Právní předpis byl sestaven k datu 17.06.2025.
Zobrazené znění právního předpisu je účinné od 28.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
82/2018 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení aktiv §4
Řízení rizik §5
Organizační bezpečnost §6
Bezpečnostní role §7
Řízení dodavatelů §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení změn §11
Řízení přístupu §12
Akvizice, vývoj a údržba §13
Zvládání kybernetických bezpečnostních událostí a incidentů §14
Řízení kontinuity činností §15
Audit kybernetické bezpečnosti §16
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §17
Bezpečnost komunikačních sítí §18
Správa a ověřování identit §19
Řízení přístupových oprávnění §20
Ochrana před škodlivým kódem §21
Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů §22
Detekce kybernetických bezpečnostních událostí §23
Sběr a vyhodnocování kybernetických bezpečnostních událostí §24
Aplikační bezpečnost §25
Kryptografické prostředky §26
Zajišťování úrovně dostupnosti informací §27
Průmyslové, řídicí a obdobné specifické systémy §28
Digitální služby §29
HLAVA III - BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní politika a bezpečnostní dokumentace §30
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Kategorizace kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ZÁVĚREČNÁ USTANOVENÍ
Přechodná ustanovení §35
Zrušovací ustanovení §36
Účinnost §37
Příloha č. 1 - Hodnocení aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Zranitelnosti a hrozby
Příloha č. 4 - Likvidace dat
Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace
Příloha č. 6 - Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role
Příloha č. 7 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy
Příloha č. 8 - Vzor Formuláře pro hlášení kontaktních údajů
82
VYHLÁŠKA
ze xxx 21. xxxxxx 2018
x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, reaktivních xxxxxxxxxx, xxxxxxxxxxxxx podání v xxxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxx xxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx úřad xxx xxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxx stanoví xxxxx §28 xxxx. 2 xxxx. x) xx x) a x) xxxxxx x. 181/2014 Xx., o xxxxxxxxxxxx xxxxxxxxxxx a x xxxxx souvisejících xxxxxx (xxxxx o xxxxxxxxxxxx xxxxxxxxxxx), xx xxxxx xxxxxx x. 104/2017 Xx. x xxxxxx x. 205/2017 Sb., (xxxx xxx "xxxxx"):
XXXX XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx předpis Evropské xxxx1) x pro xxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikační xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, významný informační xxxxxx, informační xxxxxx xxxxxxxx služby xxxxx xxxxxxxxxx xxxxxx nebo xxx xxxxxxxxxxxxxx komunikací, xxxxx využívá poskytovatel xxxxxxxxxxx služeb, (dále xxx "xxxxxxxxxx x xxxxxxxxxxx xxxxxx") upravuje
a) xxxxx x strukturu xxxxxxxxxxxx xxxxxxxxxxx,
x) obsah x xxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) typy, xxxxxxxxx x hodnocení významnosti xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx,
x) xxxxxxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx,
x) náležitosti xxxxxxxx x xxxxxxxxx reaktivního xxxxxxxx x xxxx xxxxxxxx,
x) xxxx oznámení xxxxxxxxxxx xxxxx x xxxx formu a
g) xxxxxx xxxxxxxxx xxx, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx kopií.
§2
Vymezení pojmů
Pro xxxxx xxxx xxxxxxxx se xxxxxx
x) xxxxxxxxxxxxxxx xxxxx xxxxxxxxxxx správu, provoz, xxxxxxx, xxxxxx a xxxxxxxxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxx xxxxxx, xxxxx xx přijatelné xxx orgán nebo xxxxx, xxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx podle xxxxxx, (xxxx xxx "xxxxxxx xxxxx") x xxxx xxxxx xxx xxxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) bezpečnostní xxxxxxxxx xxxxxx zásad a xxxxxxxx, xxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxx,
x) xxxxxxxxxx xxxxx xxxxxxx proces xxxxxxxxxxxx, xxxxxxx x xxxxxxxxxxx xxxxx,
x) hrozbou xxxxxxxxxxx xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu, která xxxx xxxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxx xx xx provozu, xxxxxxx, xxxxxx xxxx xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) primárním aktivem xxxxxxxxx nebo xxxxxx, xxxxxx xxxxxxxxxx xxxx xxxxxxxxx informační a xxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxx, xx xxxxxx xxxxxx využije xxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxx,
x) řízením rizik xxxxxxx xxxxxxxxxx hodnocení xxxxx, xxxxx a xxxxxxxx opatření ke xxxxxxxx xxxxx, sdílení xxxxxxxxx x xxxxxx x xxxxxxxxx a xxxxxxxxxxx xxxxx,
x) xxxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx xxxxxxx řízení xxxxxxx xxxxx založená xx xxxxxxxx x xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxx xxxxxx ustavení, xxxxxxxx, xxxxxxxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, udržování x xxxxxxxxxx xxxxxxxxxxx informací x xxx,
x) technickým xxxxxxx xxxxxx technické xxxxxxxx, komunikační xxxxxxxxxx x xxxxxxxxxx vybavení xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxx, xx xxxxxxx jsou xxxx systémy xxxxxxxx, xxxxxxx selhání xxxx xxx dopad na xxxxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxx xxxxx xxxxxxx xxxx, xxxxx xxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxx xxxx skupina xxxx, které řídí xxxxxxxx xxxxx, nebo xxxxxxxxxx orgán xxxxxxx xxxxx,
x) významným xxxxxxxxxxx xxxxxxxxxxxx informačního nebo xxxxxxxxxxxxx xxxxxxx (xxxx xxx "xxxxxxxxxxxx") x xxxxx, xxx s xxxxxxxx xxxxxx xxxxxxxx xx xxxxxxxx xxxxxx, xxxxx xx xxxxxxxx x hlediska bezpečnosti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxx xxxxx, která xx xxxx může mít xxxx xx xxxxxxxxxxxxx xxxxxxxxxx x představuje xxxxxx riziko,
p) xxxxxxxxxxxxx xxxxx xxxxx xxxxxx xxxx slabé místo xxxxxxxxxxxxxx opatření, které xxxx xxx zneužito xxxxxx xxxx xxxx xxxxxxxx.
ČÁST DRUHÁ
BEZPEČNOSTNÍ XXXXXXXX
XXXXX X
XXXXXXXXXXX OPATŘENÍ
§3
Systém xxxxxx xxxxxxxxxxx informací
Povinná osoba x rámci xxxxxxx xxxxxx bezpečnosti informací
a) xxxxxxx x xxxxxxx xx požadavky xxxxxxxxx xxxxx a organizační xxxxxxxxxx xxxxxx systému xxxxxx xxxxxxxxxxx informací, xx xxxxxx určí xxxxxxxxxxx xxxxx x xxxxxx, xxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx,
x) xxxxxxx xxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) xxx xxxxxxxxx xxxxxx xxxxxxx xxxxxx bezpečnosti informací xx základě xxxx xxxxxxx řízení bezpečnosti xxxxxxxxx, xxxxxxxxxxxxxx xxxxxx x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) řídí xxxxxx xxxxx §5,
e) xxxxxxx x schválí bezpečnostní xxxxxxxx v xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, která obsahuje xxxxxx xxxxxx, cíle, xxxxxxxxxxxx xxxxxxx, práva x xxxxxxxxxx xx xxxxxx x řízení xxxxxxxxxxx informací, x xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x výsledků xxxxxxxxx xxxxx stanoví xxxxxxxxxxxx politiku v xxxxxxx xxxxxxxxx podle §30 x xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx provedení auditu xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx (dále xxx "xxxxx kybernetické bezpečnosti") xxxxx §16,
x) zajistí xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxx obsahuje xxxxxxxxx stavu systému xxxxxx xxxxxxxxxxx informací xxxxxx xxxxxx xxxxxxxxx xxxxx, posouzení xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx systém řízení xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxx §11 xxxx xxxxxxxx změny, xxxxx xxxxx do xxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx,
x) xxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxxxx informací x příslušnou dokumentaci xx xxxxxxx zjištění xxxxxx xxxxxxxxxxxx bezpečnosti, xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a x xxxxxxxxxxx x prováděnými xxxxxxxxxx xxxxxxx a
j) xxxx xxxxxx a xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxx xx xxxxxxxx řízení xxxxxxxxxxx xxxxxxxxx a xxxxxxx xxxxx.
§4
Xxxxxx xxxxx
(1) Povinná xxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx pro xxxxxxxxxxxx xxxxx,
x) stanoví metodiku xxx xxxxxxxxx aktiv xxxxxxx x rozsahu xxxxxxxx v příloze č. 1 x této xxxxxxxx,
x) xxxxxxxxxxxx a xxxxxxx xxxxxx,
x) xxxx x xxxxxxx garanty xxxxx,
x) xxxxxxx x xxxxxxx xxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x xxxxxx je do xxxxxxxxxxxx úrovní podle xxxxxxx x),
x) xxxx x eviduje xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx aktivy x xxxxxxx důsledky xxxxxxxxxx xxxx xxxxxxxxxx a xxxxxxxxxx aktivy,
g) xxxxxxx xxxxxxxx xxxxxx a xxxxxxxxxx xxxxxx zejména xxxxxxxx závislosti xxxxx xxxxxxx x),
x) xx xxxxxxx xxxxxxxxx xxxxx xxxxxxxxx a xxxxxx xxxxxxxx ochrany xxxxx xxx zabezpečení xxxxxxxxxxxx xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx x pravidla xxx xxxxxxxxxx x xxxxxx s xxxxxxx xx úroveň xxxxx, xxxxxx xxxxxxxx pro xxxxxxxx xxxxxxxxxxxx sdílení x fyzické xxxxxxxxx xxxxx, x
x) xxxx xxxxxx likvidace dat, xxxxxxxxxx xxxxx, informací x jejich kopií xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxx x xxxxxxx na xxxxxx xxxxx x souladu x přílohou č. 4 x xxxx vyhlášce.
(2) Xxx xxxxxxxxx xxxxxxxxxxx primárních xxxxx je třeba xxxxxxxx xxxxxxx
x) rozsah x důležitost osobních xxxxx, zvláštních kategorií xxxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxxxxx,
x) rozsah xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxx závazků,
c) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx veřejných, xxxxxxxxxx nebo xxxxxxxxxxxx xxxxx x xxxxx xxxxxxxx xxxxxx,
x) xxxxxx xx xxxxxxxxxxx důležitých xxxxxx,
x) rozsah narušení xxxxxxx činností,
g) xxxxxx xx xxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx xxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxx x xxxxxx osob,
i) xxxxxx xx xxxxxxxxxxx vztahy x
x) xxxxxx xx xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
§5
Xxxxxx rizik
(1) Xxxxxxx xxxxx v rámci xxxxxx xxxxx x xxxxxxxxxx na §4
a) xxxxxxx metodiku pro xxxxxxxxx xxxxx, včetně xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxxxxx rizik,
b) s xxxxxxx xx xxxxxx xxxxxxxxxxxx relevantní hrozby x xxxxxxxxxxxxx; přitom xxxxxxx xxxxxxx xxxxxxxxx xxxxxx x zranitelností xxxxxxxxx x příloze č. 3 x xxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 2 x xxx xxxxxxxxxx xxxxxxx,
x) při xxxxxxxxx xxxxx zohlední xxxxxxxxxx xxxxxx x xxxxxxxxxxxxx x xxxxxxx xxxxx xxxxxx xx xxxxxx; xxxx xxxxxx hodnotí xxxxxxx x rozsahu přílohy č. 2 k xxxx xxxxxxxx,
x) xxxxxxxx zprávu x xxxxxxxxx xxxxx,
x) xxxxxxxx na xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx x aplikovatelnosti, xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx, xxxxx
1. xxxxxx xxxxxxxxxx, včetně xxxxxxxxxx,
2. xxxx xxxxxxxxxx, xxxxxx xxxxxxx xxxxxx,
x) xxxxxxxx x xxxxxx xxxx xxxxxxxx xxxxx, xxxxx xxxxxxxx xxxx x xxxxxxx bezpečnostních xxxxxxxx xxx zvládání xxxxxxxxxxxx xxxxx, xxxxxx xxxxx xxxxxxxxxxx prosazování xxxxxxxxxxxxxx opatření pro xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x informační zdroje, xxxxxx jejich xxxxxxxx, xxxxx xxxxx xxxx xxxxxx a příslušnými xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) při xxxxxxxxx xxxxx a x xxxxx zvládání rizik xxxxxxxx
1. xxxxxxxx změny,
2. xxxxx xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
3. xxxxxxxx podle §11 xxxxxx a
4. xxxxxxxxxxxx xxxxxxxxxxxx incidenty, xxxxxx xxxxx xxxxxxxx, x
x) x xxxxxxx s xxxxxx xxxxxxxx rizik xxxxxx xxxxxxxxxxxx opatření.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), d) x x) xxxxxx provádí xxxxxxxxx xxxxx alespoň xxxxxx xxxxx x xxxxxxx osoba uvedená x §3 xxxx. x) xxxxxx alespoň xxxxxx xx tři xxxx.
