Právní předpis byl sestaven k datu 31.10.2025.
Zobrazené znění právního předpisu je účinné od 28.05.2018 do 31.10.2025.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
82/2018 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení aktiv §4
Řízení rizik §5
Organizační bezpečnost §6
Bezpečnostní role §7
Řízení dodavatelů §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení změn §11
Řízení přístupu §12
Akvizice, vývoj a údržba §13
Zvládání kybernetických bezpečnostních událostí a incidentů §14
Řízení kontinuity činností §15
Audit kybernetické bezpečnosti §16
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §17
Bezpečnost komunikačních sítí §18
Správa a ověřování identit §19
Řízení přístupových oprávnění §20
Ochrana před škodlivým kódem §21
Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů §22
Detekce kybernetických bezpečnostních událostí §23
Sběr a vyhodnocování kybernetických bezpečnostních událostí §24
Aplikační bezpečnost §25
Kryptografické prostředky §26
Zajišťování úrovně dostupnosti informací §27
Průmyslové, řídicí a obdobné specifické systémy §28
Digitální služby §29
HLAVA III - BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní politika a bezpečnostní dokumentace §30
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Kategorizace kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ZÁVĚREČNÁ USTANOVENÍ
Přechodná ustanovení §35
Zrušovací ustanovení §36
Účinnost §37
Příloha č. 1 - Hodnocení aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Zranitelnosti a hrozby
Příloha č. 4 - Likvidace dat
Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace
Příloha č. 6 - Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role
Příloha č. 7 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy
Příloha č. 8 - Vzor Formuláře pro hlášení kontaktních údajů
82
VYHLÁŠKA
ze xxx 21. xxxxxx 2018
x bezpečnostních xxxxxxxxxx, xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx, reaktivních xxxxxxxxxx, xxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxx dat (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx xxxx xxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxx podle §28 xxxx. 2 xxxx. x) xx x) x f) xxxxxx x. 181/2014 Xx., o kybernetické xxxxxxxxxxx a x xxxxx xxxxxxxxxxxxx xxxxxx (xxxxx x kybernetické xxxxxxxxxxx), xx xxxxx xxxxxx x. 104/2017 Xx. a zákona x. 205/2017 Xx., (xxxx xxx "zákon"):
ČÁST XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx Evropské xxxx1) x xxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, komunikační xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, významný xxxxxxxxxx xxxxxx, xxxxxxxxxx systém xxxxxxxx xxxxxx xxxxx xxxxxxxxxx systém nebo xxx elektronických xxxxxxxxxx, xxxxx xxxxxxx poskytovatel xxxxxxxxxxx xxxxxx, (xxxx xxx "xxxxxxxxxx a xxxxxxxxxxx systém") xxxxxxxx
x) xxxxx x strukturu xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxx x rozsah bezpečnostních xxxxxxxx,
x) typy, xxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx,
x) xxxxxxxxxxx a xxxxxx xxxxxxx kybernetického bezpečnostního xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x xxxxxxxxx reaktivního xxxxxxxx x xxxx xxxxxxxx,
x) xxxx xxxxxxxx xxxxxxxxxxx xxxxx a xxxx xxxxx x
x) xxxxxx likvidace xxx, xxxxxxxxxx údajů, informací x xxxxxx kopií.
§2
Vymezení xxxxx
Xxx xxxxx xxxx xxxxxxxx se xxxxxx
x) xxxxxxxxxxxxxxx xxxxx xxxxxxxxxxx správu, xxxxxx, xxxxxxx, xxxxxx a xxxxxxxxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxx xxxxxx, xxxxx je xxxxxxxxxx xxx xxxxx xxxx xxxxx, xxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx, (xxxx xxx "xxxxxxx xxxxx") a xxxx xxxxx xxx zvládat xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) bezpečnostní politikou xxxxxx xxxxx a xxxxxxxx, xxxxx určují xxxxxx xxxxxxxxx xxxxxxx xxxxx,
x) xxxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxxx, xxxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx, xxxxx xxxx způsobit xxxxx,
x) xxxxxxxxx aktivem technické xxxxxxx, xxxxxxxxxxx a xxxxxxxxxx podílející xx xx provozu, xxxxxxx, xxxxxx xxxx bezpečnosti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx nebo služba, xxxxxx zpracovává xxxx xxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxx, xx xxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxx a způsobí xxxxx,
x) xxxxxxx xxxxx xxxxxxx xxxxxxxxxx hodnocení xxxxx, výběr x xxxxxxxx xxxxxxxx ke xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx o xxxxxx x xxxxxxxxx x xxxxxxxxxxx xxxxx,
x) systémem xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx systému xxxxxx xxxxxxx xxxxx založená xx přístupu x xxxxxxx informačního x xxxxxxxxxxxxx systému, která xxxxxxx způsob ustavení, xxxxxxxx, xxxxxxxxxxx, monitorování, xxxxxxxxxxx, udržování a xxxxxxxxxx bezpečnosti xxxxxxxxx x xxx,
x) xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx a xxxxxxx, xx xxxxxxx xxxx xxxx xxxxxxx xxxxxxxx, xxxxxxx xxxxxxx xxxx xxx dopad na xxxxxxxxxx a xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx osoba xxxxx orgán veřejné xxxx, které xxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxx nebo xxxxxxx xxxx, xxxxx řídí xxxxxxxx xxxxx, xxxx xxxxxxxxxx xxxxx povinné xxxxx,
x) významným dodavatelem xxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx (xxxx xxx "xxxxxxxxxxxx") a xxxxx, kdo s xxxxxxxx xxxxxx vstupuje xx právního vztahu, xxxxx xx významný x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
x) xxxxxxxxx xxxxxx xxxxx, xxxxx xx xxxx xxxx xxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxx riziko,
p) zranitelností xxxxx xxxxx aktiva xxxx xxxxx xxxxx xxxxxxxxxxxxxx opatření, xxxxx xxxx být xxxxxxxx xxxxxx nebo xxxx xxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX OPATŘENÍ
§3
Systém řízení xxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx x xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx x ohledem xx požadavky dotčených xxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxx systému xxxxxx bezpečnosti informací, xx xxxxxx xxxx xxxxxxxxxxx části x xxxxxx, xxxxx xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx,
x) xxxxxxx xxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) xxx xxxxxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxxxxx xxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxxxxxxxxxxx xxxxxx x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx bezpečnostní xxxxxxxx,
x) xxxx xxxxxx xxxxx §5,
e) xxxxxxx x xxxxxxx bezpečnostní xxxxxxxx x oblasti xxxxxxx řízení bezpečnosti xxxxxxxxx, xxxxx xxxxxxxx xxxxxx zásady, xxxx, xxxxxxxxxxxx xxxxxxx, práva x xxxxxxxxxx xx xxxxxx x řízení xxxxxxxxxxx xxxxxxxxx, x xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx stanoví xxxxxxxxxxxx politiku x xxxxxxx oblastech podle §30 x xxxxxx xxxxxxxxx xxxxxxxxxxxx opatření,
f) xxxxxxx provedení auditu xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx (xxxx xxx "xxxxx kybernetické xxxxxxxxxxx") xxxxx §16,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx stavu xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxx, xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x dopadů xxxxxxxxxxxxxx bezpečnostních incidentů xx systém řízení xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx a následně xxxxx §11 xxxx xxxxxxxx xxxxx, xxxxx xxxxx xx xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x příslušnou xxxxxxxxxxx xx základě xxxxxxxx xxxxxx kybernetické bezpečnosti, xxxxxxxx vyhodnocení xxxxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx x v xxxxxxxxxxx s xxxxxxxxxxx xxxxxxxxxx xxxxxxx x
x) xxxx xxxxxx a xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx spojené xx systémem řízení xxxxxxxxxxx informací x xxxxxxx rizik.
