx xxxxxxxxxxxxx bezpečnostních x xxxxxxxxxx událostí prováděno.
(2) Xxxxxxx xxxxx pro xxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx událostí xxxxx xxxxxxxx 1 xxxxxxxxx
x) xxxxxxxxxxxx síťovou xxxxxxxxxxxx xxxxxxxx původce, xx-xx x komunikační síti xxxxxx nástroj, který xxxx xxxx xxxxxxx xxxxxxxxxxxx,
x) xxxx xxxxxxxxx x xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxx; xxxxxxx xxxxxxxxxxx
1. xxxxx a xxx xxxxxx specifikace xxxxxxxx pásma,
2. xxx xxxxxxxx,
3. identifikaci xxxxxxxxxxx xxxxxx, xxxxx xxxxxxx xxxxxxxxxxx,
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxx, pod xxxxxx xxxx xxxxxxx provedena,
5. xxxxxxxxxxxx síťovou identifikaci xxxxxxxx původce a
6. xxxxxxxxx nebo xxxxxxxxxxx xxxxxxxx,
x) ochranu xxxxxxxxx xxxxxxxxx podle xxxxxx x) a b) xxxx xxxxxxxxxxxx čtením x jakoukoli xxxxxx,
x) xxxxxxxxxxxxx
1. přihlašování x xxxxxxxxxxx xx xxxx xxxxx, x xx xxxxxx xxxxxxxxxxx xxxxxx,
2. xxxxxxxx xxxxxxxxxxx administrátory,
3. xxxxxxx x neúspěšné xxxxxxxxxx x xxxx, xxxxxxxxxxx x xxxxx,
4. xxxxxxxxxxx činností x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxx a xxxxxxxxx,
5. xxxxxxxx uživatelů, xxxxx xxxxx xxx xxxx xx bezpečnost xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
6. xxxxxxxx a xxxxxxxx xxxxxxxx technických xxxxx,
7. xxxxxxxxxx x chybových xxxxxxx xxxxxxxxxxx aktiv x
8. přístupů x xxxxxxxx x xxxxxxxxxx, xxxxxx o manipulaci xx xxxxxxx x xxxxxxxxxx x xxxxx xxxxxxxxx nástrojů xxx xxxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxxx xxxxx nejméně xxxxxx xx 24 xxxxx.
(3) Povinná osoba xxxxxxx x §3 xxxx. x), x) x x) xxxxxx xxxxxxxx záznamy xxxxxxxx xxxxxxxxxxxxx podle xxxxxxxx 2 xxxxxxx po xxxx 18 xxxxxx.
(4) Xxxxxxx xxxxx uvedená x §3 xxxx. x) zákona uchovává xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxx xx xxxx 12 xxxxxx.
§23
Detekce kybernetických xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxxxxxxx xxxx, xxxxx součástí xx xxxxxxxxxx a xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx x xxxxxxxx přenášených xxx x rámci xxxxxxxxxxx sítě x xxxx komunikačními xxxxxx,
x) xxxxxxx a xxxxxxxx xxxxxxxxxxx xxx xx xxxxxxxxx komunikační xxxx x
x) xxxxxxxxx xxxxxxxxx xxxxxxxxxx.
(2) Povinná osoba xxxxxxx x §3 xxxx. x), x) x x) xxxxxx xxxxxxx detekci kybernetických xxxxxxxxxxxxxx xxxxxxxx přiměřeně x xxxxxxx na xxxxxxxxxx xxxxx x xxxxx
x) xxxxxxxxx stanic,
b) xxxxxxxxx xxxxxxxx,
x) serverů,
d) xxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxx x
x) obdobných xxxxx.
§24
Xxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
Povinná xxxxx xxxxxxx x §3 xxxx. c), x) x x) xxxxxx xxxxxxx xxxxxxx xxx sběr x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, který xxxxxx
x) sběr x xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx §22 a 23,
x) vyhledávání x xxxxxxxxxxx souvisejících xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxx xxxxxx bezpečnostní xxxx x xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxx,
x) xxxxxxx případů xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx
1. xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x
2. xxxxxx varování a
f) xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxx nastavení xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx systému.
§25
Xxxxxxxxx xxxxxxxxxx
(1) Xxxxxxx xxxxx xxxxxxx penetrační xxxxx informačního x xxxxxxxxxxxxx systému xx xxxxxxxxx xx xxxxxxxx xxxxxx, x xx
x) xxxx xxxxxx xxxxxxxx xx provozu x
x) x xxxxxxxxxxx x xxxxxxxxx xxxxxx podle §11 xxxx. 3.
(2) Xxxxxxx xxxxx dále x xxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx xxxxxxxx, xxxxxxxxx x xxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxx a
b) xxxxxxxx xxxxxxxxxxx činností.
§26
Kryptografické xxxxxxxxxx
Xxxxxxx osoba xxx ochranu xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) xxxxxxx aktuálně xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxx správy xxxxx a xxxxxxxxxxx, xxxxx
1. xxxxxxx generování, xxxxxxxxxx, xxxxxxxx, xxxxx, xxxxxxx platnosti, xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxx a
2. xxxxxx xxxxxxxx x xxxxx,
x) xxxxxxxxx bezpečné xxxxxxxxx x xxxxxxxxxxxxxxxx prostředky x
x) xxxxxxxxxx xxxxxxxxxx x oblasti xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx Xxxxxx, xxxxxxxxxx xx xxxx xxxxxxxxxxxxx xxxxxxxxx.
§27
Xxxxxxxxxxx xxxxxx dostupnosti xxxxxxxxx
Xxxxxxx xxxxx xxxxxx xxxxxxxx pro xxxxxxxxxxx xxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému xxx xxxxxxx xxxx xxxxx §15,
x) xxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx vůči xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx mohly snížit xxxx xxxxxxxxxx,
x) dostupnost xxxxxxxxxx technických aktiv xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x
x) xxxxxxxxxx xxxxx xxxxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx.
§28
Xxxxxxxxxx, řídicí x xxxxxxx xxxxxxxxxx xxxxxxx
Xxxxxxx xxxxx pro xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx, xxxxxxxx a xxxxxxxxx xxxxxxxxxxxx xxxxxxx používá xxxxxxxx x opatření, xxxxx xxxxxxx
x) xxxxxxx xxxxxxxxxxx x programových xxxxxxxxxx, xxxxx jsou xxxxxx do specifického xxxxxxxxx,
x) omezení fyzického xxxxxxxx x zařízením xxxxxx xxxxxxx x xx xxxxxxxxxxx xxxx,
x) xxxxxxxxx xxxxxxxxxxx sítě xxxxxx xxx xxxx xxxxxxx od ostatní xxxxxxxxxxxxxx,
x) xxxxxxx x xxxxxx vzdáleného xxxxxxxx x xxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx těchto xxxxxxx xxxx xxxxxxxx známých xxxxxxxxxxxxx a
f) xxxxxxxx xxxxx těchto xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
§29
Xxxxxxxxx xxxxxx
(1) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. h) xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx podle xxxxxxxxxxx xxxxxxxx Xxxxxx (XX) 2018/151 ze xxx 30. ledna 2018, xxxxxx xx xxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Xxxx (XX) 2016/1148, xxxxx xxx x xxxxxx xxxxxxxxx xxxxx, které xxxx xxxxxxxxxxxxx digitálních xxxxxx xxxxxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx xxxxx, jimiž xxxx vystaveny xxxx x xxxxxxxxxx xxxxxxx, x parametrů pro xxxxxxxxxx xxxx, xxx xx xxxxx xxxxxxxxx xxxxxxxx; ustanovení §3 xx 28 xx xx xxxx xxxxxxxx xxxxx nepoužijí.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxx kontaktní xxxxx xxxxx §34 xxxx. 2.