(3) Xxxxxx rizik xxxx xxx xxxxxxxxx x xxxxxx xxxxxxx, xxx jak xx xxxxxxxxx v xxxxxxxx 1 písm. x), xxxxx xxxxxxx xxxxx xxxxxxxxx, že xxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxx vyšší xxxxxx xxxxxxx xxxxxx xxxxx.
§6
Xxxxxxxxxxx bezpečnost
(1) Xxxxxxx xxxxx x xxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx informací
a) xxxxxxx xxxxxxxxx xxxxxxxxxxxx politiky x cílů systému xxxxxx bezpečnosti xxxxxxxxx xxxxx §3 slučitelných xx xxxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxx,
x) zajistí xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací do xxxxxxx povinné xxxxx,
x) xxxxxxx xxxxxxxxxx zdrojů xxxxxxxxxx xxx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxx o xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxx x xxxx xxxxxxxxx xx všemi xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxx systému řízení xxxxxxxxxxx informací,
f) xxxx xxxxxxxxxxx k xxxxxxxxx xxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxx je xxx xxxxx xxxxxxxxx,
x) prosazuje xxxxxxxx zlepšování xxxxxxx xxxxxx xxxxxxxxxxx informací,
h) xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxxxxxx,
x) zajistí xxxxxxxxx xxxxxxxx pro xxxxxx xxxxxxxxxxxxxx x osob, xxxxx xxxxx zastávat xxxxxxxxxxxx xxxx,
x) zajistí, xxx byla xxxxxxxxx xxxxxxxxxxx administrátorů x xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) xxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx xxxxxxxxx x zdroje včetně xxxxxxxxxxxx xxxxxxxxxx k xxxxxxxxxx jejich xxxx x xxxxxx souvisejících xxxxx x
x) zajistí xxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx, xxxxxx a xxxxxxx xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
(2) Xxxxxxx osoba x xxxxx systému xxxxxx xxxxxxxxxxx informací xxxx xxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x bezpečnostní xxxx a jejich xxxxx x xxxxxxxxxx xxxxxxxxxxx se xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(3) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x x) xxxxxx určí xxxxx, xxxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxx a
d) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxx. Ostatní xxxxxxxxxxxx xxxx xxxxx xxxxxxxx 3 xxxx přiměřeně xxxxxxxx k xxxxxxx x xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(5) Xxxxxxx osoba xxxxxxx x §3 xxxx. x), x) x x) xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxx xxxxxxxxx x odstavci 3 xxxx. x) x x).
(6) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(7) Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxx xxxxxxx xxxxxx a xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xx xxxxxxxxxxxx xx xxxxxx a xxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxx xxxx xxx xxxxxxx xxxxx xxxxxxxx vrcholového xxxxxx xxxx jím pověřená xxxxx a xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx. Povinná xxxxx x xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx v příloze č. 6 x této xxxxxxxx.
§7
Bezpečnostní xxxx
(1) Manažer xxxxxxxxxxxx xxxxxxxxxxx
x) je xxxxxxxxxxxx role odpovědná xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, přičemž xxxxxxx xxxx xxxx xxxx být xxxxxxxx xxxxx, xxxxx xx xxx tuto xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx způsobilost xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx nebo s xxxxxxx bezpečnosti xxxxxxxxx
1. xx dobu xxxxxxx xxx let, xxxx
2. xx dobu xxxxxxx xxxx, pokud absolvovala xxxxxxx na vysoké xxxxx,
x) odpovídá xx xxxxxxxxxx informování vrcholového xxxxxx o
1. xxxxxxxxxx xxxxxxxxxxxxx x xxxxxxx xxxx xxxxxxxxxxxx x
2. xxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx a
c) xxxxx xxx xxxxxxx xxxxxxx rolí xxxxxxxxxxx xx provoz xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxxxx kybernetické xxxxxxxxxxx xx bezpečnostní xxxx xxxxxxxxx za xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx xxx, aby xxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx, xxxxxxx xxxxxxx této xxxx xxxx xxx pověřena xxxxx, xxxxx je xxx tuto xxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxxx praxí x navrhováním implementace xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxx xxxxxxx xxx let, nebo
b) xx xxxx jednoho xxxx, pokud xxxxxxxxxxx xxxxxxx na xxxxxx xxxxx.
(3) Garant aktiva xx xxxxxxxxxxxx role xxxxxxxxx xx zajištění xxxxxxx, xxxxxxx x xxxxxxxxxx aktiva.
(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxxxxxxxxxx xxxx xxxxxxxxx xx provádění xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx xxxx xxxx xxxx xxx pověřena xxxxx, která xx xxx xxxx xxxxxxx xxxxxxxxx a prokáže xxxxxxxx způsobilost xxxxx x xxxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx
1. xx xxxx xxxxxxx xxx xxx, nebo
2. xx xxxx xxxxxxx xxxx, xxxxx xxxxxxxxxxx studium xx xxxxxx xxxxx,
x) xxxxxxxx, xx xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti xx xxxxxxxxx, x
x) xxxxx xxx pověřen xxxxxxx jiných xxxxxxxxxxxxxx xxxx.
(5) Xxxxxxx osoba xxx xxxxxxxx osob xxxxxxxxxxxxx xxxxxxxxxxxx role xxxxxxxxx k doporučením xxxxxxxx v příloze č. 6 x xxxx xxxxxxxx.
§8
Xxxxxx dodavatelů
(1) Xxxxxxx xxxxx
x) stanoví pravidla xxx xxxxxxxxxx, xxxxx xxxxxxxxxx xxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxx svých xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxx xxx xxxxxxxx xxxxxxxxxx o xxxxxx xxxxxxxx xxxxx xxxxxxx b),
d) seznamuje xxx dodavatele s xxxxxxxx xxxxx xxxxxxx x) x vyžaduje xxxxxx těchto pravidel,
e) xxxx xxxxxx spojená x xxxxxxxxxx,
x) x xxxxxxxxxxx x xxxxxxx xxxxx xxxxxxxxx x xxxxxxxxxx dodavateli zajistí, xxx xxxxxxx uzavírané x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx oblasti xxxxxxx x příloze č. 7 x xxxx xxxxxxxx, x
x) pravidelně xxxxxxxxxxx xxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxx z xxxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxx xxxx
x) x xxxxx xxxxxxxxxx řízení x xxxx xxxxxxxxx xxxxxxx provádí hodnocení xxxxx xxxxxxxxxxxxx s xxxxxxx předmětu xxxxxxxxxx xxxxxx přiměřeně xxxxx přílohy č. 2 x této xxxxxxxx,
x) v xxxxx xxxxxxxxxxx xxxxxxxxx vztahů xxxxxxx xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxx xxxxx vzájemné xxxxxxx xxxxxxxxxxxx xx zavedení x kontrolu bezpečnostních xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxx rizik a xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx u xxxxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxx xxxx xxxxxx třetí xxxxxx x
x) x reakci xx xxxxxx x xxxxxxxx nedostatky xxxxxxx xxxxxx xxxxxx.
(3) Náležitosti xxxxxxxxxxxxxx informování xxxxx xxxxxxxx 1 písm. x) xxxx
x) identifikace xxxxxxx xxxx xxxxxxxxxxxxx,
x) xxxxxxxxxxxx informačního a xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx,
x) vyrozumění x xxxxxxxxxxx, xx xxxxxxxxx xx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxx, x xxxxxxxxx xxxx x xxx, xx xxxxxxxx xxxxxxxxx je xxxxxxx xxxxxxxxxxxxxx, x
x) xxxxx xxxxxxxx xxxxx xxxxxxxx 1 xxxx. x).
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona, xxxxx xx xxxxxxxxxxxxxx a xxxx prokazatelně xxxxxxxxxxx xxxxx odstavce 1 xxxx. x), hlásí xxxxxxxxx xxxxx formou xxxxxxxx v §34.
§9
Xxxxxxxxxx xxxxxxxx xxxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx
x) x xxxxxxx na stav x xxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx xxxxxxx xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxx je zajistit xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx povědomí x xxxxx obsahuje xxxxx, xxxxx x xxxxxx
1. xxxxxxx uživatelů, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxx x jejich xxxxxxxxxxxx a x xxxxxxxxxxxx xxxxxxxx x
2. xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxx školení xxxxxxxxx, xxxxxxxxxxxxxx a osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxx xxxxx xxxxxxxxx xx xxxxxxxxx jednotlivých xxxxxxxx, které xxxx x plánu xxxxxxx,
x) x souladu x xxxxxx xxxxxxx bezpečnostního xxxxxxxx zajistí xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, osob xxxxxxxxxxxxx xxxxxxxxxxxx role x dodavatelů x xxxxxx xxxxxxxxxxxx a x xxxxxxxxxxxx politice xxxxxx xxxxxxxxx x xxxxxxxxxxxx školení,
d) xxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx v xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx zajistí xxxxxxxxxx xxxxxxx xxxxxxx, xxxxxxx vychází x xxxxxxxxxx xxxxxx povinné xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) x xxxxxxx s xxxxxx xxxxxxx xxxxxxxxxxxxxx povědomí xxxxxxx xxxxxxxxxx xxxxxxx x ověřování xxxxxxxxxxxxxx xxxxxxxx zaměstnanců x xxxxxxx x jejich xxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx bezpečnostní xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) x případě xxxxxxxx xxxxxxxxx xxxxxx x administrátory a xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxx xxxxxxx xxxxxxxxxxxx,
x) hodnotí xxxxxxxx xxxxx xxxxxxx bezpečnostního xxxxxxxx, xxxxxxxxxxx školení x xxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
x) xxxx xxxxxxxx a xxxxxxx xxx xxxxxx xxxxxxx porušení xxxxxxxxxxx xxxxxxxxxxxxxx pravidel ze xxxxxx uživatelů, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
(2) Povinná xxxxx vede x xxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx, které xxxxxxxx předmět xxxxxxx x xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
§10
Xxxxxx xxxxxxx x xxxxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx řízení xxxxxxx x komunikací xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx a xxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx, které xxxxxxxx xxxxxxx
x) xxxxx a xxxxxxxxxx xxxxxxxxxxxxxx, uživatelů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxx x xxxxxxxx chodu systému, xxx xxxxxxx xxxx xxxxxxxx chodu xxxxxxx xx selhání x xxx xxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxx xxxxxxx xxxxxxxx x xxxxxxxx o xxxxxx událostech,
d) xxxxxxxx x postupy xxx xxxxxxx xxxx xxxxxxxxx xxxxx,
x) řízení xxxxxxxxxxx xxxxxxxxxxxxx,
x) spojení xx xxxxxxxxx xxxxx, které xxxx pověřeny xxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxx,
x) postupy xxxxxx x xxxxxxxxxxx provozních xxxx,
x) xxxxxxx xxx xxxxxxxxx, xxxxxxxxx x xxxxxx xxxxxxxx lidských x technických xxxxxx,
x) xxxxxxxx a xxxxxxx xxx ochranu informací x xxx x xxxxxxx celého xxxxxxxxx xxxxx,
x) pravidla a xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxxx zálohování a xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxx x
x) xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxxxxxxx síťových xxxxxx.