§4
Xxxxxx xxxxx
(1) Povinná xxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx pro xxxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxx xxx hodnocení aktiv xxxxxxx x rozsahu xxxxxxxx x příloze č. 1 x této xxxxxxxx,
x) xxxxxxxxxxxx x eviduje xxxxxx,
x) xxxx x xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx x xxxxxxx xxxxxxxx xxxxxx x xxxxxxxx důvěrnosti, integrity x dostupnosti a xxxxxx xx do xxxxxxxxxxxx xxxxxx podle xxxxxxx b),
f) určí x xxxxxxx vazby xxxx xxxxxxxxxx x xxxxxxxxxx aktivy a xxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxxx aktiva x xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx podle xxxxxxx x),
x) xx xxxxxxx hodnocení aktiv xxxxxxxxx x xxxxxx xxxxxxxx xxxxxxx xxxxx xxx zabezpečení jednotlivých xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx xxx xxxxxxxxxx x xxxxxx s ohledem xx xxxxxx aktiv, xxxxxx xxxxxxxx pro xxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx přenášení xxxxx, x
x) určí xxxxxx likvidace xxx, xxxxxxxxxx údajů, informací x jejich xxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxx x xxxxxxx xx xxxxxx xxxxx x souladu x přílohou č. 4 x xxxx xxxxxxxx.
(2) Při xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx xx xxxxx xxxxxxxx xxxxxxx
x) xxxxxx x xxxxxxxxxx xxxxxxxx xxxxx, xxxxxxxxxx xxxxxxxxx xxxxxxxx údajů xxxx xxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxx právních xxxxxxxxxx xxxx jiných xxxxxxx,
x) xxxxxx xxxxxxxx vnitřních xxxxxxxx x xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx veřejných, xxxxxxxxxx nebo ekonomických xxxxx x možné xxxxxxxx xxxxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx,
x) xxxxxx xx zachování xxxxxxx xxxxx xxxx ochranu xxxxx xxxxxxx,
x) dopady xx xxxxxxxxxx x xxxxxx xxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx x
x) xxxxxx na xxxxxxxxx informačního x xxxxxxxxxxxxx systému.
§5
Xxxxxx xxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxx x xxxxxxxxxx xx §4
x) xxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx, xxxxxx xxxxxxxxx xxxxxxxx pro xxxxxxxxxxxxxxxx xxxxx,
x) s xxxxxxx na xxxxxx xxxxxxxxxxxx xxxxxxxxxx hrozby x xxxxxxxxxxxxx; přitom xxxxxxx xxxxxxx xxxxxxxxx xxxxxx a zranitelností xxxxxxxxx x příloze č. 3 x této xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxx x pravidelných xxxxxxxxxxx xxxxx odstavce 2 x při xxxxxxxxxx xxxxxxx,
x) při xxxxxxxxx xxxxx xxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxxxxxxx x xxxxxxx možné xxxxxx xx xxxxxx; xxxx xxxxxx xxxxxxx xxxxxxx v xxxxxxx přílohy č. 2 x xxxx xxxxxxxx,
x) zpracuje zprávu x hodnocení rizik,
f) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx potřeb a xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx obsahuje xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx, xxxxx
1. xxxxxx xxxxxxxxxx, včetně xxxxxxxxxx,
2. xxxx xxxxxxxxxx, xxxxxx xxxxxxx xxxxxx,
x) xxxxxxxx a zavede xxxx xxxxxxxx xxxxx, xxxxx xxxxxxxx cíle x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxxxxxxxxx rizik, xxxxxx xxxxx xxxxxxxxxxx prosazování xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx rizik, potřebné xxxxxxxx, technické, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxx jejich xxxxxxxx, xxxxx xxxxx xxxx xxxxxx x příslušnými xxxxxxxxxxxxxx xxxxxxxxxx a xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxx xxxxxxxxx xxxxx x x xxxxx zvládání xxxxx xxxxxxxx
1. xxxxxxxx xxxxx,
2. xxxxx rozsahu xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
3. xxxxxxxx xxxxx §11 xxxxxx x
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxx řešených, x
x) x xxxxxxx s xxxxxx xxxxxxxx xxxxx xxxxxx bezpečnostní xxxxxxxx.
(2) Xxxxxxx xxxxx uvedená x §3 xxxx. x), x) x x) xxxxxx xxxxxxx xxxxxxxxx xxxxx alespoň xxxxxx xxxxx a xxxxxxx xxxxx uvedená x §3 xxxx. x) xxxxxx xxxxxxx xxxxxx xx xxx xxxx.
(3) Xxxxxx rizik xxxx xxx xxxxxxxxx x jinými xxxxxxx, xxx xxx je xxxxxxxxx x xxxxxxxx 1 písm. x), xxxxx xxxxxxx xxxxx xxxxxxxxx, že použitá xxxxxxxx xxxxxxx stejnou xxxx xxxxx xxxxxx xxxxxxx xxxxxx rizik.
§6
Xxxxxxxxxxx bezpečnost
(1) Xxxxxxx xxxxx x ohledem xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x cílů systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx §3 slučitelných xx xxxxxxxxxxxx xxxxxxxxxx xxxxxxx osoby,
b) zajistí xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx do xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx xxx systém xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxx x xxxx požadavky xx všemi xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxx x dosažení zamýšlených xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) vede xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx a xxxxxxxxx je xxx xxxxx xxxxxxxxx,
x) prosazuje xxxxxxxx xxxxxxxxxx systému xxxxxx bezpečnosti informací,
h) xxxxxxxxx osoby xxxxxxxxxxx xxxxxxxxxxxx xxxx xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxxxxxx,
x) zajistí xxxxxxxxx xxxxxxxx pro xxxxxx xxxxxxxxxxxxxx x xxxx, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx xxxx,
x) zajistí, xxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx xxxx,
x) xxx xxxxx xxxxxxxxxxx bezpečnostní xxxx xxxxxxx xxxxxxxxx xxxxxxxxx x zdroje xxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx rolí x xxxxxx xxxxxxxxxxxxx xxxxx x
x) xxxxxxx xxxxxxxxx xxxxx kontinuity xxxxxxxx, obnovy x xxxxxxx xxxxxxxxx se xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
(2) Povinná osoba x rámci systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx výboru xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxxxxxxxxxx xxxx a jejich xxxxx x xxxxxxxxxx xxxxxxxxxxx se systémem xxxxxx bezpečnosti xxxxxxxxx.
(3) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) a x) xxxxxx xxxx xxxxx, xxxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxx
x) xxxxxxxx kybernetické xxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx aktiva x
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxx osoba xxxxxxx x §3 xxxx. x) xxxxxx určí xxxx xxxxxxxx kybernetické xxxxxxxxxxx x xxxxxxx xxxxxx. Xxxxxxx bezpečnostní xxxx podle odstavce 3 xxxx přiměřeně xxxxxxxx x rozsahu x xxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
(5) Xxxxxxx osoba xxxxxxx x §3 xxxx. x), d) x x) xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx x xxxxxxxx 3 xxxx. x) x x).
(6) Povinná xxxxx uvedená v §3 písm. e) xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(7) Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx tvořen xxxxxxx x xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxxxxxxx pro xxxxxxx xxxxxx a xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a osobami xxxxxxxx xx xxxxxxxxxxxx xx xxxxxx x xxxxxxxxxx činností xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxx musí xxx xxxxxxx xxxxx xxxxxxxx vrcholového xxxxxx xxxx jím xxxxxxxx xxxxx a xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxx xxxxx u xxxxxx xxx xxxxxx kybernetické xxxxxxxxxxx přihlédne x xxxxxxxxxxx uvedeným x příloze č. 6 x této xxxxxxxx.
§7
Xxxxxxxxxxxx xxxx
(1) Manažer xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxxxxxxxxxx xxxx xxxxxxxxx xx systém xxxxxx xxxxxxxxxxx xxxxxxxxx, přičemž xxxxxxx xxxx xxxx xxxx být pověřena xxxxx, která xx xxx tuto činnost xxxxxxxxx x prokáže xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx x xxxxxxx bezpečnosti xxxxxxxxx
1. xx xxxx nejméně xxx xxx, xxxx
2. xx xxxx xxxxxxx xxxx, xxxxx xxxxxxxxxxx xxxxxxx xx vysoké xxxxx,
x) xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxx x
1. činnostech xxxxxxxxxxxxx x xxxxxxx xxxx odpovědnosti x
2. xxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx x
x) xxxxx xxx xxxxxxx xxxxxxx rolí odpovědných xx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx bezpečnostní xxxx xxxxxxxxx za xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx tak, xxx xxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxx informačního x xxxxxxxxxxxxx systému, xxxxxxx xxxxxxx xxxx role xxxx xxx xxxxxxxx xxxxx, která xx xxx tuto xxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxxx praxí x navrhováním implementace xxxxxxxxxxxxxx opatření x xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xx dobu nejméně xxx xxx, xxxx
x) xx xxxx xxxxxxx xxxx, pokud absolvovala xxxxxxx xx xxxxxx xxxxx.