(3) Povinná xxxxx xxxxxxx v §3 xxxx. h) xxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §32 xxxx. 2 x 3.
XXXXX III
BEZPEČNOSTNÍ XXXXXXXX X XXXXXXXXXXXX DOKUMENTACE
§30
Bezpečnostní xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxxxx osoba
a) xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx v příloze č. 5,
x) xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx a
c) xxxxxxx, xxx xxxx xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx.
(2) Xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx musí být
a) xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxx podobě,
b) xxxxxxxxxxxx v xxxxx xxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxx,
x) xxxxxx,
x) xxxxxxxx x xxxxxxx důvěrnosti, xxxxxxxxx x dostupnosti a
f) xxxxxx xxx, xxx xxxxxxxxx v xxxx xxxxxxxx xxxx xxxxx, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx x snadno vyhledatelné.
XXXX TŘETÍ
KYBERNETICKÝ BEZPEČNOSTNÍ XXXXXXXX
§31
Xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxx podle významnosti xxx zohlednění
a) xxxxxx xxxxxxxxxx x dopadových xxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxx xxxxxxx xxxxx xxxxxx,
x) xxxxx xxxxxxxxx uživatelů,
c) xxxxxxxxx xxxx předpokládané škody,
d) xxxxxxxxxxx dotčených aktiv xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx informačního x xxxxxxxxxxxxx systému,
f) xxxxxx xx xxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxx xxxxxx xxxxxxxxx,
x) xxxxxxxxxxx rozsahu dotčené xxxxxxx x
x) xxxxxxx xxxxxx.
(2) Xxx xxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xx základě xxxxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx do xxxxxxxxxxxxx kategorií
a) Xxxxxxxxx XXX - velmi xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, při xxxxxx xx xxxxx x xxxxxxxx narušena bezpečnost xxxxxxxxxxxxx xxxxxx nebo xxxxx. Xxxx řešení xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x tím, xx musí být xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx dalšímu šíření xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxxxx xxxxxxxxxxxx vzniklých x xxxxxxxxxxxxx škod,
b) Xxxxxxxxx XX - xxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx kterém xx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx. Jeho xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx s xxx, xx musí xxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxxx xxxxxxxxxxxx vzniklých xxxx, xxxx
x) Xxxxxxxxx I - xxxx xxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx xxxxxx xxxxxxx x xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxx poskytovaných xxxxxx xxxx xxxxx. Xxxx xxxxxx vyžaduje xxxxxx obsluhy x xxx, že xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
(3) Xxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxx xxxx
x) kybernetický xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxx xxxxxxxxxx aktiv,
b) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx integrity xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxx
x) xxxxxxxxxxxx bezpečnostní incident xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxx x) xx x).
(4) Xxxx ustanovení xx xxxxxxxxxx na kybernetické xxxxxxxxxxxx xxxxxxxxx x xxxxxxx osoby xxxxxxx x §3 písm. x) xxxxxx.
§32
Xxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx Úřadu xxxxx xx xxxxxxxxxxxxx xxxxxxxxx zveřejněném xx xxxxxxxxxxxxx stránkách Xxxxx xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx pošty Úřadu xxxxxxx pro xxxxxx xxxxxxx kybernetických bezpečnostních xxxxxxxxx, zveřejněnou xx xxxxxxxxxxxxx xxxxxxxxx Úřadu,
b) xx xxxxxx xxxxxxxx Xxxxx, xxxx
x) prostřednictvím xxxxxxxx rozhraní, pokud xx xxxxxxxxx, xxxxx xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Kybernetický bezpečnostní xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx CERT xxxxx xx xxxxxxxxxxxxx formuláři xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX zaslaném
a) xx xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxxx CERT xxxxxxx pro xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, zveřejněnou xx xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx datové xxxxxxxx xxxxxxxxxxxxx národního XXXX, xxxx
x) prostřednictvím xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.
(3) Xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx je xxxxx xxxxxx x x xxxxxxxx xxxxxx, xxxxx xxxxx x xxxxxxxxx, kdy xxxxx xxxxxx xxxxx xx xxxxxxx uvedených x xxxxxxxxxx 1 a 2.
(4) Náležitosti xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) xxxxx x xxx zjištění xxxxxxxxx x
x) xxxxx xxxxxxxxx.
ČÁST XXXXXX
XXXXXXXXX OPATŘENÍ X XXXXXXXXX ÚDAJE
§33
Reaktivní xxxxxxxx
(1) Xxxxxxx xxxxx, xxxxx Xxxx xxxxxx xxxxxxx reaktivní xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx na xxxxxxxxxx x xxxxxxxxxxx xxxxxx a xx xxxxxxxx xxxxxxxxxxxx opatření x xxxxxxxxx xxxxx xxxxxxxxx účinky x
x) xxxxxxx způsob xxxxxxxx xxxxxxxxx xxxxxx opatření, xxxxx xxxxxxxxxxxx jeho xxxxx negativní xxxxxx, x xxxx xxxxxx xxxx jeho provedení.
(2) Xxxxxxx osoba, xxxxx Xxxx xxxxxx provést xxxxxxxxx xxxxxxxx, xxxxxx xxxxxx provedení reaktivního xxxxxxxx a jeho xxxxxxxx xx formě xxxxxxx xx internetových xxxxxxxxx Xxxxx.
§34
Kontaktní údaje
(1) Xxxxxxxxx xxxxx xx Úřadu xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Úřadu xxxxxxxx
x) na adresu xxxxxxxxxxxx pošty Úřadu xxxxxxx xxx xxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Úřadu,
b) xx xxxxxx schránky Xxxxx, xxxx
x) prostřednictvím xxxxxxxx xxxxxxxx, xxxxx xx xxxxxxxxx, xxxxx popis xx zveřejněn xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxxxx xxxxx se xxxxxxxxxxxxx xxxxxxxxx CERT xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx provozovatele xxxxxxxxx XXXX xxxxxxxx
x) xx adresu xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxx xxx xxxxxx xxxxxxxx kontaktních xxxxx, zveřejněnou xx xxxx internetových stránkách,
b) xx xxxxxx xxxxxxxx xxxxxxxxxxxxx národního XXXX, xxxx
x) xxxxxxxxxxxxxxx internetových xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.
(3) Xxxxxxx xxxxxxxxxxx xxxxx xx možné xxxxxx i x xxxxxxxx xxxxxx, avšak xxxxx x xxxxxxxxx, xxx xxxxx xxxxxx xxxxx ze xxxxxxx xxxxxxxxx v odstavcích 1 a 2.
(4) Xxxx xxxxxxxx xxxxxxxxxxx xxxxx je xxxxxx x příloze č. 8 x xxxx vyhlášce.