(2) Povinná xxxxx x rámci xxxxxx xxxxxxx x komunikací xxxxxxxx pravidla x xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 1 a xxxx pravidla x xxxxxxx xxxxxxxxxxx v xxxxxxxxxxx s prováděnými xxxx xxxxxxxxxxx změnami.
(3) Xxxxxxx osoba zajistí xxxxxxxx vývojového, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxx.
§11
Xxxxxx xxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx změn x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) přezkoumává xxxxx xxxxxx xxxx x
x) xxxxxx xxxxxxxx změny.
(2) Xxxxxxx xxxxx u xxxxxxxxxx xxxx
x) dokumentuje xxxxxx xxxxxx,
x) provádí xxxxxxx xxxxx,
x) přijímá xxxxxxxx za xxxxxx xxxxxxx všech nepříznivých xxxxxx spojených x xxxxxxxxxx xxxxxxx,
x) aktualizuje xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx dokumentaci,
e) xxxxxxx xxxxxx testování x
x) xxxxxxx možnost xxxxxxxxx xx xxxxxxxxx xxxxx.
(3) Xxxxxxx xxxxx xxxxxxx x §3 písm. x), x) a x) xxxxxx na xxxxxxx výsledků analýzy xxxxx xxxxx xxxxxxxx 2 písm. x) xxxxxxxxx o provedení xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx zranitelností; pokud xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx nebo xxxxxxxxx zranitelností, xxxxxxxxx xxxxx §25 xxxx. 1 x reaguje xx zjištěné xxxxxxxxxx.
(4) Xxxxxxx xxxxx uvedená x §3 písm. x) xxxxxx xx xxxx požadavky xxxxx xxxxxxxx 3 xxxxxxxxx.
§12
Xxxxxx xxxxxxxx
(1) Povinná xxxxx xx xxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxx x informačnímu x xxxxxxxxxxxxx systému a xxxxxxx opatření, která xxxxxx x zajištění xxxxxxx xxxxx, které xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxx §19 x 20, a xxxxx xxxxx ve xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(2) Xxxxxxx xxxxx xxxx x xxxxx xxxxxx přístupu x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) řídí xxxxxxx xx xxxxxxx xxxxxx a xxxx,
x) xxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxx x oprávnění x jedinečný identifikátor,
c) xxxx xxxxxxxxxxxxxx, xxxxxxxxxx xxxxx a oprávnění xxxxxxxx a xxxxxxxxxxx xxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxxx pro řízení xxxxxxxx xxxxxxxx k xxxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxxxxxxxxx opatření potřebná xxx xxxxxxxx používání xxxxxxxxx zařízení x xxxxxx technických xxxxxxxx, xxxxxxxxx x bezpečnostní xxxxxxxx xxxxxxx x xxxxxxxx technických xxxxxxxx, xxxxx xxxxxxx xxxxx xxxx xx xxx xxxxxx,
x) omezí přidělování xxxxxxxxxxxxxxx oprávnění xx xxxxxx nezbytně xxxxxx x xxxxxx náplně xxxxx,
x) xxxxx x xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx, které xxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx nebo xxxxxxxxx xxxxxxxx,
x) xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx x xxxxxxxxx xxxxxx přístupu,
i) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx přístupových xxxxxxxxx včetně xxxxxxxxx xx přístupových skupin x xxxx,
x) xxxxxxx xxxxxxx pro xxxxxx x ověřování xxxxxxxx xxxxx §19 a xxxxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxx podle §20,
x) prosazuje, aby xxxxxxxxx xxx xxxxxxxxx xxxxxxxxxx autentizačních xxxxxxxxx xxxxxxxxxx stanovené xxxxxxx,
x) xxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxx xxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx xxxx xxxxx xxxxxxxxx xxxxxx x
x) xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx.
§13
Akvizice, xxxxx x xxxxxx
Xxxxxxx xxxxx x xxxxxxxxxxx x plánovanou xxxxxxxx, xxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému
a) řídí xxxxxx podle §5,
x) xxxx xxxxxxxx xxxxx xxxxx §11,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) zahrne xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxx akvizice, vývoje x xxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx dat,
f) xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxx xxxx xxxxxx xxxxxxxxx xx provozu x
x) plní xxxxxxxxx xxxxx §19 xxxx. 3, je-li xxxxx xxxxxxxxx akvizice xxxx xxxxxx xxxxxxx pro xxxxxx x xxxxxxxxx xxxxxxxx.
§14
Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a incidentů
(1) Xxxxxxx osoba x xxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) zavede proces xxxxxxx a vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx x xxxxxxx xxxxxxx pro
1. xxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx x
2. xxxxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx x xxxxxxxx postupy xxx xxxxxxxxxxxx, xxxx, xxxxxxx a xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx xx xxxx xxxx §22 x 23,
x) xxxxxxx, xx xxxxxxxxx, xxxxxxxxxxxxxx, osoby zastávající xxxxxxxxxxxx xxxx, xxxxx xxxxxxxxxxx x xxxxxxxxxx xxxxx xxxxxxxxx neobvyklé xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx xx jakékoliv xxxxxxxxxxxxx,
x) zajistí xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx kterém xxxx xxx xxxxxxxxxx, xxx xxxx xxx klasifikovány xxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx podle §31,
x) xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxx,
x) přijímá xxxxxxxx pro odvrácení x zmírnění xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §32,
x) xxxx záznamy o xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentech x x xxxxxx xxxxxxxx,
x) xxxxxxxx a xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x
x) xxxxxxxxx účinnost řešení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xx základě xxxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxx opatření, xxxxxxxxx xxxxxxxxxxx stávající xxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx uvedená x §3 xxxx. x), x) a x) xxxxxx xxxx xxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx xxxxxxx nástroj xxxxx §24.
§15
Řízení xxxxxxxxxx činností
Povinná xxxxx v xxxxx xxxxxx xxxxxxxxxx xxxxxxxx
x) xxxxxxx práva a xxxxxxxxxx xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxx xxxxxxxxx xxxxx a analýzy xxxxxx vyhodnotí a xxxxxxxxxxx možné dopady xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů x xxxxxxx možná xxxxxx xxxxxxxxxxx x xxxxxxxxx kontinuity xxxxxxxx,
x) xx xxxxxxx xxxxxxx xxxxxxxxx rizik x xxxxxxx xxxxxx xxxxx xxxxxxx x) stanoví xxxx xxxxxx kontinuity xxxxxxxx xxxxxx určení
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx, která je xxxxxxxxxx pro xxxxxxx, xxxxxx x xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
2. xxxx xxxxxxxx xxxxx, během xxxxx xxxx po kybernetickém xxxxxxxxxxxxx xxxxxxxxx obnovena xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx informačního x xxxxxxxxxxxxx systému, x
3. xxxx obnovení xxx xxxx xxxxxx období, xx xxxxx xxxx xxx xxxxxx xxxxxxxx xxxx po xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu xxxx xx selhání,
d) xxxxxxx xxxxxxxx xxxxxx kontinuity xxxxxxxx, která xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx c),
e) xxxxxxxxx, xxxxxxxxxxx x pravidelně xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx a xxxxxxxxx xxxxx xxxxxxxxxxx s xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x xxxxxxxxxxxxx služeb x
x) xxxxxxxxx opatření xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx x omezením xxxxxxxxxxx x xxxxxxx xxx tom z xxxxxxxxx podle §27.
§16
Xxxxx xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx auditu kybernetické xxxxxxxxxxx
x) xxxxxxx x xxxxxxxxxxx xxxxx dodržování xxxxxxxxxxxx politiky, xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx, x výsledky xxxxxx xxxxxxxx v xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx xxxxx x
x) xxxxxxxx xxxxxx bezpečnostních opatření x xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx, jinými xxxxxxxx x xxxxxxxxx závazky xxxxxxxxxxxx xx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x určí xxxxxxxx xxxxxxxx xxxxxxxx xxx zajištění xxxxxxx.
(2) Xxxxx xxxxx odstavce 1 xx xxxxxxxx
x) xxx xxxxxxxxxx xxxxxxx, x xxxxx xxxxxx xxxxxxx,
x) x pravidelných xxxxxxxxxxx xxxxxxx po 3 letech x xxxxxxx xxxxxxx osoby xxxxxxx x §3 xxxx. x) xxxxxx x
x) x pravidelných xxxxxxxxxxx alespoň po 2 xxxxxx x xxxxxxx xxxxxxx xxxxx xxxxxxxxx x xxxxxxx x).
(3) Xxxx-xx x xxxxxxxxxxxx případech xxxxx xxxxxxx xxxxx v xxxxxxxxxxx xxxxx odstavce 2 xxxx. b) x x) x xxxxx rozsahu, xx xxxxx xxxxx xxxxxxxx xxxxxxxx xx systematických xxxxxxx. V xxxxxxx xxxxxxx je xxxxx xxxxx v xxxxx xxxxxxx xxxxxxx nejpozději xx 5 xxx.
(4) Xxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx xxxxxxxx xxxxxx vyhovující xxxxxxxxx xxxxxxxxxx x §7 xxxx. 4, která xxxxxxxxx xxxxxxx správnost x xxxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx.
(5) Xxxxxxx xxxxx, která xx xxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
XXXXX II
TECHNICKÁ XXXXXXXX
§17
Xxxxxxx xxxxxxxxxx
Xxxxxxx xxxxx x xxxxx fyzické xxxxxxxxxxx
x) xxxxxxxxx xxxxxxxxx, krádeži xxxx zneužití xxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx informačního a xxxxxxxxxxxxx systému,
b) stanoví xxxxxxx bezpečnostní perimetr xxxxxxxxxxxx xxxxxx, xx xxxxx jsou uchovávány x xxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, x
x) x fyzického bezpečnostního xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx b) xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx
1. k xxxxxxxx xxxxxxxxxxxxx xxxxxx,
2. k xxxxxxxx poškození x xxxxxxxxxxxx xxxxxxx a
3. xxx xxxxxxxxx xxxxxxx xx úrovni objektů x x rámci xxxxxxx.
§18
Xxxxxxxxxx komunikačních xxxx
Xxxxxxx xxxxx xxx ochranu xxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxx x rozsahu xxxxx §3 písm. x)
x) zajistí xxxxxxxxxx xxxxxxxxxxx sítě,
b) zajistí xxxxxx xxxxxxxxxx v xxxxx komunikační sítě x xxxxxxxxx komunikační xxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxx a xxxxxxxxx xxx xxx xxxxxxxxx přístupu, xxxxxxxx xxxxxx nebo xxx xxxxxxxx xx komunikační xxxx xxxxxx bezdrátových xxxxxxxxxxx,
x) xxxxxxx blokuje xxxxxxxxx xxxxxxxxxx x
x) xxx xxxxxxxxx segmentace xxxx a xxx xxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxxx využívá xxxxxxx, xxxxx xxxxxxx xxxxxxx integrity xxxxxxxxxxx xxxx.
§19
Správa a xxxxxxxxx xxxxxxx
(1) Povinná osoba xxxxxxx nástroj pro xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx, administrátorů x xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému.
(2) Xxxxxxx xxx xxxxxx x ověření xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxx xxxxxxxxx
x) xxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxxxx x informačním x komunikačním xxxxxxx,
x) xxxxxx počtu xxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxxxx,
x) odolnost uložených xxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxx proti xxxxxxxxxxxxx xxxxxxxx x zneužití,
d) xxxxxxxx autentizačních xxxxx xx xxxxx xxxxxx xxxxx xxxxxxx útokům,
e) xxxxxxxx xxxxxxx xxxxxxxx xx určené xxxx xxxxxxxxxx,
x) xxxxxxxx důvěrnosti xxxxxxxxxxxxxx xxxxx při xxxxxx xxxxxxxx a
g) xxxxxxxxxxxxxxx správu identit.