(3) Xxxxxx xxxxxx xx xxxxxxxxxxxx xxxx xxxxxxxxx xx xxxxxxxxx xxxxxxx, xxxxxxx x xxxxxxxxxx xxxxxx.
(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxxxxxxxxxx xxxx xxxxxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx xxxx xxxx xxxx být pověřena xxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx praxí x prováděním xxxxxx xxxxxxxxxxxx bezpečnosti xxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xx xxxx nejméně xxx xxx, nebo
2. xx xxxx xxxxxxx roku, xxxxx absolvovala studium xx xxxxxx xxxxx,
x) xxxxxxxx, xx xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx xx xxxxxxxxx, x
x) xxxxx být pověřen xxxxxxx xxxxxx bezpečnostních xxxx.
(5) Xxxxxxx xxxxx xxx xxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxx k doporučením xxxxxxxx x příloze č. 6 x xxxx xxxxxxxx.
§8
Xxxxxx xxxxxxxxxx
(1) Xxxxxxx xxxxx
x) stanoví pravidla xxx xxxxxxxxxx, xxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxx evidenci svých xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx informuje své xxxxxxxx xxxxxxxxxx x xxxxxx evidenci podle xxxxxxx x),
x) xxxxxxxxx xxx dodavatele x xxxxxxxx podle písmene x) a vyžaduje xxxxxx xxxxxx xxxxxxxx,
x) xxxx rizika xxxxxxx x xxxxxxxxxx,
x) v xxxxxxxxxxx x řízením xxxxx spojených x xxxxxxxxxx xxxxxxxxxx xxxxxxx, xxx smlouvy xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx v příloze č. 7 x xxxx xxxxxxxx, x
x) xxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxx s xxxxxxxxxx dodavateli x xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.
(2) Xxxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxx dále
a) x xxxxx xxxxxxxxxx xxxxxx x před xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxxx výběrového xxxxxx přiměřeně xxxxx přílohy č. 2 k této xxxxxxxx,
x) x rámci xxxxxxxxxxx smluvních xxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxx xxxxx xxxxxxxx smluvní xxxxxxxxxxxx za zavedení x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxx kontrolu xxxxxxxxxx xxxxxxxxxxxxxx opatření x xxxxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxx zdrojů nebo xxxxxx třetí xxxxxx x
x) v xxxxxx xx xxxxxx x xxxxxxxx xxxxxxxxxx zajistí xxxxxx řešení.
(3) Xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx podle xxxxxxxx 1 písm. x) jsou
a) identifikace xxxxxxx xxxx xxxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
c) identifikace xxxxxxxxxx xxxxxxxxxx,
x) vyrozumění x xxxxxxxxxxx, xx xxxxxxxxx xx xxx xxxxxxx významným xxxxxxxxxxx, x xxxxxxxxx xxxx x xxx, xx xxxxxxxx xxxxxxxxx xx xxxxxxx provozovatelem, x
x) xxxxx xxxxxxxx podle xxxxxxxx 1 písm. x).
(4) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. x) až x) xxxxxx, která xx xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 1 xxxx. x), xxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxx v §34.
§9
Xxxxxxxxxx lidských xxxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx bezpečnosti xxxxxxxx xxxxxx
x) s xxxxxxx xx xxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací xxxxxxx xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, jehož xxxxx xx zajistit xxxxxxxxxxxx vzdělávání x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx obsahuje xxxxx, xxxxx a xxxxxx
1. xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role x xxxxxxxxxx o xxxxxx xxxxxxxxxxxx a x xxxxxxxxxxxx xxxxxxxx x
2. xxxxxxxxxx xxxxxxxxxxxx i xxxxxxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxx xxxxx xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, které xxxx x xxxxx uvedeny,
c) x souladu x xxxxxx rozvoje bezpečnostního xxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, osob xxxxxxxxxxxxx bezpečnostní xxxx x dodavatelů o xxxxxx povinnostech x x xxxxxxxxxxxx xxxxxxxx xxxxxx vstupních x xxxxxxxxxxxx školení,
d) pro xxxxx xxxxxxxxxxx bezpečnostní xxxx x xxxxxxx x xxxxxx rozvoje xxxxxxxxxxxxxx povědomí xxxxxxx xxxxxxxxxx xxxxxxx školení, xxxxxxx xxxxxxx z xxxxxxxxxx potřeb xxxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) x xxxxxxx x xxxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxxxx pravidelné školení x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx x xxxxxxx x xxxxxx xxxxxxxx náplní,
f) zajistí xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) v xxxxxxx xxxxxxxx xxxxxxxxx xxxxxx x administrátory x xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxx xxxxxxx xxxxxxxxxxxx,
x) hodnotí xxxxxxxx xxxxx xxxxxxx bezpečnostního xxxxxxxx, xxxxxxxxxxx školení x xxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxxxxxx povědomí x
x) xxxx xxxxxxxx x xxxxxxx xxx řešení xxxxxxx xxxxxxxx stanovených xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Xxxxxxx xxxxx xxxx x xxxxxxx podle odstavce 1 xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxx x xxxxxx osob, xxxxx xxxxxxx xxxxxxxxxxx.
§10
Řízení provozu x xxxxxxxxxx
(1) Xxxxxxx osoba x xxxxx xxxxxx xxxxxxx x komunikací xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx pravidla x xxxxxxx, které xxxxxxxx xxxxxxx
x) xxxxx a xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx x osob zastávajících xxxxxxxxxxxx xxxx,
x) xxxxxxx xxx spuštění x xxxxxxxx chodu xxxxxxx, xxx restart xxxx xxxxxxxx xxxxx systému xx xxxxxxx a xxx ošetření chybových xxxxx xxxx xxxxxxxxxxx xxxx,
x) postupy pro xxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxx xxxxxxx přístupu x xxxxxxxx o xxxxxx xxxxxxxxxx,
x) xxxxxxxx x postupy pro xxxxxxx před xxxxxxxxx xxxxx,
x) řízení xxxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxxxx xx xxxxxxxxx xxxxx, xxxxx xxxx pověřeny výkonem xxxxxxxxx x xxxxxxxxx xxxxxxx,
x) postupy řízení x schvalování xxxxxxxxxx xxxx,
x) postupy pro xxxxxxxxx, plánování x xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxxx a xxxxxxx xxx ochranu xxxxxxxxx x dat x xxxxxxx xxxxxx životního xxxxx,
x) xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxxx zálohování x xxxxxxxx použitelnosti xxxxxxxxxxx xxxxx a
l) xxxxxxxx x postupy xxx xxxxxxxxx xxxxxxxxxxx síťových xxxxxx.
(2) Xxxxxxx osoba x rámci xxxxxx xxxxxxx x komunikací xxxxxxxx pravidla x xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 1 x xxxx xxxxxxxx x xxxxxxx aktualizuje x xxxxxxxxxxx s prováděnými xxxx xxxxxxxxxxx změnami.
(3) Xxxxxxx xxxxx xxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxx prostředí.
§11
Xxxxxx xxxx
(1) Xxxxxxx xxxxx x rámci xxxxxx xxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) xxxxxxxxxxx možné xxxxxx xxxx a
b) xxxxxx významné xxxxx.
(2) Xxxxxxx osoba x xxxxxxxxxx xxxx
x) dokumentuje xxxxxx řízení,
b) xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxx xx účelem xxxxxxx xxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxx,
x) aktualizuje xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxx testování x
x) xxxxxxx možnost xxxxxxxxx xx původního xxxxx.