(5) Xxxxxxx xxxxx uvedená x §3 písm. c) xx x) xxxxxx, xxxxx xx xxxxxxxxxxxxxx, xxxx x xxxxxxx xxxxxxxxxxx xxxxx podle xxxxxxxx 1 xxxxxxxx xxxxxxxx, xxxxxx ji xxxxxxx xxxxxxxxxxxx informuje xxxxx §8 xxxx. 1 xxxx. x).
XXXX PÁTÁ
ZÁVĚREČNÁ XXXXXXXXXX
§35
Xxxxxxxxx xxxxxxxxxx
(1) V xxxxxxx xxxxxxxxxxxx systémů xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxx xxxx xxxxxx xxxxx xxxx xxxxxx xxxxxxxxx xxxx vyhlášky, x x xxxxxxx významných xxxxxxxxxxxx xxxxxxx, u xxxxxxx došlo k xxxxxxxx xxxxxxxxxx kritérií xxxxx dnem nabytí xxxxxxxxx této xxxxxxxx, xx do xxxxxxx xxxx xxx xxx xxxxxx xxxxxxxxx této xxxxxxxx xxx xxxxx x xxxxxxxxx bezpečnostní xxxxxxxxxxx a xxxxx x xxxxxx xxxxxxxxxx xxxxxxxxxxxxxx opatření xxxxxxx xxxxxxxxxx xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx opatřeních, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x x xxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (vyhláška x kybernetické bezpečnosti).
(2) X případě informačních xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx byly xxxxxx přede dnem xxxxxx xxxxxxxxx xxxx xxxxxxxx, x x xxxxxxx xxxxxxxxxx informačních xxxxxxx, u xxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxx xxxxxxxxx xxxx vyhlášky, se xx xxxxxxx roku xxx xxx nabytí xxxxxxxxx xxxx xxxxxxxx xxx způsob xxxxxxxxx xxx, provozních údajů, xxxxxxxxx x jejich xxxxx tato xxxxxxxx xxxxxxxxx.
§36
Xxxxxxxxx xxxxxxxxxx
Xxxxxxx xx xxxxxxxx č. 316/2014 Sb., o xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentech, xxxxxxxxxxx xxxxxxxxxx x x xxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxx kybernetické xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx).
§37
Xxxxxxxx
Xxxx xxxxxxxx xxxxxx xxxxxxxxx xxxx xxxxxxxxx.
Xxxxxxx:
Xxx. Xxxxxxxx x. r.
Příloha č. 1 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxx aktiv
(1) Xxx hodnocení důležitosti xxxxx jsou x xxxxx xxxxxxx xxxxxxx xxxxxxxx x čtyřech xxxxxxxx x xxxxxxxx xx, xxxx xxxxx xx xxxx narušení xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxx. Povinná xxxxx xxxx xxxxxxxx xxxxxxx xxxxx xxxxxx xxx hodnocení důležitosti xxxxx, než xxxx xx xxxxxx v xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx vazby xxxx xxxx používaným xxxxxxxx xxxxxxxxx xxxxxxxxxxx aktiv x stupnicemi x xxxxxxxx xxx hodnocení xxxxxxxxxxx xxxxx, xxxxx xxxx xxxxxxx x xxxx xxxxxxx.
(2) Je xxxxxxxxxx, xxx xx xxxxx xxxxxxx xxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxx svým xxxxxxxx.
Xxx. 1: Stupnice xxx xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxx xxxx veřejně xxxxxxxxx xxxx byla xxxxxx xx xxxxxxxxxx. Xxxxxxxx xxxxxxxxxx aktiv xxxxxxxxxx xxxxxxxxx zájmy povinné xxxxx. X xxxxxxx sdílení xxxxxxxx xxxxxx x xxxxxxx stranami x xxxxxxx klasifikace xxxxx xxx. xxxxxxx xxxxx xxxxxxxxx (xxxx xxx "XXX") je využíváno xxxxxxxx XXX:XXXXX. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Střední |
Aktiva xxxxxx veřejně xxxxxxxxx x xxxxx xxxx-xxx xxxxxxx osoby, xxxxxxx xxxxx není xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxx xxxx smluvním xxxxxxxxx. X xxxxxxx xxxxxxx xxxxxxxx xxxxxx x třetími xxxxxxxx x použití xxxxxxxxxxx podle TLP xx xxxxxxxxx zejména xxxxxxxx XXX:XXXXX xxxx XXX:XXXXX. |
Xxx ochranu xxxxxxxxxx xxxx xxxxxxxxx prostředky xxx xxxxxx přístupu. |
|
Xxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx a jejich xxxxxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxx, jinými xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx (xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxx xxxxx). X xxxxxxx xxxxxxx takového xxxxxx s xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx podle XXX xx využíváno zejména xxxxxxxx TLP:AMBER. |
Pro ochranu xxxxxxxxxx jsou xxxxxxxxx xxxxxxxxxx, které zajistí xxxxxx a xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx jsou xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxxxxxxx míru xxxxxxx nad rámec xxxxxxxxx xxxxxxxxx (xxxxxxxxx xxxxxxxxxxx obchodní tajemství, xxxxxxxx xxxxxxxxx osobních xxxxx). X případě sdílení xxxxxxxx aktiva x xxxxxxx xxxxxxxx a xxxxxxx xxxxxxxxxxx xxxxx XXX je xxxxxxxxx xxxxxxx xxxxxxxx TLP:RED xxxx XXX:XXXXX. |
Xxx ochranu xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxx a xxxxxxxxxxxxx xxxxxxxx. Xxxx xxxxxx xxxxxxx zabraňující zneužití xxxxx ze strany xxxxxxxxxxxxxx. Přenosy xxxxxxxxx xxxx chráněny pomocí xxxxxxxxxxxxxxxx prostředků. |
Xxx. 2: Xxxxxxxx pro xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx požadavků xx xxxxxxx aktiva |
|
Nízká |
Aktivum xxxxxxxxxx xxxxxxx z xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx xxxxxx neohrožuje xxxxxxxxx xxxxx povinné xxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx xxxxxxxxx xxxxxxx z xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxxxx xxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx x xxxx xx xxxxxxxx méně xxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány xxxxxxxxxx xxxxxxxx (xxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxx pro xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx aktiva xxxx k xxxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx x xxxxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx historii xxxxxxxxxxx xxxx x xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx je zajištěna xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx xxxx k xxxxx xxxxxxx poškození xxxxxxxxxxx xxxxx xxxxxxx xxxxx x xxxxxxx x velmi vážnými xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx speciální xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (xxxxxxxxx pomocí xxxxxxxxxxx xxxxxxxxxxx xxxxxxx). |
Xxx. 3: Xxxxxxxx xxx hodnocení xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxxx dostupnosti xxxxxx není xxxxxxxx x v xxxxxxx xxxxxxx xx běžně xxxxxxxxxx delší xxxxxx xxxxxx xxx nápravu (xxx xx 1 xxxxx). |
Xxx xxxxxxx xxxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xx nemělo xxxxxxxxx xxxx pracovního xxx, xxxxxxxxxxxxx xxxxxxx xxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx využívány běžné xxxxxx xxxxxxxxxx a xxxxxx. |
|
Xxxxxx |
Xxxxxxxx dostupnosti xxxxxx xx xxxxxx xxxxxxxxx xxxx několika xxxxx. Xxxxxxxx výpadek je xxxxx xxxxx xxxxxxxxxx, xxxxxxx xxxx k xxxxxxx xxxxxxxx oprávněných xxxxx xxxxxxx xxxxx. Xxxxxx xxxx považována xx xxxxx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx systémy x obnova xxxxxxxxxxx xxxxxx xxxx xxx xxxxxxxxx xxxxxx xxxxxxx xxxx xxxxxxx technických xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx dostupnosti xxxxxx xxxx xxxxxxxxx a x krátkodobá xxxxxxxxxxxx (x řádu několika xxxxx) xxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx. Xxxxxx xxxx považována xx kritická. |
Pro xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx xxxxxxx systémy a xxxxxx xxxxxxxxxxx xxxxxx xx xxxxxxxxxx x xxxxxxxxxxxxxx. |
Xxxxxxx x. 2 x xxxxxxxx x. 82/2018 Sb.