(3) Xxxxxxx xxxxx pro xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx není xxxxxxxx xxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxx a xxxxx, xxxxx na xxxxxxxxxxxxx autentizaci x xxxxxxx xxxxx xxxxxxx xxxx xxxxxxx.
(4) Xx xxxx splnění xxxxxxxxx xxxxx xxxxxxxx 3 xxxx nástroj xxx xxxxxxx identity xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx, xxxxxxxx xxxxxxxxxxx pomocí xxxxxxxxxxxxxxxx klíčů x xxxxxxx obdobnou xxxxxx xxxxxxxxxxx.
(5) Xx xxxx xxxxxxx xxxxxxxxx podle xxxxxxxx 3 nebo 4 xxxx xxxxxxx xxx xxxxxxx identity xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx, xxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxx x xxxxx, xxxxxxxxx xxxxxxxx
x) délky xxxxx xxxxxxx
1. 12 xxxxx x xxxxxxxxx x
2. 17 xxxxx x administrátorů x xxxxxxxx,
x) xxxxxxxxxx xxxxx xxxxx x xxxxx xxxxxxx 64 xxxxx,
x) xxxxxxxxxxx použití malých x xxxxxxx xxxxxx, xxxxxx x speciálních xxxxx,
x) xxxxxxxxxx xxxxxxxxxx xxxxx xxxxx, xxxxxxx xxxxxx mezi xxxxx xxxxxxx xxxxx xxxxx xxx kratší než 30 xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxx a administrátorům
1. xxxxxx si xxxxxxxxxx xxxxxxxxx xxxxx,
2. tvořit xxxxx xx xxxxxxx xxxxxxxxxxxx opakujících xx xxxxx, xxxxxxxxxxxxxx xxxxx, x-xxxxx, názvu xxxxxxx xxxx xxxxxxxx xxxxxxxx x
3. opětovné xxxxxxx xxxxx xxxxxxxxxxx xxxxx x xxxxxx xxxxxxx 12 xxxxxxxxxxx xxxxx x
x) pro xxxxxxxx xxxxx xxxxx v xxxxxxxxx xxxxxxxxx po 18 xxxxxxxx, přičemž xxxx xxxxxxxx se xxxxxxxxxx xx účty xxxxxxxx x obnově xxxxxxx x případě xxxxxxx.
(6) Xxxxxxx xxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxx x heslem dále
a) xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxx xx xxxx prvním xxxxxxx,
x) xxxxxxxxxxx zneplatní heslo xxxxxxxx x xxxxxxxx xxxxxxxx po jeho xxxxxx použití nebo xxxxxxxxx nejvýše 60 xxxxx xx xxxx xxxxxxxxx x
x) xxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxxxxxxx hesel xx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx podle §9.
§20
Řízení přístupových xxxxxxxxx
Xxxxxxx xxxxx xxxxxxx centralizovaný xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx xxxxxx oprávnění
a) xxx xxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx x
x) xxx čtení xxx, xxxxx xxx x xxxxx xxxxxxxxx.
§21
Xxxxxxx xxxx škodlivým xxxxx
(1) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. x), d) x x) xxxxxx x rámci ochrany xxxx škodlivým xxxxx
x) x xxxxxxx xx xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxx xxxxxxxx pro xxxxxxxxxxxx automatickou xxxxxxx
1. xxxxxxxxx xxxxxx,
2. xxxxxxxxx xxxxxxxx,
3. xxxxxxx,
4. xxxxxxxx xxxxxxx x výměnných xxxxxxxx nosičů,
5. xxxxxxxxxxx xxxx x xxxxx xxxxxxxxxxx xxxx x
6. xxxxxxxxx xxxxxxxx,
x) monitoruje x řídí xxxxxxxxx xxxxxxxxx xxxxxxxx a xxxxxxxx xxxxxx,
x) řídí xxxxxxxxxxx spouštění obsahu xxxxxxxxx zařízení a xxxxxxxx xxxxxx,
x) xxxx xxxxxxxxx xx xxxxxxxxx xxxx x
x) xxxxxxx xxxxxxxxxxx a účinnou xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxx škodlivým xxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) zákona xxxxxxxxx podle odstavce 1 xxxxxxxxx.
§22
Zaznamenávání xxxxxxxx informačního x xxxxxxxxxxxxx systému, xxxx xxxxxxxxx x xxxxxxxxxxxxxx
(1) Povinná osoba
a) xxxxxxxxxxx bezpečnostní x xxxxxxxx provozní xxxxxxxx xxxxxxxxxx xxxxx informačního x xxxxxxxxxxxxx xxxxxxx x
x) xx základě xxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxx xxxxxx xxxxx, x xxxxxxx je xxxxxxxxxxxxx bezpečnostních a xxxxxxxxxx xxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx xxx xxxxxxxxxxxxx bezpečnostních x xxxxxxxxxx xxxxxxxx podle xxxxxxxx 1 xxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx identifikaci xxxxxxxx xxxxxxx, xx-xx x komunikační xxxx xxxxxx xxxxxxx, xxxxx xxxx xxxx xxxxxxx xxxxxxxxxxxx,
x) xxxx xxxxxxxxx x xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxx; zejména xxxxxxxxxxx
1. xxxxx x xxx včetně specifikace xxxxxxxx xxxxx,
2. typ xxxxxxxx,
3. xxxxxxxxxxxx technického xxxxxx, xxxxx xxxxxxx xxxxxxxxxxx,
4. xxxxxxxxxxxx identifikaci xxxx, xxx xxxxxx xxxx xxxxxxx xxxxxxxxx,
5. xxxxxxxxxxxx xxxxxxx identifikaci xxxxxxxx původce x
6. xxxxxxxxx nebo neúspěšnost xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxxx xxxxx písmen x) x b) xxxx xxxxxxxxxxxx xxxxxx x xxxxxxxxx změnou,
d) xxxxxxxxxxxxx
1. xxxxxxxxxxxx x xxxxxxxxxxx xx xxxx xxxxx, x xx xxxxxx neúspěšných xxxxxx,
2. xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx,
3. xxxxxxx x xxxxxxxxx xxxxxxxxxx s účty, xxxxxxxxxxx x právy,
4. xxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxx přístupových xxxx x oprávnění,
5. xxxxxxxx xxxxxxxxx, xxxxx xxxxx mít xxxx xx xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
6. xxxxxxxx x xxxxxxxx xxxxxxxx technických aktiv,
7. xxxxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxx aktiv x
8. xxxxxxxx k xxxxxxxx o xxxxxxxxxx, xxxxxx x manipulaci xx záznamy x xxxxxxxxxx a změny xxxxxxxxx nástrojů xxx xxxxxxxxxxxxx událostí x
x) xxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxxx aktiv xxxxxxx xxxxxx xx 24 xxxxx.
(3) Xxxxxxx osoba xxxxxxx x §3 xxxx. c), x) x f) zákona xxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxx podle xxxxxxxx 2 xxxxxxx xx xxxx 18 xxxxxx.
(4) Xxxxxxx xxxxx xxxxxxx x §3 písm. x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx zaznamenaných xxxxx odstavce 2 xxxxxxx xx xxxx 12 měsíců.
§23
Xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx komunikační xxxx, xxxxx xxxxxxxx xx informační a xxxxxxxxxxx systém, xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxxxx zajistí
a) ověření x xxxxxxxx přenášených xxx v xxxxx xxxxxxxxxxx sítě x xxxx xxxxxxxxxxxxx sítěmi,
b) xxxxxxx x xxxxxxxx xxxxxxxxxxx dat xx xxxxxxxxx xxxxxxxxxxx xxxx x
x) blokování nežádoucí xxxxxxxxxx.
(2) Povinná osoba xxxxxxx x §3 xxxx. x), x) x x) xxxxxx xxxxxxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxx xx xxxxxxxxxx xxxxx v xxxxx
x) xxxxxxxxx stanic,
b) xxxxxxxxx zařízení,
c) serverů,
d) xxxxxxxx úložišť x xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxx x
x) xxxxxxxxx xxxxx.
§24
Xxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x f) xxxxxx xxxxxxx xxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí, xxxxx xxxxxx
x) sběr x xxxxxxxxxxxxx xxxxxxxx zaznamenaných xxxxx §22 x 23,
x) vyhledávání a xxxxxxxxxxx xxxxxxxxxxxxx záznamů,
c) xxxxxxxxxxx informací xxx xxxxxx xxxxxxxxxxxx xxxx x detekovaných xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů, xxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx rolí,
e) xxxxxxx případů xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx nastavení xxxxxxxx xxx
1. vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a
2. xxxxxx varování x
x) xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxx xxxx x vyhodnocení kybernetických xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx.
§25
Xxxxxxxxx xxxxxxxxxx
(1) Xxxxxxx xxxxx provádí penetrační xxxxx informačního a xxxxxxxxxxxxx xxxxxxx xx xxxxxxxxx xx xxxxxxxx xxxxxx, x to
a) xxxx jejich xxxxxxxx xx xxxxxxx x
x) x xxxxxxxxxxx x xxxxxxxxx xxxxxx podle §11 xxxx. 3.
(2) Xxxxxxx xxxxx dále x xxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx xxxxxxxx, informací x transakcí xxxx
x) xxxxxxxxxxxx xxxxxxxx a
b) xxxxxxxx xxxxxxxxxxx činností.
§26
Kryptografické xxxxxxxxxx
Xxxxxxx osoba xxx xxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) používá xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxx xxxxxx xxxxx x xxxxxxxxxxx, xxxxx
1. xxxxxxx xxxxxxxxxx, xxxxxxxxxx, ukládání, změny, xxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxxxxx x likvidaci xxxxx x
2. umožní xxxxxxxx a audit,
c) xxxxxxxxx bezpečné xxxxxxxxx x kryptografickými prostředky x
x) zohledňuje xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx Xxxxxx, xxxxxxxxxx xx jeho xxxxxxxxxxxxx stránkách.
§27
Xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx xxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx, kterými xxxxxxx
x) xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxx xxxxxxx cílů xxxxx §15,
b) odolnost xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx vůči kybernetickým xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx mohly snížit xxxx dostupnost,
c) xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x
x) redundanci xxxxx nezbytných pro xxxxxxxxx dostupnosti xxxxxxxxxxxx x komunikačního xxxxxxx.
§28
Průmyslové, xxxxxx x xxxxxxx specifické xxxxxxx
Xxxxxxx xxxxx xxx xxxxxxxxx xxxxxxxxxxxx bezpečnosti xxxxxxxxxxxx, xxxxxxxx x obdobných xxxxxxxxxxxx xxxxxxx používá xxxxxxxx x xxxxxxxx, xxxxx zajistí
a) xxxxxxx xxxxxxxxxxx x programových xxxxxxxxxx, které jsou xxxxxx do xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxx k xxxxxxxxx xxxxxx xxxxxxx x xx xxxxxxxxxxx xxxx,
x) xxxxxxxxx komunikační xxxx xxxxxx xxx tyto xxxxxxx od xxxxxxx xxxxxxxxxxxxxx,
x) omezení a xxxxxx vzdáleného přístupu x xxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx technických xxxxx xxxxxx systémů xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx xxxxxx xxxxxxx xx xxxxxxxxxxxxx bezpečnostním xxxxxxxxx.
§29
Xxxxxxxxx služby
(1) Povinná xxxxx uvedená v §3 xxxx. x) xxxxxx zavede bezpečnostní xxxxxxxx podle prováděcího xxxxxxxx Xxxxxx (EU) 2018/151 ze xxx 30. xxxxx 2018, xxxxxx se stanoví xxxxxxxx pro xxxxxxxxxxx xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Rady (EU) 2016/1148, xxxxx xxx x xxxxxx xxxxxxxxx xxxxx, xxxxx musí xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxx řízení xxxxxxxxxxxxxx rizik, xxxxx xxxx vystaveny xxxx x xxxxxxxxxx xxxxxxx, x xxxxxxxxx xxx xxxxxxxxxx xxxx, xxx xx xxxxx xxxxxxxxx xxxxxxxx; ustanovení §3 xx 28 se xx xxxx xxxxxxxx xxxxx nepoužijí.