(3) Xxxxxxx xxxxx uvedená x §3 xxxx. x), d) a x) zákona xx xxxxxxx výsledků xxxxxxx xxxxx podle xxxxxxxx 2 xxxx. x) xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx nebo xxxxxxxxx zranitelností; xxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx zranitelností, xxxxxxxxx xxxxx §25 xxxx. 1 x xxxxxxx xx zjištěné nedostatky.
(4) Xxxxxxx osoba xxxxxxx x §3 písm. x) xxxxxx xx xxxx požadavky podle xxxxxxxx 3 xxxxxxxxx.
§12
Řízení xxxxxxxx
(1) Povinná xxxxx na xxxxxxx xxxxxxxxxx a bezpečnostních xxxxxx xxxx přístup x xxxxxxxxxxxx a xxxxxxxxxxxxx systému x xxxxxxx opatření, xxxxx xxxxxx x zajištění xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx pro xxxxxxxxxx xxxxx §19 x 20, x xxxxx brání xx xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(2) Povinná xxxxx xxxx v xxxxx xxxxxx přístupu x informačnímu a xxxxxxxxxxxxx xxxxxxx
x) xxxx xxxxxxx xx xxxxxxx xxxxxx x xxxx,
x) xxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxxx přistupujícímu x xxxxxxxxxxxx a xxxxxxxxxxxxx systému xxxxxxxxxx xxxxx a xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx,
x) xxxx xxxxxxxxxxxxxx, přístupová xxxxx a oprávnění xxxxxxxx x technických xxxx,
x) zavádí xxxxxxxxxxxx xxxxxxxx xxx řízení xxxxxxxx xxxxxxxx k xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxxxxxxxxx opatření potřebná xxx xxxxxxxx používání xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx zařízení, xxxxx xxxxxxx osoba xxxx xx xxx xxxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxx nutnou x výkonu xxxxxx xxxxx,
x) omezí a xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx xxxx aplikační xxxxxxxx,
x) xxxxxxxxx a xxxxxxx přístupová xxxxxxxxx x xxxxxxx s xxxxxxxxx xxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx přezkoumání xxxxxxxxx veškerých xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xx přístupových xxxxxx x rolí,
j) xxxxxxx xxxxxxx xxx správu x ověřování xxxxxxxx xxxxx §19 x xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §20,
x) xxxxxxxxx, aby xxxxxxxxx xxx používání xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx stanovené xxxxxxx,
x) xxxxxxx xxxxxxxx nebo xxxxx přístupových xxxxxxxxx xxx změně pozice xxxx zařazení xxxxxxxxx, xxxxxxxxxxxxxx nebo xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) xxxxxxx odebrání xxxx xxxxx xxxxxxxxxxxx oprávnění xxx xxxxxxxx xxxx xxxxx smluvního vztahu x
x) xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx.
§13
Xxxxxxxx, xxxxx a xxxxxx
Xxxxxxx osoba x xxxxxxxxxxx s plánovanou xxxxxxxx, xxxxxxx x xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx systému
a) řídí xxxxxx xxxxx §5,
x) xxxx významné xxxxx xxxxx §11,
c) xxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) zahrne xxxxxxxxxxxx požadavky do xxxxxxxx akvizice, vývoje x xxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx prostředí x xxxxxxx ochranu xxxxxxxxxxx xxxxxxxxxxx xxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxx před xxxxxx xxxxxxxxx xx xxxxxxx x
x) xxxx xxxxxxxxx xxxxx §19 xxxx. 3, je-li xxxxx xxxxxxxxx xxxxxxxx xxxx xxxxxx xxxxxxx xxx xxxxxx x xxxxxxxxx xxxxxxxx.
§14
Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a incidentů
(1) Xxxxxxx osoba v xxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx
x) xxxxxx xxxxxx xxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx,
x) přidělí xxxxxxxxxxxx a xxxxxxx xxxxxxx pro
1. xxxxxxx x xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí x xxxxxxxxx x
2. xxxxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx x aplikuje xxxxxxx xxx xxxxxxxxxxxx, xxxx, xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx analýzu kybernetického xxxxxxxxxxxxxx incidentu,
d) xxxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx,
x) při xxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí xx dále xxxx §22 x 23,
f) xxxxxxx, že xxxxxxxxx, xxxxxxxxxxxxxx, xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx, další xxxxxxxxxxx a dodavatelé xxxxx oznamovat xxxxxxxxx xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx kterém xxxx xxx xxxxxxxxxx, zda xxxx xxx klasifikovány xxxx kybernetické xxxxxxxxxxxx xxxxxxxxx podle §31,
x) xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xxxxx xxxxxxxxxxx postupů,
i) xxxxxxx xxxxxxxx xxx xxxxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §32,
k) xxxx xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx x o jejich xxxxxxxx,
x) prošetří a xxxx příčiny xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x
x) xxxxxxxxx xxxxxxxx řešení xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu x na základě xxxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx, popřípadě xxxxxxxxxxx stávající xxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx řešeného kybernetického xxxxxxxxxxxxxx xxxxxxxxx.
(2) Povinná xxxxx xxxxxxx x §3 xxxx. x), x) x x) xxxxxx dále xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx používá nástroj xxxxx §24.
§15
Řízení xxxxxxxxxx xxxxxxxx
Xxxxxxx xxxxx x rámci xxxxxx xxxxxxxxxx xxxxxxxx
x) xxxxxxx xxxxx a xxxxxxxxxx xxxxxxxxxxxxxx a xxxx zastávajících xxxxxxxxxxxx xxxx,
x) xxxxxx xxxxxxxxx xxxxx a analýzy xxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxx dopady xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx x xxxxxxx možná xxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx činností,
c) xx xxxxxxx xxxxxxx xxxxxxxxx rizik x xxxxxxx xxxxxx podle xxxxxxx x) stanoví xxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx, xxxxx je xxxxxxxxxx pro užívání, xxxxxx x xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
2. doby xxxxxxxx xxxxx, xxxxx xxxxx xxxx po xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx poskytovaných xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému, x
3. xxxx xxxxxxxx xxx xxxx xxxxxx období, xx xxxxx xxxx xxx xxxxxx xxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu xxxx xx xxxxxxx,
x) stanoví xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx x),
x) vypracuje, xxxxxxxxxxx x xxxxxxxxxx xxxxxxx plány kontinuity xxxxxxxx x xxxxxxxxx xxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému x xxxxxxxxxxxxx služeb a
f) xxxxxxxxx opatření xxx xxxxxxx odolnosti xxxxxxxxxxxx x xxxxxxxxxxxxx systému xxxx kybernetickým bezpečnostním xxxxxxxxxx a omezením xxxxxxxxxxx x vychází xxx xxx x xxxxxxxxx xxxxx §27.
§16
Xxxxx xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxxxx osoba x xxxxx xxxxxx kybernetické xxxxxxxxxxx
x) xxxxxxx a xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxxxxx politiky, xxxxxx xxxxxxxxxxx technické shody, x výsledky xxxxxx xxxxxxxx v xxxxx xxxxxxx bezpečnostního xxxxxxxx x plánu xxxxxxxx xxxxx x
x) posuzuje xxxxxx xxxxxxxxxxxxxx xxxxxxxx x nejlepší xxxxx, xxxxxxxx předpisy, xxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxxx xx k xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxx xxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxxx souladu.
(2) Xxxxx xxxxx odstavce 1 xx xxxxxxxx
x) xxx xxxxxxxxxx xxxxxxx, x xxxxx jejich xxxxxxx,
x) x pravidelných xxxxxxxxxxx xxxxxxx xx 3 xxxxxx x xxxxxxx povinné xxxxx xxxxxxx v §3 xxxx. e) xxxxxx x
x) x pravidelných xxxxxxxxxxx xxxxxxx po 2 letech x xxxxxxx povinné xxxxx xxxxxxxxx x písmenu x).
(3) Xxxx-xx x xxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxx x xxxxxxxxxxx podle xxxxxxxx 2 písm. b) x c) x xxxxx xxxxxxx, xx xxxxx audit xxxxxxxx xxxxxxxx xx xxxxxxxxxxxxxx xxxxxxx. V xxxxxxx xxxxxxx xx nutno xxxxx x xxxxx xxxxxxx provést xxxxxxxxxx xx 5 xxx.