Hodnocení xxxxx
(1) Xxxxxxxxxxx xxxxxxxxx xxxxxx xxx určení xxxxxx xx xxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx xxxxx §5.
(2) Xxxxxxx rizika xx xxxxxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx ovlivňuje xxxxx, hrozba x xxxxxxxxxxxx.
(3) Xxx xxxxxxxxx xxxxx lze xxxxxx xxxxxxxxx tuto xxxxxx:
Xxxxxx = xxxxx x xxxxxx x xxxxxxxxxxxx.
(4) Xxxxx xx v xxxxx xxxxxxx xxxxxxx x hodnocení xxxxx xxxxx přílohy č. 1.
(5) V xxxxxxx, že xxxxxxx xxxxx využívá metodu xxx xxxxxxxxx rizik, xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx x zranitelnosti, xx možné stupnice xxx hodnocení xxxxxx x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxx xx xxxxxx xxxx xx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx x xxxxxxxxxxxxx. Xx xxxxx xxxxxx xxx použít xxxxxxxxx xxxxxxxx, který xxxxxxxx xxxxxxx jak xxxxxx xxxxxx, xxx x úroveň zranitelnosti. Xxxxxxx se xxxxxxxxx x x xxxxxxxxx, xxx xxxxxxx xxxxx xxxxxxx xxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxx, xxxxxx, xxxxxxxxxxxxx x xxxxx.
Xxx. 1: Xxxxxxxx xxx xxxxxxxxx xxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx nebo xx xxxx xxxxxxxxxxxxx. |
|
Střední |
Hrozba xx xxxx xxxxxxxxxxxxx xx pravděpodobná. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxxxxx xx xxxxx pravděpodobná. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. |
Xxx. 2: Stupnice xxx xxxxxxxxx zranitelností
|
Úroveň |
Popis |
|
Nízká |
Zranitelnost xxxxxxxxxx xxxx xx xxxxxxxx zranitelnosti xxxx xxxxxxxxxxxxx. Jsou xxxxxxxx xxxxxxxxxxxx opatření, xxxxx xxxx schopna xxxx xxxxxxxxx xxxxx zranitelnosti xxxx případné pokusy x xxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx je málo xxxxxxxxxxxxx xx pravděpodobné. Xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx. Xxxxxxxxx bezpečnostních opatření xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx xx omezena. Xxxxxx xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx bezpečnostních opatření. |
|
Vysoká |
Zneužití xxxxxxxxxxxxx je xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx opatření xxxx xxxxxxxx, xxx jejich xxxxxxxx nepokrývá xxxxxxx xxxxxxxx xxxxxxx x xxxx xxxxxxxxxx kontrolována. Xxxx známé xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx je velmi xxxxxxxxxxxxx až xxxxxxxx xxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx nebo xx xxxxxx xxxxxxxx xxxxxx xxxxxxx. Xxxxxxxxx xxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx. Xxxx xxxxx xxxxxxx pokusy xxxxxxxxx xxxxxxxxxxxxxx opatření. |
Tab. 3: Xxxxxxxx pro hodnocení xxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx je xxxxxxxxxx xx xxxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxx x případě xxxxx xxxxxxxxxx opatření xx xxxxxx akceptovatelné. |
|
Vysoké |
Riziko je xxxxxxxxxx nepřípustné x xxxx xxx xxxxxxxx xxxxxxxxxxxx kroky x xxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxxxxxxxx x musí xxx neprodleně xxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
Příloha x. 3 x xxxxxxxx x. 82/2018 Sb.
Zranitelnosti x xxxxxx
Xxxxxxxxxx: Xxxx příloha xxxxxxxx jen xxxxxxx xxxxxxxxx zranitelností a xxxxxx. Xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx x hrozeb xx xxxxxxxxxxxx povinné xxxxx.
Xxxxxxxxxxxxx
1. nedostatečná xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
2. xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
3. xxxxxxxxxxxx ochrana xxxxxxxx xxxxxxxxx,
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx uživatelů x xxxxxxxxxxxxxx,
5. xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
6. xxxxxxxx nastavení xxxxxxxxxxxx oprávnění,
7. xxxxxxxxxxxx xxxxxxx xxx xxxxxxxxxxxxxx x odhalení negativních xxxxxxxxxxxxxx jevů, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
8. xxxxxxxxxxxx xxxxxxxxxxxx činnosti xxxxxxxxx a administrátorů x xxxxxxxxxxx odhalit xxxxxx nevhodné xxxx xxxxxxx xxxxxxx xxxxxxx,
9. xxxxxxxxxxxx stanovení xxxxxxxxxxxxxx xxxxxxxx, nepřesné xxxx xxxxxxxxxxxxx xxxxxxxx práv x povinností xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxxxxxxxx xxxx,
10. xxxxxxxxxxxx ochrana xxxxx,
11. xxxxxxxx bezpečnostní xxxxxxxxxxxx,
12. xxxxxxxxxxxx xxxx xxxxxxxxx kontroly,
13. neschopnost xxxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxxx.
Xxxxxx
1. xxxxxxxx xxxxxxxxxxxx politiky, xxxxxxxxx neoprávněných xxxxxxxx, xxxxxxxx xxxxxxxxx ze xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
2. xxxxxxxxx nebo xxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
3. xxxxxxxx xxxxxxxx,
4. xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx x licenčními podmínkami,
5. xxxxxxxx xxx (xxxxxxxxx xxxx, xxxxxxx, xxxxxxx xxxx),
6. xxxxxxxx xxxxxxx xxxxxxxxxxx,
7. xxxxxxxxx poskytování xxxxxx elektronických xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxx xxxxxxx,
8. zneužití xxxx xxxxxxxxxxx xxxxxxxxxx xxxxx,
9. xxxxxx, xxxxxxxx nebo xxxxxxxxx xxxxxx,
10. nedodržení xxxxxxxxx závazku xx xxxxxx xxxxxxxxxx,
11. pochybení xx xxxxxx xxxxxxxxxxx,
12. xxxxxxxx xxxxxxxxx prostředků, xxxxxxx,
13. dlouhodobé přerušení xxxxxxxxxxx služeb xxxxxxxxxxxxxx xxxxxxxxxx, dodávky elektrické xxxxxxx xxxx jiných xxxxxxxxxx služeb,
14. xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
15. xxxxxx xxxxxxxxxxxx útok pomocí xxxxxxxxxx inženýrství, použití xxxxxxxxxxx xxxxxxx,
16. xxxxxxxx xxxxxxxxxxxxx technických xxxxxx xxx,
17. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx (xxxxxxxxx, modifikace).