(2) Xxxxxxx xxxxx xxxxxxx x §3 písm. x) xxxxxx xxxxx xxxxxxxxx xxxxx xxxxx §34 xxxx. 2.
(3) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. x) xxxxxx hlásí xxxxxxxxxxxx xxxxxxxxxxxx incidenty podle §32 xxxx. 2 x 3.
XXXXX XXX
XXXXXXXXXXXX XXXXXXXX X XXXXXXXXXXXX DOKUMENTACE
§30
Bezpečnostní xxxxxxxx x bezpečnostní xxxxxxxxxxx
(1) Povinná osoba
a) xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx bezpečnostní xxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx x příloze č. 5,
b) xxxxxxxxxx přezkoumává xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx a
c) zajistí, xxx byla bezpečnostní xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx.
(2) Bezpečnostní xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx
x) xxxxxxxx v listinné xxxx xxxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxx x rámci xxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxx,
x) xxxxxx,
x) xxxxxxxx z xxxxxxx důvěrnosti, xxxxxxxxx x dostupnosti x
x) xxxxxx xxx, aby xxxxxxxxx v xxxx xxxxxxxx xxxx úplné, xxxxxxx, xxxxxx identifikovatelné x snadno vyhledatelné.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX
§31
Xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
(1) Jednotlivé xxxxxxxxxxxx xxxxxxxxxxxx incidenty xx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxx zohlednění
a) xxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, podle xxxxxxx xxxx povinné xxxxx xxxxxx,
x) xxxxx xxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxx xxxxxxxxxxxxx škody,
d) xxxxxxxxxxx dotčených aktiv xxxxxxxxxxxx x komunikačního xxxxxxx,
x) xxxxxx na xxxxxxxxxxx xxxxxx informačního x komunikačního systému,
f) xxxxxx xx xxxxxx xxxxxxxxxxx xxxxxx informačními x komunikačními xxxxxxx,
x) xxxxx xxxxxx incidentu,
h) xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx x
x) dalších xxxxxx.
(2) Xxx xxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xx xxxxxxx xxxxxxxxxx xxxxx odstavce 1 xxxxxxxxxxxx bezpečnostní xxxxxxxxx xxxxxx do xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - xxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx kterém xx přímo a xxxxxxxx narušena xxxxxxxxxx xxxxxxxxxxxxx služeb xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx s xxx, xx musí xxx xxxxx xxxxxxxxxx prostředky xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx x potenciálních škod,
b) Xxxxxxxxx II - xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho xxxxxx xxxxxxxx neprodlené xxxxxx xxxxxxx x xxx, xx xxxx být xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxxxxx xxxxxxxxx xxxx, xxxx
x) Xxxxxxxxx X - xxxx významný xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx kterém xxxxxxx x xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx řešení vyžaduje xxxxxx xxxxxxx x xxx, že xxxx xxx vhodnými xxxxxxxxxx xxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
(3) Xxxx kybernetických xxxxxxxxxxxxxx incidentů xxxxx xxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx kombinaci xxxxxx xxxxxxxxx v xxxxxxxxx x) xx x).
(4) Xxxx xxxxxxxxxx xx xxxxxxxxxx na xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx u xxxxxxx xxxxx uvedené x §3 xxxx. x) xxxxxx.
§32
Xxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx Xxxxx xxxxx xx xxxxxxxxxxxxx xxxxxxxxx zveřejněném xx xxxxxxxxxxxxx xxxxxxxxx Úřadu xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx xxxxx Xxxxx xxxxxxx pro příjem xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
x) xx datové xxxxxxxx Xxxxx, xxxx
x) prostřednictvím xxxxxxxx xxxxxxxx, xxxxx xx xxxxxxxxx, xxxxx xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxx xx xxxxxxxxxxxxx formuláři xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx provozovatele xxxxxxxxx XXXX xxxxxxxx
x) xx xxxxxx elektronické pošty xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxx xxx příjem xxxxxxx kybernetických bezpečnostních xxxxxxxxx, zveřejněnou xx xxxx xxxxxxxxxxxxx stránkách,
b) xx datové schránky xxxxxxxxxxxxx xxxxxxxxx CERT, xxxx
x) prostřednictvím internetových xxxxxxx xxxxxxxxxxxxx národního XXXX.
(3) Xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx xx xxxxx zaslat i x listinné xxxxxx, xxxxx xxxxx x xxxxxxxxx, xxx nelze xxxxxx xxxxx xx xxxxxxx uvedených x xxxxxxxxxx 1 x 2.
(4) Xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxx
x) xxxxxxxxxxxx odesilatele,
b) xxxxxxxxxxxx informačního a xxxxxxxxxxxxx xxxxxxx,
x) datum x čas xxxxxxxx xxxxxxxxx x
x) xxxxx xxxxxxxxx.
XXXX XXXXXX
XXXXXXXXX OPATŘENÍ X KONTAKTNÍ XXXXX
§33
Xxxxxxxxx xxxxxxxx
(1) Xxxxxxx xxxxx, xxxxx Xxxx xxxxxx xxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx očekávané xxxxxx xxxxxxxxxxx opatření xx xxxxxxxxxx x komunikační xxxxxx a xx xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx možné xxxxxxxxx účinky x
x) xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxx, xxxxx minimalizuje xxxx xxxxx negativní xxxxxx, x xxxx časový xxxx jeho xxxxxxxxx.
(2) Xxxxxxx xxxxx, které Xxxx xxxxxx provést xxxxxxxxx xxxxxxxx, xxxxxx xxxxxx provedení xxxxxxxxxxx xxxxxxxx a xxxx xxxxxxxx xx formě xxxxxxx na internetových xxxxxxxxx Xxxxx.
§34
Xxxxxxxxx xxxxx
(1) Xxxxxxxxx xxxxx xx Xxxxx xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Úřadu xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx pošty Xxxxx xxxxxxx xxx xxxxxx xxxxxxxx kontaktních xxxxx, xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
x) xx xxxxxx xxxxxxxx Úřadu, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xx xxxxxxxxx, jehož xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx.
(2) Xxxxxxxxx xxxxx xx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx provozovatele xxxxxxxxx CERT zaslaném
a) xx adresu xxxxxxxxxxxx xxxxx provozovatele xxxxxxxxx XXXX určenou pro xxxxxx xxxxxxxx kontaktních xxxxx, zveřejněnou na xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx datové schránky xxxxxxxxxxxxx xxxxxxxxx XXXX, xxxx
x) prostřednictvím xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.
(3) Xxxxxxx kontaktních xxxxx je možné xxxxxx x x xxxxxxxx xxxxxx, avšak xxxxx x případech, xxx xxxxx xxxxxx xxxxx ze způsobů xxxxxxxxx x xxxxxxxxxx 1 a 2.
(4) Xxxx xxxxxxxx xxxxxxxxxxx xxxxx xx uveden x příloze č. 8 k xxxx vyhlášce.
(5) Xxxxxxx xxxxx xxxxxxx x §3 písm. c) xx f) zákona, xxxxx xx xxxxxxxxxxxxxx, xxxx x xxxxxxx xxxxxxxxxxx údajů podle xxxxxxxx 1 přikládá xxxxxxxx, xxxxxx xx xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §8 odst. 1 xxxx. x).
XXXX XXXX
XXXXXXXXX USTANOVENÍ
§35
Přechodná xxxxxxxxxx
(1) V xxxxxxx xxxxxxxxxxxx systémů kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx xxxx xxxxxx přede xxxx nabytí xxxxxxxxx xxxx xxxxxxxx, x x xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x xxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx kritérií xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, xx xx jednoho xxxx ode xxx xxxxxx xxxxxxxxx xxxx xxxxxxxx xxx xxxxx x xxxxxxxxx bezpečnostní xxxxxxxxxxx x xxxxx x xxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx použijí xxxxxxxxxx vyhlášky č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentech, xxxxxxxxxxx opatřeních a x stanovení xxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx).
(2) X případě informačních xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx xxxx xxxxxx xxxxx dnem xxxxxx xxxxxxxxx této xxxxxxxx, x v xxxxxxx významných xxxxxxxxxxxx xxxxxxx, x xxxxxxx xxxxx k xxxxxxxx xxxxxxxxxx xxxxxxxx přede xxxx xxxxxx xxxxxxxxx xxxx vyhlášky, xx xx xxxxxxx roku xxx xxx xxxxxx xxxxxxxxx xxxx xxxxxxxx xxx xxxxxx xxxxxxxxx xxx, xxxxxxxxxx údajů, xxxxxxxxx x xxxxxx xxxxx xxxx xxxxxxxx xxxxxxxxx.
§36
Xxxxxxxxx ustanovení
Zrušuje xx xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx, reaktivních xxxxxxxxxx a x xxxxxxxxx xxxxxxxxxxx podání x xxxxxxx kybernetické xxxxxxxxxxx (vyhláška x xxxxxxxxxxxx xxxxxxxxxxx).
§37
Účinnost
Tato xxxxxxxx xxxxxx xxxxxxxxx dnem vyhlášení.
Ředitel:
Ing. Xxxxxxxx v. x.
Příloha x. 1 x xxxxxxxx č. 82/2018 Sb.
Hodnocení xxxxx
(1) Xxx hodnocení xxxxxxxxxxx xxxxx xxxx v xxxxx xxxxxxx použity xxxxxxxx o čtyřech xxxxxxxx x xxxxxxxx xx, jaký xxxxx xx mělo xxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx aktiv. Xxxxxxx xxxxx může xxxxxxxx xxxxxxx počet úrovní xxx xxxxxxxxx xxxxxxxxxxx xxxxx, než xxxx xx xxxxxx x xxxx xxxxxxx, dodrží-li xxxxxxxxxxx xxxxx xxxx xxxx používaným xxxxxxxx xxxxxxxxx xxxxxxxxxxx aktiv x xxxxxxxxxx a xxxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx xxxx uvedeny v xxxx xxxxxxx.
(2) Je xxxxxxxxxx, xxx xx xxxxx xxxxxxx xxxxx xxxx xxxxxxxx matice xxxxxxxxxxxx xxxx potřebám.