(4) Xxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx být prováděn xxxxxx vyhovující xxxxxxxxx xxxxxxxxxx v §7 xxxx. 4, xxxxx xxxxxxxxx hodnotí xxxxxxxxx x účinnost xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(5) Xxxxxxx xxxxx, xxxxx xx xxxxxxxx provozovatelem, předkládá xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx správci daného xxxxxxxxxxxx x komunikačního xxxxxxx.
HLAVA XX
XXXXXXXXX OPATŘENÍ
§17
Fyzická xxxxxxxxxx
Xxxxxxx osoba x xxxxx xxxxxxx bezpečnosti
a) xxxxxxxxx xxxxxxxxx, krádeži xxxx zneužití xxxxx xxxx xxxxxxxxx poskytování xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
b) stanoví xxxxxxx xxxxxxxxxxxx perimetr xxxxxxxxxxxx xxxxxx, xx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxxxx informace x umístěna xxxxxxxxx xxxxxx informačního x xxxxxxxxxxxxx xxxxxxx, x
x) x xxxxxxxxx bezpečnostního xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx x) xxxxxx xxxxxxxx opatření a xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx
1. k zamezení xxxxxxxxxxxxx xxxxxx,
2. x xxxxxxxx xxxxxxxxx x xxxxxxxxxxxx zásahům a
3. xxx xxxxxxxxx ochrany xx xxxxxx xxxxxxx x v rámci xxxxxxx.
§18
Xxxxxxxxxx xxxxxxxxxxxxx xxxx
Xxxxxxx xxxxx xxx ochranu xxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxx x rozsahu xxxxx §3 xxxx. x)
x) zajistí xxxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxx komunikace x xxxxx komunikační xxxx x perimetru xxxxxxxxxxx xxxx,
x) pomocí xxxxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxx dat xxx xxxxxxxxx přístupu, vzdálené xxxxxx xxxx xxx xxxxxxxx do xxxxxxxxxxx xxxx xxxxxx bezdrátových xxxxxxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxx x
x) xxx zajištění xxxxxxxxxx xxxx x xxx xxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxxx xxxxxxx xxxxxxx, který xxxxxxx xxxxxxx integrity xxxxxxxxxxx xxxx.
§19
Správa x xxxxxxxxx xxxxxxx
(1) Xxxxxxx osoba xxxxxxx nástroj xxx xxxxxx a ověření xxxxxxxx uživatelů, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxxxxxxx x komunikačního systému.
(2) Xxxxxxx pro xxxxxx x ověření xxxxxxxx xxxxxxxxx, administrátorů a xxxxxxxx xxxxxxxxx
x) xxxxxxx xxxxxxxx před zahájením xxxxxxx v xxxxxxxxxxx x komunikačním xxxxxxx,
x) xxxxxx xxxxx xxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxx přenášených xxxxxxxxxxxxxx xxxxx xxxxx neoprávněnému xxxxxxxx a xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxxxx xxxxx xx xxxxx odolné xxxxx offline útokům,
e) xxxxxxxx ověření identity xx určené xxxx xxxxxxxxxx,
x) xxxxxxxx důvěrnosti xxxxxxxxxxxxxx xxxxx xxx xxxxxx přístupu x
x) xxxxxxxxxxxxxxx xxxxxx xxxxxxx.
(3) Xxxxxxx xxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxx xxxxxxx xxxxxxxxxxxx mechanizmus, xxxxx xxxx xxxxxxxx xxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxx x xxxxx, xxxxx xx xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx dvěma xxxxxxx xxxx xxxxxxx.
(4) Xx xxxx splnění xxxxxxxxx xxxxx xxxxxxxx 3 xxxx xxxxxxx xxx xxxxxxx xxxxxxxx uživatelů, xxxxxxxxxxxxxx x xxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx klíčů a xxxxxxx obdobnou úroveň xxxxxxxxxxx.
(5) Xx doby xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx 4 xxxx xxxxxxx xxx xxxxxxx identity xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx, xxxxx používá x xxxxxxxxxxx identifikátor xxxx x heslo, xxxxxxxxx xxxxxxxx
x) xxxxx xxxxx xxxxxxx
1. 12 xxxxx x xxxxxxxxx x
2. 17 xxxxx x xxxxxxxxxxxxxx a xxxxxxxx,
x) xxxxxxxxxx xxxxx xxxxx x délce xxxxxxx 64 xxxxx,
x) xxxxxxxxxxx xxxxxxx xxxxxx x velkých písmen, xxxxxx a xxxxxxxxxxx xxxxx,
x) umožňující uživatelům xxxxx xxxxx, xxxxxxx xxxxxx xxxx xxxxx xxxxxxx hesla xxxxx xxx xxxxxx xxx 30 xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxxx
1. xxxxxx xx nejčastěji xxxxxxxxx xxxxx,
2. xxxxxx xxxxx xx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx, xxxxxxxxxxxxxx xxxxx, x-xxxxx, názvu xxxxxxx xxxx xxxxxxxx xxxxxxxx x
3. xxxxxxxx xxxxxxx xxxxx používaných xxxxx x xxxxxx xxxxxxx 12 předchozích hesel x
x) pro povinnou xxxxx xxxxx x xxxxxxxxx xxxxxxxxx xx 18 xxxxxxxx, xxxxxxx xxxx xxxxxxxx xx xxxxxxxxxx na xxxx xxxxxxxx k xxxxxx xxxxxxx v případě xxxxxxx.
(6) Xxxxxxx xxxxx x xxxxxxx používání xxxxxxxxxxx pouze xxxxx x heslem xxxx
x) xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx hesla po xxxx prvním xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx x obnovení xxxxxxxx xx jeho xxxxxx použití xxxx xxxxxxxxx nejvýše 60 xxxxx od xxxx xxxxxxxxx a
c) xxxxxxx xxxxxx xxxxxxxx tvorby xxxxxxxxxx xxxxx xx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9.
§20
Xxxxxx xxxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx řízení xxxxxxxxx
x) xxx xxxxxxx x xxxxxxxxxxx aktivům xxxxxxxxxxxx x komunikačního systému x
x) xxx xxxxx xxx, xxxxx dat x změnu oprávnění.
§21
Xxxxxxx před škodlivým xxxxx
(1) Povinná osoba xxxxxxx v §3 xxxx. x), d) x x) xxxxxx x xxxxx ochrany xxxx xxxxxxxxx xxxxx
x) x xxxxxxx na xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxxx ochranu
1. xxxxxxxxx xxxxxx,
2. xxxxxxxxx xxxxxxxx,
3. xxxxxxx,
4. xxxxxxxx xxxxxxx x výměnných xxxxxxxx nosičů,
5. xxxxxxxxxxx xxxx a xxxxx xxxxxxxxxxx xxxx x
6. xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x řídí xxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx,
x) xxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx,
x) xxxx xxxxxxxxx xx xxxxxxxxx xxxx a
e) xxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxxxxxx nástroje pro xxxxxxx před xxxxxxxxx xxxxx.
(2) Povinná osoba xxxxxxx x §3 xxxx. x) zákona xxxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxxx.