Xxxxxxx č. 4 x xxxxxxxx č. 82/2018 Xx.
Xxxxxxxxx xxx
(1) Xxxx příloha xxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxxxxx xxxxxxx xxxxxx xxx x xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx informace, xxxxxxxxxx xxxxx, xxxxxxxxx a xxxxxx kopií.
(2) Xxxxxxxxxx xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx xx xxxxxxx xxxxxxxx pro xxxxxx xxx x xxxxxxxxx technických nosičů xxx x xxxxxxx x touto xxxxxxxx. Xxx xxxxxx dotčeny xxxxxxxxxx xxxxx xxxxxx xxxxxxxx předpisů. Xx xxxxx xxxxxx adekvátní xxxxxx služby xxxxxxxxxx xxxxxxxxx bezpečnostní xxxxxxxx, xxxxxx adekvátních pravidel xxx mazání dat x xxxxxxxxx xxxxxxxxxxx xxxxxx xxx, vzhledem x xxxxxxx x xxxxxxxxxxx xxxxx.
(3) Pravidla xxx xxxxxxxxx xxx xx měla xxx xxxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxxxx aktiv x měla xx xxxxxxx zohledňovat
a) xxxxxxx xxxxxx (xxxxxxx x xxxxxxx xxxxxxxxxx),
x) technologii (xxxx x velikost xxxxxx xxxxxxxxx),
x) xxx xx xxxxx xxxxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxxxx xx xxxxxxx,
x) xxx xxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxxxx prostředí,
e) kdo xxxx xxxxxxxxx xxx xxxxxxxx (xxxxxxx xxxxxxxxxxx, xxxx dodavatel),
f) dostupnost xxxxxxxx a xxxxxxxx xxx likvidaci,
g) xxxxxxxx xxxxxxxxxxxxx xxxxxx,
x) zda xx k xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxxx,
x) cenu xxxxxxxxx x xxxxxxx xx xxxxxxxx, xxxxxxx, xxxxxxxx, xxxxxxxx xxxxxxx xxxxxx xxxxxxxxx
x) xxxxx xxxxxxx xxxxxxxxx dat (xxxxxxxxx xxxxxxxx nosiče, xxxxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxx, xxxxxxxxxxxxx xxx xxxxxx šifrováním a xxxxxxx),
x) použitelné způsoby xxxxxxxxx xxx vzhledem xx xxxxx xxxxxx xxxxxxxxx (xxxxxxxxx při xxxxxxxxx xxxxxxxx xxxxxx xxxxx xxxxxx variantu xxxxxxx xxxxxxxxx, xxx xxxxxxx xx xxxxxxx xxxxxxx xxxxxxxxx).
(4) Xxxxxxx xxxxxxxxx technických xxxxxx xxxxxxxxx, xxxxxxxxxx xxxxx, xxxxxxxxx a xxxxxx xxxxx:
x) Odstranění
1. Xxxxxx xxxxxxxxx spočívá x xxxxxxxxxx xxx tak, xxx xxxx xxx xxxxxx nedostupná (například xxxxxxxxxx datového xxxxxxx, xxxxxxxx tištěného dokumentu xx xxxxxx).
2. Xxx x xxxxxxx bezpečný xxxxxx xxxxxxxxx xxx. X xxxxxxx xxxxxxx xxxxxx informace xx xxxxx s xxxxxxxxxxx xxxxxxxx xxxxx informace xxxxxxx.
3. Tato xxxxxx xxxx xxxxxxxxxx xxx xxxxxx digitálních xxx xxxxxxxxxxxx opětovný xxxxx.
4. Xxxxxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1): xxxxx.
x) Přepsání
1. Xxxxxx xxxxxxxxx spočívá x xxxxxxxx xxxxxxxx informace xxxxxxxxxx xxxxxxxxx.
2. Xxx x xxxxxxx xxxxxxxx xxxxxx xxxxxxxxx xxx. Xxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxx přepsaných xxxxxxxxx.
3. Xxxxxxxx může xxx xxxxxxxxx xxxx xxxxxxxxxxx bezpečnou likvidací xxxxxxxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxx.
4. Xxxx xxxxxx není xxxxxx xxx xxxxxxxxx média, xxxxx neumožňující xxxxxxxx xxxxx, xxxxxxxx xxx xxxxx x xxxxxx xxxxxxxxx.
5. Xxxxxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx (vychází x přílohy č. 1): nízká xx xxxxxxxx.
x) Xxxxxxx likvidace xxxxxx informace
1. Xxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxx xxxxxxxxx, xxxxxxxxx x xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx (xxxxxxxxxxx, xxxxxxxxx xx xxxxxxxx xxxxxxxxx).
2. Xxx x xxxxxxxxxxxxxx metodu xxxxxxxxx xxx. Xxxxx xxxxxxxxx xx fyzické xxxxxxxxx xxxxx xxxxx xxxxxx xxx xxxxxxx xxxx. Xxxxxxx xxxxxxxxx xxxx xxxxx xxxxxxx xxx xxx xxxxxxxxxx xxxxxxx množství xxxxxxxxxx x xxxxx.
3. Xxxxxxxxxx xxxxxx xxxxxxxxx pro xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1): xxxxxxx xx kritická.
Příklad xxxxxxx způsobů xxxxxxxxx xxxxx úrovně důvěrnosti xxxxxx (xxxxxxx x přílohy č. 1)
|
Xxxxxxxxx způsob xxxxxxxxx xxxxx xxxxxx xxxxxxxxxxx xxxxxx |
|||||
|
Xxxxx informace |
1. Xxxxx |
2. Xxxxxxx |
3. Xxxxxx |
4. Kritická |
|
|
Informace xx xxxxxx xxxxxxxx xxxxxx (tištěné xxxxxxxxx, xxxxxxxx a xxxxxxx) |
Xxxxxxxxxx: Xxxxxxxx xx odpadu. |
Přepsání: Xxxxxxxxx. |
Xxxxxxx xxxxxxxxx: |
||
|
Fyzická xxxxxxxxx: |
|||||
|
Xxxxxxx xxxxxxxx (xxxxxxx xxxxxxxx, xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxx xxxxxxxx (router, xxxxxx, modem x xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
|||
|
Xxxxxxxxxxx xxxxxxxx (xxxxxxx, xxxxxxxx, xxx) |
|||||
|
Xxxxxxxxxx xxxxx (xxxxxxxxxx xxxxx, disky, HDD [Xxxx Xxxx Xxxxx]) |
Xxxxxxxxxx: |
Xxxxxxxx: |
|||
|
Xxxxxxx xxxxx (CD, XXX, XX-XXX, XXX-XXX) |
Xxxxxxx xxxxxxxxx: |
||||
|
Xxxxxxx xxxxxxxxx. |
|||||
|
Xxxxxxxxxxxx xxxxx (xxxxx xxxxxx) |
|||||
|
Xxxxxxxxxxx a xxxxx |
Xxxxxxxxx xxxxxx xxxxxxxxx dat xx měl xxx xxxxxxxx xxxxxxxx ujednáním. |
||||
|
Odstranění: |
Xxxxxxxx: |
Přepsání: |
Xxxxxxxx/xxxxxxx xxxxxxxxx: |
||
|
Xxxxxxxxxxxx x xxxxxxx xxxxxxxxxxxx paměťového xxxxx xx xxxxx xxxx po ukončení xxxxxx přepsat. |
|||||
Příloha x. 5 x vyhlášce x. 82/2018 Xx.