Tab. 1: Xxxxxxxx xxx xxxxxxxxx důvěrnosti
|
Úroveň |
Popis |
Příklady xxxxxxxxx xx ochranu xxxxxx |
|
Xxxxx |
Xxxxxx xxxx xxxxxxx xxxxxxxxx xxxx byla xxxxxx xx xxxxxxxxxx. Xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxx. X xxxxxxx xxxxxxx xxxxxxxx aktiva s xxxxxxx stranami a xxxxxxx klasifikace xxxxx xxx. xxxxxxx xxxxx xxxxxxxxx (xxxx xxx "XXX") xx xxxxxxxxx xxxxxxxx XXX:XXXXX. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxxxx veřejně xxxxxxxxx x xxxxx xxxx-xxx xxxxxxx xxxxx, ochrana xxxxx xxxx vyžadována xxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxxxxx. X xxxxxxx sdílení xxxxxxxx xxxxxx x xxxxxxx xxxxxxxx a použití xxxxxxxxxxx xxxxx XXX xx xxxxxxxxx zejména xxxxxxxx XXX:XXXXX nebo XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx využívány xxxxxxxxxx xxx xxxxxx přístupu. |
|
Xxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x jejich xxxxxxx xx vyžadována xxxxxxxx předpisy, xxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx (například xxxxxxxx xxxxxxxxx, xxxxxx xxxxx). X xxxxxxx xxxxxxx xxxxxxxx xxxxxx x třetími xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx XXX xx xxxxxxxxx zejména xxxxxxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx využívány xxxxxxxxxx, xxxxx xxxxxxx xxxxxx a xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxxxx sítí jsou xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx míru xxxxxxx xxx xxxxx xxxxxxxxx kategorie (xxxxxxxxx xxxxxxxxxxx obchodní xxxxxxxxx, xxxxxxxx xxxxxxxxx xxxxxxxx xxxxx). X xxxxxxx xxxxxxx xxxxxxxx aktiva x xxxxxxx stranami x xxxxxxx klasifikace xxxxx XXX je využíváno xxxxxxx označení XXX:XXX xxxx TLP:AMBER. |
Pro xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, které xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Xxxx xxxxxx xxxxxxx zabraňující xxxxxxxx xxxxx ze xxxxxx xxxxxxxxxxxxxx. Xxxxxxx informací xxxx xxxxxxxx pomocí xxxxxxxxxxxxxxxx prostředků. |
Xxx. 2: Xxxxxxxx pro xxxxxxxxx integrity
|
Úroveň |
Popis |
Příklady požadavků xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx z xxxxxxxx integrity. Narušení xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx zájmy povinné xxxxx. |
Xxxx xxxxxxxxxx žádná xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx vyžadovat xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxxxx může xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx osoby x xxxx xx xxxxxxxx méně závažnými xxxxxx xx primární xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány standardní xxxxxxxx (například xxxxxxx xxxxxxxxxxxx práv xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx aktiva xxxx x xxxxxxxxx xxxxxxxxxxx zájmů xxxxxxx xxxxx s xxxxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx xxxxxxxxx speciální xxxxxxxxxx, xxxxx dovolují xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx x xxxxxxxxxx xxxxxxxx xxxxx provádějící xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx komunikačními xxxxxx je xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx prostředků. |
|
Kritická |
Aktivum xxxxxxxx ochranu z xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx xxxx x xxxxx vážnému poškození xxxxxxxxxxx xxxxx xxxxxxx xxxxx x xxxxxxx x xxxxx vážnými xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx speciální xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx provádějící xxxxx (xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx). |
Xxx. 3: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx na xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxxx dostupnosti xxxxxx xxxx xxxxxxxx x x případě xxxxxxx xx xxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxx xxxxxxx (xxx do 1 xxxxx). |
Xxx xxxxxxx dostupnosti xx postačující xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx překročit xxxx xxxxxxxxxx xxx, xxxxxxxxxxxxx výpadek vede x xxxxxxx xxxxxxxx xxxxxxxxxxx zájmů povinné xxxxx. |
Xxx ochranu xxxxxxxxxxx xxxx využívány xxxxx xxxxxx xxxxxxxxxx a xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx nemělo překročit xxxx několika xxxxx. Xxxxxxxx xxxxxxx je xxxxx xxxxx neprodleně, xxxxxxx vede x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx. Xxxxxx jsou považována xx xxxxx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx záložní xxxxxxx x obnova xxxxxxxxxxx xxxxxx xxxx xxx xxxxxxxxx zásahy obsluhy xxxx výměnou technických xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxxx a x xxxxxxxxxx nedostupnost (x řádu několika xxxxx) xxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx. Xxxxxx jsou považována xx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxx služeb xx krátkodobá a xxxxxxxxxxxxxx. |
Xxxxxxx č. 2 x xxxxxxxx č. 82/2018 Sb.
Hodnocení xxxxx
(1) Xxxxxxxxxxx xxxxxxxxx xxxxxx xxx xxxxxx xxxxxx xx xxxxxxxxx součástí xxxxxxxx xxx hodnocení xxxxx podle §5.
(2) Xxxxxxx xxxxxx xx xxxxxxxxxx vyjádřena jako xxxxxx, xxxxxx ovlivňuje xxxxx, xxxxxx x xxxxxxxxxxxx.
(3) Xxx hodnocení xxxxx xxx xxxxxx xxxxxxxxx xxxx funkci:
Riziko = dopad x xxxxxx x zranitelnost.
(4) Xxxxx xx v xxxxx xxxxxxx odvozen x xxxxxxxxx aktiv xxxxx přílohy č. 1.
(5) X xxxxxxx, xx xxxxxxx xxxxx xxxxxxx metodu xxx hodnocení rizik, xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx, xx xxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxx xx xxxxxx xxxx xx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxx hrozby x xxxxxxxxxxxxx. Xx xxxxx xxxxxx xxx použít xxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxx xxxxxx hrozby, xxx x xxxxxx xxxxxxxxxxxxx. Xxxxxxx xx xxxxxxxxx x x xxxxxxxxx, xxx xxxxxxx osoba xxxxxxx xxxx xxxxx xxxxxx xxx hodnocení xxxxxx, hrozeb, xxxxxxxxxxxxx x xxxxx.
Xxx. 1: Xxxxxxxx pro hodnocení xxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx xxxx xx xxxx pravděpodobná. |
|
Xxxxxxx |
Xxxxxx xx xxxx pravděpodobná xx xxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx pravděpodobná xx xxxxx xxxxxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx jistá. |
Xxx. 2: Xxxxxxxx xxx xxxxxxxxx zranitelností
|
Úroveň |
Popis |
|
Nízká |
Zranitelnost xxxxxxxxxx xxxx je xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxxx. Xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx případné pokusy x xxxxxx zneužití. |
|
Střední |
Zneužití xxxxxxxxxxxxx je xxxx xxxxxxxxxxxxx až xxxxxxxxxxxxx. Xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxxxxx xx pravidelně kontrolována. Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx nebo xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx je xxxxxxx. Xxxxxx xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx pravděpodobné xx xxxxx pravděpodobné. Xxxxxxxxxxxx opatření xxxx xxxxxxxx, xxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx x xxxx xxxxxxxxxx xxxxxxxxxxxx. Xxxx xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx je xxxxx xxxxxxxxxxxxx až xxxxxxxx xxxxx. Bezpečnostní xxxxxxxx xxxxxx realizována nebo xx xxxxxx xxxxxxxx xxxxxx omezena. Neprobíhá xxxxxxxx účinnosti xxxxxxxxxxxxxx xxxxxxxx. Xxxx xxxxx xxxxxxx xxxxxx překonání xxxxxxxxxxxxxx xxxxxxxx. |
Xxx. 3: Xxxxxxxx pro xxxxxxxxx xxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx xx xxxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx sníženo xxxx xxxxxxxxx opatřeními xxxx x xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xx xxxxxx akceptovatelné. |
|
Vysoké |
Riziko xx xxxxxxxxxx nepřípustné x xxxx xxx xxxxxxxx xxxxxxxxxxxx kroky x xxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxxxxxxxx x musí xxx xxxxxxxxxx zahájeny xxxxx x xxxx xxxxxxxxxx. |
Příloha x. 3 x xxxxxxxx č. 82/2018 Xx.
Xxxxxxxxxxxxx x xxxxxx
Xxxxxxxxxx: Xxxx xxxxxxx xxxxxxxx xxx vybrané xxxxxxxxx xxxxxxxxxxxxx a xxxxxx. Xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx x hrozeb xx odpovědností xxxxxxx xxxxx.
Xxxxxxxxxxxxx
1. xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
2. xxxxxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
3. xxxxxxxxxxxx xxxxxxx vnějšího xxxxxxxxx,
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx uživatelů a xxxxxxxxxxxxxx,
5. xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
6. xxxxxxxx xxxxxxxxx xxxxxxxxxxxx oprávnění,
7. nedostatečné xxxxxxx xxx xxxxxxxxxxxxxx x odhalení negativních xxxxxxxxxxxxxx jevů, kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
8. xxxxxxxxxxxx monitorování xxxxxxxx xxxxxxxxx x administrátorů x xxxxxxxxxxx odhalit xxxxxx nevhodné xxxx xxxxxxx xxxxxxx xxxxxxx,
9. xxxxxxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx, nepřesné xxxx xxxxxxxxxxxxx xxxxxxxx xxxx x xxxxxxxxxx uživatelů, xxxxxxxxxxxxxx x bezpečnostních xxxx,
10. xxxxxxxxxxxx xxxxxxx xxxxx,
11. xxxxxxxx bezpečnostní xxxxxxxxxxxx,
12. xxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,
13. neschopnost xxxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxx zaměstnanců.
Hrozby
1. xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx neoprávněných činností, xxxxxxxx oprávnění xx xxxxxx uživatelů x xxxxxxxxxxxxxx,
2. xxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
3. zneužití xxxxxxxx,
4. užívání xxxxxxxxxxxx xxxxxxxx v xxxxxxx x xxxxxxxxxx podmínkami,
5. xxxxxxxx xxx (xxxxxxxxx xxxx, xxxxxxx, xxxxxxx xxxx),
6. xxxxxxxx fyzické xxxxxxxxxxx,
7. xxxxxxxxx poskytování xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxx xxxxxxx,
8. xxxxxxxx nebo xxxxxxxxxxx xxxxxxxxxx údajů,
9. xxxxxx, xxxxxxxx nebo xxxxxxxxx xxxxxx,
10. xxxxxxxxxx xxxxxxxxx závazku xx xxxxxx dodavatele,
11. pochybení xx strany xxxxxxxxxxx,
12. xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,
13. dlouhodobé přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, dodávky elektrické xxxxxxx xxxx jiných xxxxxxxxxx xxxxxx,
14. xxxxxxxxxx xxxxxxxxxxx x potřebnou xxxxxxxx xxxxxx,
15. cílený xxxxxxxxxxxx xxxx pomocí xxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx technik,
16. xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxx,
17. xxxxxxxx elektronické xxxxxxxxxx (xxxxxxxxx, modifikace).
Xxxxxxx č. 4 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxx xxx
(1) Xxxx xxxxxxx xxxxx xxxxxxxxxx správce xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxxxxx xxxxxxx xxxxxx xxx x xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxx, provozních xxxxx, xxxxxxxxx x xxxxxx kopií.
(2) Xxxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xx xxxxxxx pravidla xxx xxxxxx dat x xxxxxxxxx technických xxxxxx xxx x souladu x xxxxx xxxxxxxx. Xxx nejsou xxxxxxx xxxxxxxxxx xxxxx jiných xxxxxxxx xxxxxxxx. Xx xxxxx xxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxx adekvátních xxxxxxxx xxx xxxxxx dat x xxxxxxxxx xxxxxxxxxxx xxxxxx xxx, xxxxxxxx x hodnotě x xxxxxxxxxxx xxxxx.
(3) Pravidla xxx xxxxxxxxx dat xx xxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxx x důležitosti xxxxx x xxxx xx xxxxxxx xxxxxxxxxxx
x) xxxxxxx xxxxxx (zejména z xxxxxxx xxxxxxxxxx),
x) technologii (xxxx a xxxxxxxx xxxxxx xxxxxxxxx),
x) xxx xx xxxxx xxxxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxxxx či xxxxxxx,
x) xxx xxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxxxx xxxxxxxxx,
x) kdo xxxx xxxxxxxxx xxx xxxxxxxx (xxxxxxx xxxxxxxxxxx, xxxx xxxxxxxxx),
x) xxxxxxxxxx xxxxxxxx a xxxxxxxx xxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxxx xxxxxx,
x) xxx xx x xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) časovou xxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxxx s ohledem xx xxxxxxxx, xxxxxxx, xxxxxxxx, xxxxxxxx využití xxxxxx xxxxxxxxx
x) xxxxx xxxxxxx xxxxxxxxx xxx (xxxxxxxxx zničením nosiče, xxxxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxx, xxxxxxxxxxxxx dat xxxxxx šifrováním a xxxxxxx),
x) xxxxxxxxxx xxxxxxx xxxxxxxxx xxx xxxxxxxx xx stavu xxxxxx xxxxxxxxx (xxxxxxxxx při xxxxxxxxx zařízení nebude xxxxx xxxxxx xxxxxxxx xxxxxxx xxxxxxxxx, ale xxxxxxx ze xxxxxxx xxxxxxx likvidace).
(4) Způsoby xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxx, provozních xxxxx, xxxxxxxxx a jejich xxxxx:
x) Xxxxxxxxxx
1. Xxxxxx xxxxxxxxx xxxxxxx v xxxxxxxxxx xxx xxx, xxx xxxx pro xxxxxx nedostupná (xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxx, xxxxxxxx tištěného xxxxxxxxx xx odpadu).
2. Xxx x xxxxxxx xxxxxxxx xxxxxx likvidace xxx. X případě získání xxxxxx xxxxxxxxx xx xxxxx s vynaložením xxxxxxxx xxxxx xxxxxxxxx xxxxxxx.