§22
Zaznamenávání událostí xxxxxxxxxxxx x xxxxxxxxxxxxx systému, xxxx uživatelů x xxxxxxxxxxxxxx
(1) Xxxxxxx osoba
a) xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx provozní xxxxxxxx xxxxxxxxxx aktiv informačního x xxxxxxxxxxxxx xxxxxxx x
x) xx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxxx xxxxx, x xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx pro xxxxxxxxxxxxx bezpečnostních x xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx identifikaci xxxxxxxx xxxxxxx, xx-xx x komunikační síti xxxxxx xxxxxxx, xxxxx xxxx xxxx xxxxxxx xxxxxxxxxxxx,
x) xxxx informací x bezpečnostních x xxxxxxxxxx xxxxxxxxxx; zejména xxxxxxxxxxx
1. datum x xxx včetně xxxxxxxxxxx xxxxxxxx xxxxx,
2. xxx xxxxxxxx,
3. xxxxxxxxxxxx technického xxxxxx, xxxxx xxxxxxx xxxxxxxxxxx,
4. xxxxxxxxxxxx identifikaci xxxx, pod kterým xxxx činnost xxxxxxxxx,
5. xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx původce a
6. xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx,
x) ochranu xxxxxxxxx xxxxxxxxx podle xxxxxx x) a b) xxxx neoprávněným xxxxxx x jakoukoli xxxxxx,
x) xxxxxxxxxxxxx
1. xxxxxxxxxxxx x xxxxxxxxxxx xx xxxx xxxxx, a xx xxxxxx neúspěšných xxxxxx,
2. xxxxxxxx provedených administrátory,
3. xxxxxxx x neúspěšné xxxxxxxxxx x účty, xxxxxxxxxxx x xxxxx,
4. xxxxxxxxxxx xxxxxxxx x xxxxxxxx nedostatku přístupových xxxx x oprávnění,
5. xxxxxxxx xxxxxxxxx, které xxxxx xxx vliv xx bezpečnost informačního x komunikačního systému,
6. xxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx,
7. xxxxxxxxxx x xxxxxxxxx xxxxxxx technických aktiv x
8. přístupů x xxxxxxxx x událostech, xxxxxx x xxxxxxxxxx xx xxxxxxx x xxxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx pro xxxxxxxxxxxxx událostí x
x) xxxxxxxxxxxxx jednotného xxxx xxxxxxxxxxx xxxxx nejméně xxxxxx xx 24 xxxxx.
(3) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x x) xxxxxx xxxxxxxx záznamy xxxxxxxx xxxxxxxxxxxxx podle xxxxxxxx 2 nejméně po xxxx 18 měsíců.
(4) Xxxxxxx xxxxx uvedená x §3 xxxx. x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxx po dobu 12 měsíců.
§23
Detekce kybernetických bezpečnostních xxxxxxxx
(1) Xxxxxxx osoba x xxxxx xxxxxxxxxxx xxxx, xxxxx xxxxxxxx xx xxxxxxxxxx a xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx zajistí
a) xxxxxxx x kontrolu xxxxxxxxxxx xxx x rámci xxxxxxxxxxx xxxx x xxxx xxxxxxxxxxxxx xxxxxx,
x) xxxxxxx x xxxxxxxx xxxxxxxxxxx xxx xx xxxxxxxxx xxxxxxxxxxx sítě x
x) xxxxxxxxx nežádoucí xxxxxxxxxx.
(2) Povinná xxxxx xxxxxxx v §3 xxxx. x), x) x f) xxxxxx xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí přiměřeně x xxxxxxx xx xxxxxxxxxx xxxxx v xxxxx
x) koncových stanic,
b) xxxxxxxxx zařízení,
c) xxxxxxx,
x) xxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx nosičů,
e) xxxxxxxx xxxxxxxxx xxxxx x
x) obdobných aktiv.
§24
Xxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí
Povinná xxxxx xxxxxxx v §3 písm. x), x) a f) xxxxxx xxxxxxx xxxxxxx xxx xxxx a xxxxxxxxxxx xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx
x) xxxx x xxxxxxxxxxxxx xxxxxxxx zaznamenaných xxxxx §22 x 23,
x) vyhledávání x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx informací xxx xxxxxx bezpečnostní xxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostech,
d) xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x cílem xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů, xxxxxx xxxxxxxx varování xxxxxxxx bezpečnostních rolí,
e) xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx pravidelnou xxxxxxxxxxx nastavení xxxxxxxx xxx
1. vyhodnocování kybernetických xxxxxxxxxxxxxx událostí x
2. xxxxxx varování a
f) xxxxxxxxx xxxxxxxxx získaných xxxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxx nastavení xxxxxxxxxxxxxx xxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx.
§25
Xxxxxxxxx xxxxxxxxxx
(1) Povinná xxxxx provádí xxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx se xxxxxxxxx na důležitá xxxxxx, x to
a) xxxx jejich xxxxxxxx xx xxxxxxx a
b) x xxxxxxxxxxx x xxxxxxxxx změnou podle §11 xxxx. 3.
(2) Xxxxxxx xxxxx dále x xxxxx xxxxxxxxx xxxxxxxxxxx zajistí xxxxxxx xxxxxxx xxxxxxxx, xxxxxxxxx x xxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxx xxxxxxxxxxx xxxxxxxx.
§26
Xxxxxxxxxxxxxx xxxxxxxxxx
Xxxxxxx osoba xxx ochranu aktiv xxxxxxxxxxxx x komunikačního xxxxxxx
x) používá aktuálně xxxxxx xxxxxxxxxxxxxx algoritmy x xxxxxxxxxxxxxx klíče,
b) xxxxxxx xxxxxx xxxxxx xxxxx a certifikátů, xxxxx
1. xxxxxxx xxxxxxxxxx, xxxxxxxxxx, ukládání, xxxxx, xxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxx x
2. xxxxxx xxxxxxxx a xxxxx,
x) xxxxxxxxx bezpečné xxxxxxxxx x kryptografickými prostředky x
x) zohledňuje doporučení x oblasti kryptografických xxxxxxxxxx vydaná Úřadem, xxxxxxxxxx na xxxx xxxxxxxxxxxxx xxxxxxxxx.
§27
Zajišťování úrovně dostupnosti xxxxxxxxx
Xxxxxxx xxxxx xxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxx dostupnosti, xxxxxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxx xxxxxxx xxxx xxxxx §15,
x) xxxxxxxx xxxxxxxxxxxx a komunikačního xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx xxxxx snížit xxxx dostupnost,
c) xxxxxxxxxx xxxxxxxxxx technických xxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x
x) xxxxxxxxxx xxxxx xxxxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx.
§28
Průmyslové, xxxxxx x xxxxxxx xxxxxxxxxx systémy
Povinná xxxxx pro xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx, xxxxxxxx x obdobných xxxxxxxxxxxx xxxxxxx používá xxxxxxxx x xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx xxxxxxxxxxx a xxxxxxxxxxxx xxxxxxxxxx, které xxxx xxxxxx do xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx fyzického xxxxxxxx x zařízením xxxxxx systémů x xx komunikační xxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxx xxxxxx pro xxxx xxxxxxx od ostatní xxxxxxxxxxxxxx,
x) xxxxxxx a xxxxxx xxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx xxxxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx xxxxxx xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
§29
Xxxxxxxxx xxxxxx
(1) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. x) xxxxxx zavede bezpečnostní xxxxxxxx podle xxxxxxxxxxx xxxxxxxx Xxxxxx (EU) 2018/151 ze xxx 30. ledna 2018, xxxxxx xx stanoví xxxxxxxx pro uplatňování xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Xxxx (XX) 2016/1148, pokud xxx x xxxxxx xxxxxxxxx xxxxx, které xxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xxxx x xxxxxxxxxx xxxxxxx, x xxxxxxxxx pro xxxxxxxxxx xxxx, xxx xx dopad xxxxxxxxx xxxxxxxx; xxxxxxxxxx §3 xx 28 xx xx xxxx povinnou xxxxx nepoužijí.
(2) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. x) xxxxxx xxxxx xxxxxxxxx xxxxx xxxxx §34 xxxx. 2.
(3) Xxxxxxx xxxxx xxxxxxx v §3 písm. x) xxxxxx hlásí xxxxxxxxxxxx xxxxxxxxxxxx incidenty xxxxx §32 xxxx. 2 x 3.
XXXXX III
BEZPEČNOSTNÍ POLITIKA X XXXXXXXXXXXX XXXXXXXXXXX
§30
Xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxx bezpečnostní politiku x vede xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx x příloze č. 5,
x) xxxxxxxxxx xxxxxxxxxxx bezpečnostní xxxxxxxx x bezpečnostní xxxxxxxxxxx x
x) xxxxxxx, xxx byla bezpečnostní xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx.
(2) Xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx musí xxx
x) xxxxxxxx v xxxxxxxx xxxx xxxxxxxxxxxx podobě,
b) xxxxxxxxxxxx v rámci xxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxx dotčeným xxxxxxx,
x) xxxxxx,
x) chráněny x xxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x
x) xxxxxx xxx, xxx xxxxxxxxx v xxxx xxxxxxxx xxxx úplné, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx x xxxxxx xxxxxxxxxxxx.