Xxxxx bezpečnostní xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
1. Bezpečnostní xxxxxxxx
1.1. Xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) Xxxx, xxxxxxxx x xxxxxxx xxxxxx bezpečnosti informací.
b) Xxxxxx a xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx řízení xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxx xxxxxx x xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti.
f) Xxxxxxxx x postupy xxx přezkoumání xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxx opatření x xxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
1.2. Xxxxxxxx řízení xxxxx
x) Xxxxxxxxxxxx, xxxxxxxxx a xxxxxxxx primárních aktiv
1. xxxxxx a xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx jejich xxxxxxx,
2. xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti.
b) Identifikace, xxxxxxxxx x evidence xxxxxxxxxx aktiv
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx včetně xxxxxx xxxxxx xxxxxxx,
2. xxxxxx vazeb xxxx xxxxxxxxxx a podpůrnými xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx
1. xxxxxxx rozlišování xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx xxxxx xxxxx xxxxxx xxxxx,
3. xxxxxxxxx xxxxxxx používání xxxxx.
x) Xxxxxxx spolehlivého xxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx xxx, xxxxxxxxx, xxxxxxxxxx xxxxx a xxxxxx kopií.
1.3. Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx
x) Xxxxxx xxxxxxxxxxxxxx xxxx x xxxxxx práv a xxxxxxxxxx.
x) Xxxxxxxxx na xxxxxxxx xxxxxx činností xxxxxxxxxxxx bezpečnostních xxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx rolí.
1.4. Xxxxxxxx xxxxxx xxxxxxxxxx
x) Xxxxxxxx x xxxxxxxx pro xxxxx xxxxxxxxxx.
x) Pravidla xxx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxxxxxxxx.
x) Xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxx x xxxxxxx x xxxxxx xxxxxxxxx bezpečnostních opatření x x určení xxxxxxxx xxxxxxx xxxxxxxxxxxx.
x) Xxxxxxxx xxx provádění xxxxxxxx xxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx xxxxxxxxxx.
1.5. Xxxxxxxx xxxxxxxxxxx xxxxxxxx zdrojů
a) Xxxxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxx xxxxxxxxx
1. xxxxxxx x xxxxx poučení xxxxxxxxx,
2. xxxxxxx a xxxxx poučení garantů xxxxx,
3. xxxxxxx x xxxxx xxxxxxx administrátorů,
4. xxxxxxx x formy xxxxxxx osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx bezpečnostní xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx ukončení pracovního xxxxxx xxxx xxxxx xxxxxxxx xxxxxx
1. xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx práv při xxxxxxxx xxxxxxxxxx vztahu,
2. xxxxx přístupových xxxxxxxxx xxx xxxxx xxxxxxxx xxxxxx.
1.6. Politika xxxxxx xxxxxxx a xxxxxxxxxx
x) Xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx a xxxxxxxxx bezpečného xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx provádění xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxxx testů.
1.7. Xxxxxxxx xxxxxx xxxxxxxx
x) Princip xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (xxxx xx know).
b) Xxxxxxxxx xx řízení xxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxx přístupu.
d) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx jednotlivých xxxxxxxxx x přístupových skupinách.
1.8. Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxx
x) Xxxxxxxx pro xxxxxxxx xxxxxxxxx s xxxxxx.
x) Xxxxxxxx použití xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx x přístupu xx xxxxxxxx.
x) Xxxxxxxx vzdálený xxxxxxx.
x) Xxxxxxxx chování xx xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx xx xxxxxx x xxxxxxxx zařízením.
1.9. Xxxxxxxx zálohování a xxxxxx a xxxxxxxxxxxx xxxxxxxx
x) Požadavky xx xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx x postupy xxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx dlouhodobého ukládání.
d) Xxxxxxxx xxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx obnovy.
f) Pravidla x postupy xxxxxxxxx xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx xxxxxxxx x xxxxxxx, xxxxxxxxx informacím.
1.10. Xxxxxxxx xxxxxxxxxx xxxxxxxxx x výměny informací
a) Xxxxxxxx a xxxxxxx xxx xxxxxxx předávaných xxxxxxxxx.
x) Xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx informací.
c) Xxxxxxxx xxx využívání xxxxxxxxxxxxxx xxxxxxx.
1.11. Politika xxxxxx technických xxxxxxxxxxxxx
x) Xxxxxxxx pro xxxxxxx xxxxxxxxx programového xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx programových xxxxxxx.
x) Pravidla x xxxxxxx testování xxxxx xxxxxxxxxxxx vybavení.
d) Xxxxxxxx x postupy xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
1.12. Xxxxxxxx bezpečného xxxxxxxxx xxxxxxxxx zařízení
a) Xxxxxxxx x postupy pro xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx osoba xxxx xx xxx xxxxxx.
1.13. Xxxxxxxx akvizice, xxxxxx x údržby
a) Bezpečnostní xxxxxxxxx xxx akvizici, xxxxx a údržbu.
b) Xxxxxx xxxxxxxxxxxxx.
x) Politika xxxxxxxxxxx a xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
1. pravidla x postupy nasazení xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx,
2. xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
1.14. Politika xxxxxxx xxxxxxxx xxxxx
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx osobních údajů.
b) Xxxxx xxxxxxxxx x xxxxxxxxxxx organizačních xxxxxxxx xxx ochranu xxxxxxxx xxxxx.
x) Xxxxx přijatých x xxxxxxxxxxx technických xxxxxxxx xxx xxxxxxx xxxxxxxx údajů.
1.15. Xxxxxxxx xxxxxxx xxxxxxxxxxx
x) Xxxxxxxx xxx xxxxxxx xxxxxxx.
x) Xxxxxxxx pro xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx xxx xxxxxxx zařízení.
d) Xxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxx.
1.16. Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx sítě
a) Xxxxxxxx x postupy xxx xxxxxxxxx bezpečnosti sítě.
b) Xxxxxx xxxx x xxxxxxxxxx za bezpečný xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx přístupů x xxxxx xxxx.
x) Pravidla x xxxxxxx pro xxxxxxx xxxxxxxxxx přístupu x xxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxxx provozních xxxxxxx.
1.17. Xxxxxxxx xxxxxxx xxxx xxxxxxxxx kódem
a) Xxxxxxxx x postupy xxx xxxxxxx síťové xxxxxxxxxx.
x) Xxxxxxxx x postupy xxx ochranu xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxx.
x) Pravidla x xxxxxxx xxx ochranu xxxxxxxxxx xxxxxx.