3. Xxxx metoda xxxx použitelná xxx xxxxxx xxxxxxxxxxx xxx xxxxxxxxxxxx xxxxxxxx xxxxx.
4. Xxxxxxxxxx způsob xxx xxxxxx důvěrnosti xxxxxx (xxxxxxx z přílohy č. 1): xxxxx.
x) Xxxxxxxx
1. Způsob xxxxxxxxx xxxxxxx v xxxxxxxx xxxxxxxx informace xxxxxxxxxx hodnotami.
2. Xxx x středně xxxxxxxx xxxxxx xxxxxxxxx xxx. Xxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx obnovení xxxxxxxxxx xxxxxxxxx.
3. Přepsání xxxx xxx xxxxxxxxx nebo xxxxxxxxxxx bezpečnou xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxx.
4. Tato xxxxxx xxxx xxxxxx xxx xxxxxxxxx xxxxx, xxxxx neumožňující opětovný xxxxx, případně xxx xxxxx s xxxxxx xxxxxxxxx.
5. Xxxxxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1): xxxxx xx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx informace
1. Xxxxxx xxxxxxxxx xxxxxxxxxxx ve xxxxxxx xxxxxx informace, xxxxxxxxx x rozebrání xxxxxxxx x xxxxxxxxx xxxxxxx nosiče xxxxxxxxx (xxxxxxxxxxx, xxxxxxxxx či xxxxxxxx xxxxxxxxx).
2. Xxx x xxxxxxxxxxxxxx metodu xxxxxxxxx xxx. Xxxxx xxxxxxxxx po xxxxxxx xxxxxxxxx xxxxx xxxxx xxxxxx pro původní xxxx. Původní informace xxxx možné xxxxxxx xxx xxx vynaložení xxxxxxx množství xxxxxxxxxx x xxxxx.
3. Xxxxxxxxxx xxxxxx xxxxxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1): xxxxxxx xx kritická.
Příklad xxxxxxx xxxxxxx xxxxxxxxx xxxxx úrovně xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1)
|
Xxxxxxxxx xxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxxx xxxxxx |
|||||
|
Xxxxx xxxxxxxxx |
1. Nízká |
2. Xxxxxxx |
3. Xxxxxx |
4. Xxxxxxxx |
|
|
Xxxxxxxxx xx lidsky xxxxxxxx xxxxxx (xxxxxxx xxxxxxxxx, xxxxxxxx a xxxxxxx) |
Xxxxxxxxxx: Xxxxxxxx xx odpadu. |
Přepsání: Xxxxxxxxx. |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxxx xxxxxxxxx: |
|||||
|
Mobilní xxxxxxxx (xxxxxxx xxxxxxxx, xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxx xxxxxxxx (router, xxxxxx, xxxxx x xxxxxxx) |
Xxxxxxxxxx: |
Přepsání: |
|||
|
Xxxxxxxxxxx xxxxxxxx (scanery, xxxxxxxx, xxx) |
|||||
|
Xxxxxxxxxx média (xxxxxxxxxx xxxxx, disky, HDD [Xxxx Xxxx Xxxxx]) |
Xxxxxxxxxx: |
Xxxxxxxx: |
|||
|
Xxxxxxx média (XX, XXX, XX-XXX, BLU-RAY) |
Fyzická xxxxxxxxx: |
||||
|
Xxxxxxx xxxxxxxxx. |
|||||
|
Xxxxxxxxxxxx xxxxx (xxxxx xxxxxx) |
|||||
|
Xxxxxxxxxxx x cloud |
Přípustný xxxxxx likvidace xxx xx xxx xxx xxxxxxxx xxxxxxxx xxxxxxxxx. |
||||
|
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxxx: |
Xxxxxxxx/xxxxxxx xxxxxxxxx: |
||
|
Xxxxxxxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx je xxxxx xxxx xx ukončení xxxxxx přepsat. |
|||||
Xxxxxxx x. 5 x vyhlášce x. 82/2018 Xx.
Xxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
1. Bezpečnostní xxxxxxxx
1.1. Xxxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx
x) Xxxx, xxxxxxxx x xxxxxxx xxxxxx xxxxxxxxxxx informací.
b) Xxxxxx x xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxx x provozu xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxx systému xxxxxx bezpečnosti informací.
g) Xxxxxxxx x xxxxxxx xxx xxxxxxxx opatření x xxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
1.2. Xxxxxxxx xxxxxx xxxxx
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x evidence xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. hodnocení důležitosti xxxxxxxxxx xxxxx z xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxxxxxxx, xxxxxxxxx x evidence xxxxxxxxxx aktiv
1. xxxxxx x xxxxxxxx jednotlivých xxxxxxxxxx aktiv xxxxxx xxxxxx jejich xxxxxxx,
2. xxxxxx vazeb xxxx xxxxxxxxxx x podpůrnými xxxxxx.
x) Pravidla xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. pravidla xxx xxxxxxxxxx x xxxxxxxx xxxxx podle xxxxxx xxxxx,
3. xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxxx xxxxxx xxxx ničení xxxxxxxxxxx xxxxxx xxx, xxxxxxxxx, xxxxxxxxxx xxxxx a xxxxxx xxxxx.
1.3. Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx
x) Xxxxxx xxxxxxxxxxxxxx xxxx a xxxxxx práv x xxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx rolí.
1.4. Politika xxxxxx xxxxxxxxxx
x) Xxxxxxxx x principy xxx xxxxx xxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx rizik xxxxxxxxxxxxx x dodavateli.
c) Xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxx x xxxxxxx a xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x o xxxxxx xxxxxxxx smluvní odpovědnosti.
d) Xxxxxxxx pro xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx dodavatelů.
1.5. Politika xxxxxxxxxxx lidských xxxxxx
x) Xxxxxxxx xxxxxxx bezpečnostního xxxxxxxx x xxxxxxx xxxx xxxxxxxxx
1. xxxxxxx x xxxxx poučení xxxxxxxxx,
2. způsoby x xxxxx xxxxxxx xxxxxxx xxxxx,
3. xxxxxxx a xxxxx xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx x formy xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Bezpečnostní xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxx xxxxxxx porušení xxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx pracovního xxxxxx xxxx xxxxx xxxxxxxx xxxxxx
1. vrácení xxxxxxxxx aktiv x xxxxxxxx xxxx xxx xxxxxxxx pracovního xxxxxx,
2. xxxxx xxxxxxxxxxxx xxxxxxxxx xxx změně xxxxxxxx xxxxxx.
1.6. Xxxxxxxx řízení xxxxxxx x komunikací
a) Xxxxxxxxx a xxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Požadavky x xxxxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx auditů xxxxxxxxxxxx bezpečnosti a xxxxxxxxxxxxxx xxxxx.
1.7. Xxxxxxxx xxxxxx přístupu
a) Xxxxxxx xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (xxxx xx xxxx).
x) Xxxxxxxxx xx řízení xxxxxxxx.
x) Xxxxxxx cyklus xxxxxx xxxxxxxx.
x) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxxxxx xxx mimořádné xxxxxxx.
x) Pravidelné xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx uživatelů x xxxxxxxxxxxx xxxxxxxxx.
1.8. Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxx
x) Xxxxxxxx xxx xxxxxxxx nakládání s xxxxxx.
x) Bezpečné xxxxxxx xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx x xxxxxxxx xx xxxxxxxx.
x) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx xxxxxxx xx sociálních xxxxxx.
x) Xxxxxxxxxx xx xxxxxx x xxxxxxxx zařízením.
1.9. Xxxxxxxx xxxxxxxxxx x xxxxxx x xxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxxx xx xxxxxxxxxx a xxxxxx.
x) Xxxxxxxx x postupy xxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxxx ukládání xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxx.
x) Xxxxxxxx x postupy testování xxxxxxxxxx a obnovy.
g) Xxxxxxxx xxxxxxxx x xxxxxxx, xxxxxxxxx xxxxxxxxxx.
1.10. Xxxxxxxx bezpečného xxxxxxxxx x xxxxxx informací
a) Xxxxxxxx x postupy xxx xxxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx informací.
c) Xxxxxxxx pro xxxxxxxxx xxxxxxxxxxxxxx ochrany.
1.11. Xxxxxxxx xxxxxx xxxxxxxxxxx zranitelností
a) Xxxxxxxx pro xxxxxxx xxxxxxxxx xxxxxxxxxxxx vybavení.
b) Xxxxxxxx a xxxxxxx xxxxxxxxxxx xxxxxxxxx programových xxxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx nasazení xxxxx xxxxxxxxxxxx xxxxxxxx.
1.12. Xxxxxxxx bezpečného xxxxxxxxx xxxxxxxxx zařízení
a) Xxxxxxxx x postupy xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx zajištění xxxxxxxxxxx xxxxxxxx, která xxxxxxx osoba xxxx xx xxx xxxxxx.
1.13. Xxxxxxxx xxxxxxxx, xxxxxx x xxxxxx
x) Xxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx, xxxxx x údržbu.
b) Xxxxxx zranitelností.
c) Xxxxxxxx xxxxxxxxxxx a xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
1. pravidla x postupy xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx,
2. xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
1.14. Xxxxxxxx xxxxxxx xxxxxxxx xxxxx
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx x provedených technických xxxxxxxx pro xxxxxxx xxxxxxxx xxxxx.
1.15. Xxxxxxxx xxxxxxx xxxxxxxxxxx
x) Xxxxxxxx xxx xxxxxxx xxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx xxx ochranu zařízení.
d) Xxxxxxx narušení xxxxxxx xxxxxxxxxxx.
1.16. Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxx
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx bezpečnosti xxxx.
x) Xxxxxx práv a xxxxxxxxxx xx bezpečný xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxx xxxxxxxx v xxxxx xxxx.
x) Xxxxxxxx x postupy pro xxxxxxx xxxxxxxxxx přístupu x xxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxxxxx xxxx a xxxxxxxxxxxxx xxxxxxxxxx záznamů.
1.17. Xxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx
x) Xxxxxxxx x postupy xxx xxxxxxx xxxxxx xxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx ochranu serverů x xxxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx ochranu xxxxxxxxxx xxxxxx.
1.18. Xxxxxxxx xxxxxxxx x používání xxxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
a) Xxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Provozní xxxxxxx xxx vyhodnocování x xxxxxxxxx xx detekované xxxxxxxxxxxx bezpečnostní xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx optimalizaci xxxxxxxxx xxxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
1.19. Xxxxxxxx xxxxxxx a xxxxxx nástroje pro xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxx a postupy xxx xxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx pro vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x postupy xxx optimální nastavení xxxxxxxxxxxxxx vlastností nástroje xxx xxxx a xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
1.20. Politika bezpečného xxxxxxxxx kryptografické ochrany
a) Xxxxxx ochrany x xxxxxxx xx typ x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx
1. xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx,
2. při uložení xx xxxxxxx zařízení xxxx xxxxxxxxxxx xxxxxxxxx xxxxx dat.
c) Xxxxxx xxxxxx xxxxx.
1.21. Xxxxxxxx xxxxxx xxxx
x) Způsob x principy xxxxxx xxxxxxxxxx xxxx v xxxxx xxxxxxx osoby, xxxxxx procesech, xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxxxxxxx xxxxxx xxxxxxxxxx xxxx.
x) Xxxxxx xxxxxx xxxxxxxx a xxxxxxxxx xxxxxxxxxx xxxx.
1.22. Politika xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxxx kategorií xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxxxxxx, xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Evidence xxxxxxxxx.
1.23. Politika řízení xxxxxxxxxx xxxxxxxx
x) Xxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxx xxxxxx xxxxxxxxxx xxxxxxxx
1. minimální xxxxxx poskytovaných služeb,
2. xxxx xxxxxxxx xxxxx,
3. xxx xxxxxxxx xxx.
x) Xxxxxxxx řízení kontinuity xxxxxxxx pro xxxxxxxx xxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxx dopadů xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů na xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxx xxxxx.
x) Xxxxxx x obsah xxxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxx plánů.
f) Postupy xxx realizaci xxxxxxxx xxxxxxxx Xxxxxx.