ČÁST TŘETÍ
KYBERNETICKÝ BEZPEČNOSTNÍ XXXXXXXX
§31
Xxxxxxxxxxxx kybernetických bezpečnostních xxxxxxxxx
(1) Jednotlivé xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx se xxxxxxxxxxxx xxxxx významnosti xxx xxxxxxxxxx
x) xxxxxx xxxxxxxxxx v xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxx xxxxxxx xxxxx xxxxxx,
x) xxxxx xxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxx xxxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
f) xxxxxx na xxxxxx xxxxxxxxxxx jinými xxxxxxxxxxxx x komunikačními systémy,
g) xxxxx xxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx a
i) xxxxxxx xxxxxx.
(2) Xxx xxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx na základě xxxxxxxxxx podle xxxxxxxx 1 xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - xxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx kterém xx xxxxx x xxxxxxxx xxxxxxxx bezpečnost xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho xxxxxx xxxxxxxx xxxxxxxxxx zásahy xxxxxxx x tím, xx xxxx xxx xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx dalšímu xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace xxxxxxxxx x xxxxxxxxxxxxx xxxx,
x) Xxxxxxxxx XX - xxxxxxxx kybernetický bezpečnostní xxxxxxxx, při xxxxxx xx narušena xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx řešení xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x xxx, xx musí být xxxxxxxx prostředky zabráněno xxxxxxx xxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx, xxxx
x) Kategorie X - méně významný xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx kterém xxxxxxx x xxxx významnému xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx řešení xxxxxxxx xxxxxx xxxxxxx x xxx, že xxxx xxx vhodnými xxxxxxxxxx xxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace xxxxxxxxx xxxx.
(3) Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx incident způsobující xxxxxxxx důvěrnosti xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx,
x) kybernetický xxxxxxxxxxxx xxxxxxxx způsobující xxxxxxxx xxxxxxxxxxx xxxxx, xxxx
x) xxxxxxxxxxxx bezpečnostní incident xxxxxxxxxxx xxxxxxxxx dopadů xxxxxxxxx x xxxxxxxxx x) až x).
(4) Xxxx ustanovení se xxxxxxxxxx na xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx u xxxxxxx osoby xxxxxxx x §3 xxxx. x) xxxxxx.
§32
Xxxxx x xxxxxxxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxxxx bezpečnostní xxxxxxxx se Úřadu xxxxx na xxxxxxxxxxxxx xxxxxxxxx zveřejněném xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx xxxxxxxx
x) na xxxxxx xxxxxxxxxxxx xxxxx Xxxxx xxxxxxx xxx příjem xxxxxxx kybernetických bezpečnostních xxxxxxxxx, zveřejněnou na xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
x) xx xxxxxx xxxxxxxx Xxxxx, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xx xxxxxxxxx, xxxxx xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxxxxxxx bezpečnostní xxxxxxxx xx provozovateli xxxxxxxxx XXXX xxxxx xx elektronickém formuláři xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx národního XXXX xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxxx CERT xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx na xxxx internetových xxxxxxxxx,
x) xx xxxxxx xxxxxxxx xxxxxxxxxxxxx národního XXXX, xxxx
x) prostřednictvím xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.
(3) Hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx je xxxxx xxxxxx x x listinné xxxxxx, xxxxx xxxxx v xxxxxxxxx, xxx nelze xxxxxx xxxxx xx xxxxxxx xxxxxxxxx v xxxxxxxxxx 1 a 2.
(4) Náležitosti hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxxxx informačního a xxxxxxxxxxxxx xxxxxxx,
x) xxxxx x čas zjištění xxxxxxxxx x
x) xxxxx xxxxxxxxx.
XXXX XXXXXX
XXXXXXXXX OPATŘENÍ X KONTAKTNÍ ÚDAJE
§33
Reaktivní xxxxxxxx
(1) Xxxxxxx xxxxx, xxxxx Úřad xxxxxx xxxxxxx xxxxxxxxx opatření,
a) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx na xxxxxxxxxx a xxxxxxxxxxx xxxxxx a xx xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx možné xxxxxxxxx účinky x
x) xxxxxxx způsob xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxx, xxxxx xxxxxxxxxxxx jeho xxxxx xxxxxxxxx xxxxxx, x xxxx časový xxxx jeho provedení.
(2) Xxxxxxx osoba, které Xxxx uložil provést xxxxxxxxx xxxxxxxx, xxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx x jeho xxxxxxxx xx xxxxx xxxxxxx na internetových xxxxxxxxx Xxxxx.
§34
Kontaktní xxxxx
(1) Xxxxxxxxx xxxxx xx Úřadu xxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx xxxxxxxx
x) na xxxxxx xxxxxxxxxxxx xxxxx Xxxxx xxxxxxx xxx xxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxxxxxx xx internetových xxxxxxxxx Xxxxx,
x) xx xxxxxx xxxxxxxx Xxxxx, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx, pokud je xxxxxxxxx, xxxxx xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxxxx xxxxx xx xxxxxxxxxxxxx národního XXXX xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx stránkách xxxxxxxxxxxxx xxxxxxxxx CERT xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxx xxx xxxxxx oznámení kontaktních xxxxx, xxxxxxxxxxx na xxxx xxxxxxxxxxxxx stránkách,
b) xx xxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxx CERT, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx provozovatele xxxxxxxxx XXXX.
(3) Xxxxxxx kontaktních xxxxx xx xxxxx xxxxxx x x xxxxxxxx xxxxxx, avšak xxxxx v xxxxxxxxx, xxx nelze xxxxxx xxxxx ze xxxxxxx xxxxxxxxx x odstavcích 1 x 2.
(4) Xxxx xxxxxxxx xxxxxxxxxxx xxxxx xx xxxxxx x příloze č. 8 x xxxx vyhlášce.
(5) Xxxxxxx xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx, xxxxx je xxxxxxxxxxxxxx, xxxx k xxxxxxx xxxxxxxxxxx xxxxx podle xxxxxxxx 1 xxxxxxxx xxxxxxxx, xxxxxx xx xxxxxxx prokazatelně informuje xxxxx §8 odst. 1 xxxx. c).
XXXX XXXX
XXXXXXXXX XXXXXXXXXX
§35
Xxxxxxxxx xxxxxxxxxx
(1) V případě xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx xxxx xxxxxx přede xxxx xxxxxx účinnosti xxxx vyhlášky, x x případě xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, u xxxxxxx xxxxx x xxxxxxxx určujících kritérií xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, xx do xxxxxxx xxxx xxx dne xxxxxx xxxxxxxxx této xxxxxxxx xxx xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxx x xxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx použijí xxxxxxxxxx xxxxxxxx č. 316/2014 Sb., x bezpečnostních xxxxxxxxxx, xxxxxxxxxxxxxx bezpečnostních incidentech, xxxxxxxxxxx opatřeních x x xxxxxxxxx xxxxxxxxxxx xxxxxx v xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx bezpečnosti).
(2) X xxxxxxx xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx xxxx xxxxxx přede dnem xxxxxx xxxxxxxxx xxxx xxxxxxxx, x x xxxxxxx významných informačních xxxxxxx, u kterých xxxxx x naplnění xxxxxxxxxx xxxxxxxx xxxxx xxxx nabytí xxxxxxxxx xxxx xxxxxxxx, xx xx xxxxxxx roku xxx dne xxxxxx xxxxxxxxx xxxx vyhlášky xxx způsob xxxxxxxxx xxx, xxxxxxxxxx xxxxx, xxxxxxxxx x jejich xxxxx xxxx xxxxxxxx xxxxxxxxx.
§36
Zrušovací ustanovení
Zrušuje xx xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx, reaktivních xxxxxxxxxx x x xxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx).
§37
Xxxxxxxx
Xxxx xxxxxxxx xxxxxx xxxxxxxxx dnem vyhlášení.
Ředitel:
Ing. Xxxxxxxx x. x.
Příloha x. 1 x xxxxxxxx č. 82/2018 Sb.