1.18. Xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx pro detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
a) Xxxxxxxx x postupy xxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx xxxxxxxxxxxxx x xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx události.
c) Xxxxxxxx a xxxxxxx xxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
1.19. Xxxxxxxx využití a xxxxxx nástroje xxx xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
a) Xxxxxxxx x xxxxxxx xxx evidenci x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx pravidelné xxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx vlastností xxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
1.20. Xxxxxxxx xxxxxxxxxx xxxxxxxxx kryptografické xxxxxxx
x) Xxxxxx xxxxxxx x xxxxxxx xx typ x sílu kryptografického xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx
1. při xxxxxxx xx xxxxxxxxxxxxx xxxxxx,
2. xxx xxxxxxx xx xxxxxxx xxxxxxxx xxxx vyměnitelný xxxxxxxxx xxxxx xxx.
x) Xxxxxx xxxxxx xxxxx.
1.21. Xxxxxxxx xxxxxx změn
a) Způsob x principy xxxxxx xxxxxxxxxx změn x xxxxx povinné osoby, xxxxxx procesech, xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxxxxxxx xxxxxx významných xxxx.
x) Způsob xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxx změn.
1.22. Xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
x) Definování kategorií xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx identifikaci, xxxxxxxx x zvládání jednotlivých xxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx systému xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla a xxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx x xxx xxxxxxxxxx xxxxxxxxxxxx bezpečnosti.
e) Evidence xxxxxxxxx.
1.23. Politika řízení xxxxxxxxxx xxxxxxxx
x) Práva x xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Cíle řízení xxxxxxxxxx xxxxxxxx
1. minimální xxxxxx xxxxxxxxxxxxx služeb,
2. xxxx obnovení xxxxx,
3. xxx obnovení xxx.
x) Xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxx kontinuity.
d) Způsoby xxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx xxxxxxxxxx x posuzování xxxxxxxxxxxxx rizik.
e) Xxxxxx x obsah potřebných xxxxx xxxxxxxxxx x xxxxxxxxxxx plánů.
f) Xxxxxxx xxx realizaci xxxxxxxx xxxxxxxx Úřadem.
2. Obsah xxxxxxxxxxxx dokumentace
2.1. Zpráva x auditu xxxxxxxxxxxx xxxxxxxxxxx
x) Xxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx xxxx xxxxxxxx a xxxx, xxxxx se auditu xxxxxxxxxxxx xxxxxxxxxxx zúčastnily.
e) Xxxxx a místo, xxx xxxx xxxxxxxxx xxxxxxxx xxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Zjištění x auditu kybernetické xxxxxxxxxxx.
x) Xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
2.2. Xxxxxx x přezkoumání xxxxxxx xxxxxx bezpečnosti xxxxxxxxx
x) Xxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxxxxxx změn x xxxxxxxxx, které xxxxx xxx xxxx xx xxxxxx řízení bezpečnosti xxxxxxxxx.
x) Xxxxxx xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x xxxxxxxx xxxxxxxx,
2. xxxxxxxx xxxxxxxxxxxx a xxxxxx,
3. xxxxxxxx xxxxxx,
4. xxxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxx xxxxx x xxxx xxxxx xxxxxxxx rizik.
e) Identifikace xxxxxxxx pro xxxxxxxx xxxxxxxxxx.
x) Xxxxxxxxxx potřebných xxxxxxxxxx, xxxxxxxxx xxxxxxxx x xxxx xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
2.3. Xxxxxxxx xxx identifikaci x xxxxxxxxx xxxxx x xxx hodnocení xxxxx
x) Xxxxxx xxxxxxxx xxx hodnocení primárních xxxxx
1. xxxxxx stupnice xxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxxxxxx xxxxx,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx dopadu,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx hrozby,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx zranitelnosti,
4. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxx.
x) Xxxxxx x xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx schvalování akceptovatelných xxxxx.
2.4. Xxxxxx x xxxxxxxxx xxxxx x xxxxx
x) Xxxxxxx xxxxxxxxxx xxxxx
1. identifikace x xxxxx primárních aktiv,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxxxxx primárních xxxxx z xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxx
1. identifikace x xxxxx xxxxxxxxxx aktiv,
2. xxxxxx xxxxxxx podpůrných xxxxx,
3. určení vazeb xxxx xxxxxxxxxx x xxxxxxxxxx aktivy.
c) Xxxxxxxxx xxxxx
1. xxxxxxxxx možných xxxxxx xx xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx zranitelností, xxxxxxxxx xxxxxxxxxxxx opatření,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx xxxx úrovně x xxxxxxxx xxx xxxxxxxxxxxxxxxx xxxxx,
5. určení x xxxxxxxxx akceptovatelných xxxxx.
x) Zvládání xxxxx
1. xxxxx xxxxxxx zvládání xxxxx,
2. xxxxx xxxxxxxx x xxxxxx realizace.
2.5. Xxxxxxxxxx o xxxxxxxxxxxxxxxx
x) Xxxxxxx xxxxxxxxxxx bezpečnostních xxxxxxxx požadovaných xxxxx xxxxxxxxx včetně xxxxxxxxxx, xxxx xxxxxx aplikována.
b) Xxxxxxx zavedených bezpečnostních xxxxxxxx xxxxxx způsobu xxxxxx implementace.
2.6. Xxxx xxxxxxxx rizik
a) Obsah x xxxx xxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx včetně xxxxx xx xxxxxxxxx xxxxxx.
x) Potřebné xxxxxx xxx xxxxxxxxxx bezpečnostní xxxxxxxx xxx zvládání xxxxx.
x) Xxxxx xxxxxxxxxxx xxxxxxxxxx bezpečnostní xxxxxxxx xxx xxxxxxxx rizik.
d) Xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx opatření pro xxxxxxxx xxxxx.
x) Způsob xxxxxxxxx xxxxxxxxxxxxxx opatření.
f) Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx xxx xxxxxxxx xxxxx.
2.7. Xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxx x termíny xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx xxxx.
x) Obsah a xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx, xxxxx xxxxxxxx předmět xxxxxxxxxxxx xxxxxxx x seznam xxxx, které xxxxxxx xxxxxxxxxxx.
x) Formy a xxxxxxx hodnocení plánu.
2.8. Xxxxxxxx změn
a) Evidence xxxxxxxxx xxxxx významných xxxx.
x) Xxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx.
2.9. Xxxxxxx kontaktní xxxxx
Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx.
2.10. Přehled obecně xxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx předpisů x xxxxxxxxx xxxxxxx
x) Xxxxxxx xxxxxx závazných xxxxxxxx xxxxxxxx.
x) Xxxxxxx vnitřních xxxxxxxx a xxxxxx xxxxxxxx.
x) Xxxxxxx smluvních xxxxxxx.
2.11. Xxxxx xxxxxxxxxx xxxxxxxxxxx
x) Xxxxxxxxx xxxxxxxxxxxxxx.
x) Xxxxxxx xxxxxxxx zařízení.
Xxxxxxx č. 6 x xxxxxxxx č. 82/2018 Xx.
Xxxxx xxx xxxxxx kybernetické bezpečnosti x xxxxxxxxxxxx xxxx
Xxxx xxxxxxx obsahuje xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx role xxxxxxx x §6 x 7.