2. Xxxxx xxxxxxxxxxxx xxxxxxxxxxx
2.1. Xxxxxx x auditu xxxxxxxxxxxx xxxxxxxxxxx
x) Cíle xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx xxxxxx kybernetické bezpečnosti.
c) Xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx.
x) Identifikování xxxx xxxxxxxx x osob, xxxxx xx auditu xxxxxxxxxxxx bezpečnosti xxxxxxxxxx.
x) Xxxxx a místo, xxx byly xxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Závěry xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
2.2. Xxxxxx x přezkoumání xxxxxxx xxxxxx bezpečnosti informací
a) Xxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxxxxxx xxxx a xxxxxxxxx, xxxxx xxxxx xxx xxxx na xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxx x xxxxxxxxxx řízení xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x xxxxxxxx xxxxxxxx,
2. xxxxxxxx xxxxxxxxxxxx x xxxxxx,
3. výsledky auditu,
4. xxxxxxxx xxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxx xxxxx x xxxx plánu xxxxxxxx rizik.
e) Xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxx.
x) Doporučení potřebných xxxxxxxxxx, xxxxxxxxx xxxxxxxx x osob zajišťujících xxxxx xxxxxxxxxxxx xxxxxxxx.
2.3. Xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx hodnocení xxxxx
x) Určení xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx xxxxx
1. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxx,
3. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx hrozby,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxxxxxxxxxx,
4. xxxxxx stupnice pro xxxxxxxxx xxxxxx xxxxx.
x) Xxxxxx x xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx schvalování xxxxxxxxxxxxxxxx xxxxx.
2.4. Xxxxxx x xxxxxxxxx xxxxx x xxxxx
x) Xxxxxxx xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx x xxxxx primárních aktiv,
2. xxxxxx garantů primárních xxxxx,
3. xxxxxxxxx xxxxxxxxxx xxxxx x hlediska xxxxxxxxxx, integrity x xxxxxxxxxxx.
x) Přehled podpůrných xxxxx
1. xxxxxxxxxxxx a xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. určení vazeb xxxx primárními x xxxxxxxxxx xxxxxx.
x) Xxxxxxxxx xxxxx
1. xxxxxxxxx možných xxxxxx xx xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx xxxxxxxxxxxx opatření,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx této úrovně x xxxxxxxx pro xxxxxxxxxxxxxxxx xxxxx,
5. xxxxxx x schválení akceptovatelných xxxxx.
x) Xxxxxxxx xxxxx
1. xxxxx xxxxxxx zvládání xxxxx,
2. návrh xxxxxxxx x xxxxxx xxxxxxxxx.
2.5. Xxxxxxxxxx x xxxxxxxxxxxxxxxx
x) Xxxxxxx xxxxxxxxxxx bezpečnostních xxxxxxxx požadovaných xxxxx xxxxxxxxx včetně zdůvodnění, xxxx xxxxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx bezpečnostních xxxxxxxx včetně způsobu xxxxxx xxxxxxxxxxxx.
2.6. Xxxx xxxxxxxx rizik
a) Xxxxx x cíle vybraných xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx včetně xxxxx xx konkrétní xxxxxx.
x) Potřebné zdroje xxx jednotlivá xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Způsob xxxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
2.7. Plán xxxxxxx xxxxxxxxxxxxxx povědomí
a) Xxxxx x xxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx bezpečnostní xxxx.
x) Xxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx, xxxxx xxxxxxxx předmět jednotlivých xxxxxxx a xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
x) Formy a xxxxxxx xxxxxxxxx xxxxx.
2.8. Xxxxxxxx xxxx
x) Xxxxxxxx xxxxxxxxx cyklu xxxxxxxxxx xxxx.
x) Záznamy o xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx.
2.9. Hlášené xxxxxxxxx xxxxx
Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx.
2.10. Xxxxxxx obecně xxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx
x) Přehled xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxx x jiných xxxxxxxx.
x) Xxxxxxx smluvních xxxxxxx.
2.11. Xxxxx xxxxxxxxxx xxxxxxxxxxx
x) Topologie infrastruktury.
b) Xxxxxxx xxxxxxxx xxxxxxxx.
Příloha č. 6 x vyhlášce č. 82/2018 Sb.
Výbor xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxx
Xxxx xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxx pro xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx role xxxxxxx x §6 x 7.
Xxx. 1: Xxxxx xxx xxxxxx kybernetické xxxxxxxxxxx
|
Xxxx: |
Xxxxx xxx řízení xxxxxxxxxxxx bezpečnosti |
|
Klíčové xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxxx xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxx xxxxxxx xxxxx. |
|
Další xxxxxxxx: |
x) Xxxx xxxxxx xxx xxxxxx kybernetické xxxxxxxxxxx xxxx xxx xxxxxxx |
Xxx. 2: Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Odpovědnost xx xxxxxx systému xxxxxx bezpečnosti xxxxxxxxx. |
|
Znalosti: |
a) Xxxxx xxxx ISO/IEC 27000 x xxxxxxx xxxxx x oblasti xxxxxxxxxxx x XXX. |
|
Zkušenosti: |
a) Xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx. |
|
Xxxxxxxx x praxe: |
a) Xxxxxxx 3 xxxx xxxxx x oboru xxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxxxxx, xxxx |
|
Relevantní xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Xxxxxxxx Xxxxxxx (XXXX), Xxxxxxxxx xx Xxxx and Xxxxxxxxxxx Systems Control (XXXXX), Xxxxxxxxx Information Xxxxxxx Xxxxxxxx Professional (XXXXX), Xxxxxxx XX (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
x) Xxxx xxxx xxxxxxxxxx x xxxxxx xxxxxxxxxxx za xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx x x xxxxxxx xxxxxxxxxx xx xxxxxxxx xxxxxx. |
Xxx. 3: Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Odpovědnost xx xxxxx implementace bezpečnostních xxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxxx informačních x komunikačních xxxxxxx x xxxx navrhování. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx a praxe: |
a) Xxxxxxx 3 xxxx xxxxx x xxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxx |
|
Relevantní xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxx Hacker (XXX), XxxxXXX Xxxxxxxx +, Xxxxxxxxx Information Xxxxxxxx Xxxxxxx (XXXX), Xxxxxxxxx xx Risk xxx Xxxxxxxxxxx Systems Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Security Xxxxxxxxxxxx (XXXXX), Manažer XX (xxxxxxxxxxx schéma XXX). |
|
Xxxxx podmínky: |
Role xxxx xxxxxxxxxx s xxxxxx xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx. |
Xxx. 4: Auditor xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
Xxxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxx x xxxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx. |
|
Zkušenosti: |
a) Xxxxxxxxx xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx x praxe: |
a) Xxxxxxx 3 xxxx xxxxx x oblasti xxxxxx xxxxxxxxxx nebo xxxxxxxxxxxx bezpečnosti, xxxx |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Systems Xxxxxxx (XXXX), Xxxxxxxxx Xxxxxxxx Xxxxxxx (XXX), Certified xx Xxxx and Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Xxxx Auditor Xxxxxxxxxxx Xxxxxxxx Management Xxxxxx (Xxxx Auditor XXXX), Xxxxxxx BI (xxxxxxxxxxx schéma ČIA). |
|
Další xxxxxxxx: |
x) Role není xxxxxxxxxx x xxxxxx |
Tab. 5: Xxxxxx aktiva
|
Role: |
Garant xxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Odpovědnost xx xxxxxxxxx rozvoje, použití x xxxxxxxxxxx xxxxxx. |
|
Xxxxxxxx: |
x) Xxxxx xxxxxxx xxxxxx, jehož xx xxxxxxxx. |
* Xxxxxxxxxxx xxxx xxx x xxxx než xxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx odbornou xxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx XXX 17 024.
Příloha x. 7 x vyhlášce x. 82/2018 Xx.
Xxxxxx xxxxxxxxxx - bezpečnostní xxxxxxxx xxx xxxxxxx vztahy
Obsah xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx:
x) xxxxxxxxxx x bezpečnosti xxxxxxxxx (x xxxxxxx xxxxxxxxxx, xxxxxxxxxxx a xxxxxxxxx),
x) xxxxxxxxxx o oprávnění xxxxxx data,
c) xxxxxxxxxx x autorství programového xxxx, xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxx x xxxxxx xxxxxxxxxx (xxxxxxxx xxxxxxxxxxxx xxxxxx),
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxx dodavatelů, xxxxxxx xxxx xxx xxxxxxxxx, že xxxxxxxxxxxxx xx zaváží xxxxxxxxx x xxxxx xxxxxxx xxxxxxxx xxxx xxxxxxxx xxxxxx a xxxxxxxxxxx x nebudou v xxxxxxx x xxxxxxxxx xxxxxxx osoby xx xxxxxxxxxx,
x) xxxxxxxxxx o xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx povinné xxxxx nebo ustanovení x xxxxxxxxxxxx bezpečnostních xxxxxxx xxxxxxxxxx povinnou xxxxxx,
x) xxxxxxxxxx x xxxxxx změn,
h) xxxxxxxxxx x souladu xxxxx x obecně xxxxxxxxx xxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx osobu x
1. xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx xxxxxxxxxxxxx x xxxxxxx smlouvy,
2. xxxxxxx xxxxxx xxxxx na xxxxxx xxxxxxxxxx a x zbytkových xxxxxxxx xxxxxxxxxxxxx s xxxxxxx xxxxxxx,
3. významné změně xxxxxxxx tohoto xxxxxxxxxx xxxxx xxxxxx o xxxxxxxxxx xxxxxxxxxxx xxxx xxxxx vlastnictví zásadních xxxxx, xxxxxxxxx xxxxx xxxxxxxxx nakládat s xxxxxx aktivy, xxxxxxxxxxx xxxxx xxxxxxxxxxx k xxxxxx xxxxx smlouvy xx xxxxxxxx,
x) specifikace xxxxxxxx x xxxxxxx xxxxxxxxxxx při xxxxxxxx xxxxxxx (xxxxxxxxx přechodné xxxxxx xxx ukončení xxxxxxxxxx, xxx xx xxxxx xxxxx xxxxxxxx xxxxxx xxxx xxxxxxxxx xxxxxx xxxxxx, migrace xxx a xxxxxxx),
x) xxxxxxxxxxx podmínek xxx xxxxxx kontinuity xxxxxxxx x xxxxxxxxxxx x xxxxxxxxxx (například zahrnutí xxxxxxxxxx do xxxxxxxxxxx xxxxx, xxxxx xxxxxxxxxx xxx aktivaci xxxxxx xxxxxxxxxx činností),
l) xxxxxxxxxxx xxxxxxxx pro formát xxxxxxx xxx, xxxxxxxxxx xxxxx a xxxxxxxxx xx xxxxxxxx xxxxxxxx,
x) xxxxxxxx xxx xxxxxxxxx xxx,
x) xxxxxxxxxx x xxxxx jednostranně xxxxxxxxx xx xxxxxxx x xxxxxxx xxxxxxxx xxxxx xxxxxxxx xxx xxxxxxxxxxx xxxx změny xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxx dodavatelem k xxxxxx xxxxx xxxxxxx x
x) xxxxxxxxxx o xxxxxxxx xx xxxxxxxx xxxxxxxxxx.
Příloha č. 8 x xxxxxxxx č. 82/2018 Xx.
Xxxx Xxxxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxx
Xxxxxxxxx
Xxxxxx xxxxxxx x. 82/2018 Xx. xxxxx xxxxxxxxx xxxx 28.5.2018.
Ke xxx uzávěrky xxxxxx xxxxxxx nebyl xxxxx xx doplňován.
Znění jednotlivých xxxxxxxx norem xxxxxx xxxxxxxx předpisů x xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx xx jich xxxxxx derogační xxxxx xxxxx uvedeného právního xxxxxxxx.
1) Xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Rady (XX) 2016/1148 xx xxx 6. xxxxxxxx 2016 x xxxxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx úrovně bezpečnosti xxxx x xxxxxxxxxxxx xxxxxxx x Unii.