Xxx. 1: Výbor xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx činnosti: |
a) Xxxxxxxxxxx za celkové xxxxxx a xxxxxx xxxxxxxxxxxx bezpečnosti v xxxxx xxxxxxx xxxxx. |
|
Xxxxx xxxxxxxx: |
x) Xxxx xxxxxx pro xxxxxx xxxxxxxxxxxx bezpečnosti xxxx xxx alespoň |
Xxx. 2: Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Odpovědnost xx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx. |
|
Znalosti: |
a) Xxxxx xxxx ISO/IEC 27000 x xxxxxxx xxxxx x oblasti xxxxxxxxxxx a ICT. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx v xxxxx xxxxxxxxxx nebo kybernetické xxxxxxxxxxx, nebo |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Xxxxxxxx Xxxxxxx (XXXX), Xxxxxxxxx xx Risk xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Security Xxxxxxxxxxxx (XXXXX), Xxxxxxx XX (xxxxxxxxxxx schéma XXX). |
|
Xxxxx xxxxxxxx: |
x) Xxxx xxxx xxxxxxxxxx s xxxxxx xxxxxxxxxxx za provoz xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx a x xxxxxxx xxxxxxxxxx xx xxxxxxxx xxxxxx. |
Xxx. 3: Architekt xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxxxx kybernetické bezpečnosti |
|
Klíčové xxxxxxxx: |
x) Odpovědnost xx xxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxxx informačních x xxxxxxxxxxxxx systémů x její navrhování. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 roky xxxxx v oboru xxxxxxxxxx xxxx kybernetické xxxxxxxxxxx, nebo |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxx Xxxxxx (XXX), XxxxXXX Security +, Xxxxxxxxx Information Xxxxxxxx Manager (XXXX), Xxxxxxxxx in Risk xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Systems Xxxxxxxx Xxxxxxxxxxxx (XXXXX), Xxxxxxx XX (xxxxxxxxxxx schéma XXX). |
|
Xxxxx xxxxxxxx: |
Xxxx xxxx xxxxxxxxxx x rolemi xxxxxxxxxxx za provoz xxxxxxxxxxxx x komunikačních xxxxxxx. |
Xxx. 4: Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx kybernetické xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
Xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxx x rámce xxxxxx xxxxxxxxxx xxxxxxxxxxx. |
|
Zkušenosti: |
a) Xxxxxxxxx xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx x praxe: |
a) Xxxxxxx 3 xxxx xxxxx v oblasti xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx bezpečnosti, xxxx |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXX), Xxxxxxxxx Internal Xxxxxxx (XXX), Xxxxxxxxx xx Risk and Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Lead Xxxxxxx Xxxxxxxxxxx Xxxxxxxx Xxxxxxxxxx Xxxxxx (Lead Auditor XXXX), Xxxxxxx BI (xxxxxxxxxxx xxxxxx ČIA). |
|
Další xxxxxxxx: |
x) Xxxx xxxx xxxxxxxxxx s rolemi |
Tab. 5: Xxxxxx aktiva
|
Role: |
Garant xxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxxxxx xxxxxxx, xxxxxxx x bezpečnosti xxxxxx. |
|
Xxxxxxxx: |
x) Xxxxx znalost xxxxxx, jehož xx xxxxxxxx. |
* Xxxxxxxxxxx xxxx xxx x xxxx než xxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx způsobilost xxxxxxxxxxxxxx xxxx splňuje xxxxxxxxx ISO 17 024.
Příloha č. 7 x xxxxxxxx x. 82/2018 Sb.
Řízení xxxxxxxxxx - xxxxxxxxxxxx opatření xxx xxxxxxx vztahy
Obsah xxxxxxx uzavírané s xxxxxxxxxx xxxxxxxxxx:
x) xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx (x xxxxxxx důvěrnosti, xxxxxxxxxxx x integrity),
b) xxxxxxxxxx x oprávnění xxxxxx data,
c) xxxxxxxxxx x autorství xxxxxxxxxxxx xxxx, xxxxxxxxx x xxxxxxxxxxxx licencích,
d) ustanovení x xxxxxxxx a xxxxxx xxxxxxxxxx (xxxxxxxx xxxxxxxxxxxx auditu),
e) ustanovení xxxxxxxxxx řetězení xxxxxxxxxx, xxxxxxx xxxx xxx xxxxxxxxx, že poddodavatelé xx xxxxxx dodržovat x plném rozsahu xxxxxxxx xxxx povinnou xxxxxx a dodavatelem x xxxxxxx v xxxxxxx x xxxxxxxxx xxxxxxx xxxxx xx xxxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx dodavatele xxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxx xxxx ustanovení x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx xxxxxx,
x) ustanovení x xxxxxx xxxx,
x) xxxxxxxxxx x souladu smluv x xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx osobu x
1. xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx souvisejících x xxxxxxx xxxxxxx,
2. xxxxxxx xxxxxx rizik xx xxxxxx dodavatele x x xxxxxxxxxx rizicích xxxxxxxxxxxxx s xxxxxxx xxxxxxx,
3. xxxxxxxx změně xxxxxxxx tohoto dodavatele xxxxx xxxxxx o xxxxxxxxxx xxxxxxxxxxx xxxx xxxxx vlastnictví zásadních xxxxx, popřípadě xxxxx xxxxxxxxx xxxxxxxx x xxxxxx xxxxxx, xxxxxxxxxxx xxxxx xxxxxxxxxxx x xxxxxx podle smlouvy xx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxx xxxxxxxx xxxxxxx (xxxxxxxxx přechodné xxxxxx při ukončení xxxxxxxxxx, xxx xx xxxxx xxxxx xxxxxxxx xxxxxx xxxx xxxxxxxxx xxxxxx xxxxxx, xxxxxxx xxx a xxxxxxx),
x) xxxxxxxxxxx podmínek xxx xxxxxx xxxxxxxxxx xxxxxxxx x xxxxxxxxxxx x xxxxxxxxxx (xxxxxxxxx xxxxxxxx xxxxxxxxxx xx xxxxxxxxxxx xxxxx, úkoly dodavatelů xxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx),
x) specifikace xxxxxxxx pro xxxxxx xxxxxxx dat, xxxxxxxxxx xxxxx x xxxxxxxxx xx vyžádání xxxxxxxx,
x) xxxxxxxx pro likvidaci xxx,
x) xxxxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxx x xxxxxxx xxxxxxxx změny xxxxxxxx xxx xxxxxxxxxxx xxxx xxxxx xxxxxxxx xxx zásadními xxxxxx xxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxx xxxxxxx x
x) xxxxxxxxxx x xxxxxxxx za xxxxxxxx xxxxxxxxxx.
Xxxxxxx č. 8 x xxxxxxxx x. 82/2018 Sb.
Vzor Xxxxxxxxx xxx hlášení kontaktních xxxxx
Xxxxxxxxx
Xxxxxx xxxxxxx č. 82/2018 Xx. xxxxx xxxxxxxxx xxxx 28.5.2018.
Xx xxx uzávěrky xxxxxx xxxxxxx xxxxx měněn xx xxxxxxxxx.
Xxxxx jednotlivých xxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx v xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx xx xxxx xxxxxx xxxxxxxxx xxxxx xxxxx uvedeného právního xxxxxxxx.
1) Xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Rady (XX) 2016/1148 ze xxx 6. xxxxxxxx 2016 x opatřeních x xxxxxxxxx xxxxxx xxxxxxxx xxxxxx bezpečnosti xxxx x xxxxxxxxxxxx xxxxxxx v Unii.