Hodnocení aktiv
(1) Xxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxx x xxxxx xxxxxxx xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxx x xxxxxxxx xx, jaký xxxxx xx xxxx xxxxxxxx xxxxxxxxxxx informací x xxxxxxxxxxxx xxxxx. Xxxxxxx xxxxx xxxx používat xxxxxxx počet úrovní xxx xxxxxxxxx důležitosti xxxxx, xxx xxxx xx xxxxxx x xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx a xxxxxxxx xxx hodnocení xxxxxxxxxxx aktiv, které xxxx xxxxxxx x xxxx příloze.
(2) Xx xxxxxxxxxx, xxx xx xxxxx povinná xxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxx potřebám.
Tab. 1: Xxxxxxxx xxx xxxxxxxxx důvěrnosti
|
Úroveň |
Popis |
Příklady xxxxxxxxx xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxx xxxx xxxxxxx xxxxxxxxx xxxx xxxx xxxxxx xx xxxxxxxxxx. Xxxxxxxx xxxxxxxxxx aktiv neohrožuje xxxxxxxxx xxxxx povinné xxxxx. X xxxxxxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxx stranami a xxxxxxx xxxxxxxxxxx podle xxx. xxxxxxx xxxxx xxxxxxxxx (xxxx xxx "XXX") xx využíváno xxxxxxxx XXX:XXXXX. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Střední |
Aktiva xxxxxx xxxxxxx xxxxxxxxx x xxxxx xxxx-xxx xxxxxxx osoby, xxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxx xxxx smluvním ujednáním. V xxxxxxx xxxxxxx xxxxxxxx xxxxxx s třetími xxxxxxxx a xxxxxxx xxxxxxxxxxx podle XXX xx xxxxxxxxx xxxxxxx xxxxxxxx XXX:XXXXX xxxx XXX:XXXXX. |
Xxx ochranu xxxxxxxxxx xxxx xxxxxxxxx prostředky xxx xxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx a xxxxxx xxxxxxx xx xxxxxxxxxx xxxxxxxx předpisy, jinými xxxxxxxx nebo smluvními xxxxxxxxxx (xxxxxxxxx obchodní xxxxxxxxx, xxxxxx xxxxx). X xxxxxxx xxxxxxx xxxxxxxx xxxxxx x třetími xxxxxxxx a xxxxxxx xxxxxxxxxxx podle XXX xx xxxxxxxxx xxxxxxx xxxxxxxx TLP:AMBER. |
Pro xxxxxxx xxxxxxxxxx jsou xxxxxxxxx xxxxxxxxxx, které xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx jsou xxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx nadstandardní xxxx xxxxxxx nad xxxxx xxxxxxxxx xxxxxxxxx (například xxxxxxxxxxx obchodní xxxxxxxxx, xxxxxxxx xxxxxxxxx osobních xxxxx). X xxxxxxx xxxxxxx xxxxxxxx aktiva s xxxxxxx stranami x xxxxxxx xxxxxxxxxxx podle XXX xx xxxxxxxxx xxxxxxx xxxxxxxx TLP:RED xxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx jsou využívány xxxxxxxxxx, xxxxx xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Dále xxxxxx xxxxxxx zabraňující zneužití xxxxx xx strany xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Tab. 2: Xxxxxxxx pro xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx z xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx neohrožuje xxxxxxxxx zájmy xxxxxxx xxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx vyžadovat xxxxxxx z xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx xxxx x poškození xxxxxxxxxxx xxxxx povinné osoby x xxxx se xxxxxxxx xxxx xxxxxxxxx xxxxxx xx primární xxxxxx. |
Xxx ochranu integrity xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx (xxxxxxxxx omezení xxxxxxxxxxxx xxxx xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x hlediska xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx x poškození xxxxxxxxxxx xxxxx xxxxxxx xxxxx x xxxxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx integrity xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxx dovolují xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx x zaznamenat xxxxxxxx xxxxx provádějící xxxxx. Ochrana xxxxxxxxx xxxxxxxxx přenášených xxxxxxxxxxxxx xxxxxx xx zajištěna xxxxxx kryptografických xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx x xxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx s přímými x velmi vážnými xxxxxx xx primární xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx speciální xxxxxxxxxx xxxxxxxxxxx identifikace xxxxx xxxxxxxxxxx změnu (xxxxxxxxx pomocí xxxxxxxxxxx xxxxxxxxxxx xxxxxxx). |
Xxx. 3: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxxx dostupnosti xxxxxx xxxx xxxxxxxx x x xxxxxxx xxxxxxx xx běžně xxxxxxxxxx delší časové xxxxxx pro xxxxxxx (xxx do 1 xxxxx). |
Xxx xxxxxxx xxxxxxxxxxx xx xxxxxxxxxxx pravidelné xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx dostupnosti xxxxxx xx xxxxxx xxxxxxxxx xxxx xxxxxxxxxx dne, xxxxxxxxxxxxx xxxxxxx vede x xxxxxxx xxxxxxxx xxxxxxxxxxx zájmů povinné xxxxx. |
Xxx ochranu xxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxx zálohování x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxx. Xxxxxxxx xxxxxxx je xxxxx xxxxx xxxxxxxxxx, xxxxxxx vede x xxxxxxx xxxxxxxx oprávněných xxxxx xxxxxxx osoby. Xxxxxx xxxx xxxxxxxxxx xx xxxxx důležitá. |
Pro xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx záložní xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx xxxx xxx xxxxxxxxx xxxxxx obsluhy xxxx xxxxxxx xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx dostupnosti xxxxxx xxxx přípustné x x xxxxxxxxxx xxxxxxxxxxxx (x xxxx xxxxxxxx xxxxx) vede k xxxxxxx xxxxxxxx oprávněných xxxxx xxxxxxx xxxxx. Xxxxxx jsou xxxxxxxxxx xx xxxxxxxx. |
Xxx ochranu xxxxxxxxxxx xxxx využívány xxxxxxx xxxxxxx a xxxxxx poskytování xxxxxx xx xxxxxxxxxx a xxxxxxxxxxxxxx. |
Příloha č. 2 x vyhlášce č. 82/2018 Xx.
Xxxxxxxxx xxxxx
(1) Xxxxxxxxxxx xxxxxxxxx funkce xxx xxxxxx xxxxxx xx xxxxxxxxx součástí xxxxxxxx pro hodnocení xxxxx xxxxx §5.
(2) Xxxxxxx rizika je xxxxxxxxxx xxxxxxxxx xxxx xxxxxx, kterou xxxxxxxxx xxxxx, hrozba x xxxxxxxxxxxx.
(3) Xxx xxxxxxxxx xxxxx lze použít xxxxxxxxx xxxx funkci:
Riziko = xxxxx x xxxxxx x xxxxxxxxxxxx.
(4) Xxxxx xx x xxxxx xxxxxxx odvozen x hodnocení aktiv xxxxx přílohy č. 1.
(5) X xxxxxxx, xx xxxxxxx xxxxx využívá metodu xxx xxxxxxxxx rizik, xxxxx xxxxxxxxxxx hodnocení xxxxxx x xxxxxxxxxxxxx, xx možné stupnice xxx hodnocení xxxxxx x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxx xx xxxxxx xxxx ke xxxxxx schopnosti xxxxxxxxx xxxxxx xxxxxx x xxxxxxxxxxxxx. Xx xxxxx xxxxxx lze xxxxxx xxxxxxxxx komentář, xxxxx xxxxxxxx xxxxxxx xxx xxxxxx xxxxxx, tak x úroveň zranitelnosti. Xxxxxxx se xxxxxxxxx x v případech, xxx xxxxxxx xxxxx xxxxxxx jiný xxxxx xxxxxx pro xxxxxxxxx xxxxxx, hrozeb, zranitelností x xxxxx.
Xxx. 1: Xxxxxxxx xxx xxxxxxxxx xxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx nebo xx xxxx xxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xx xxxx pravděpodobná xx pravděpodobná. |
|
Xxxxxx |
Xxxxxx je pravděpodobná xx xxxxx xxxxxxxxxxxxx. |
|
Kritická |
Hrozba je xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. |
Xxx. 2: Xxxxxxxx xxx hodnocení xxxxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx xxxx je xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxxx. Xxxx xxxxxxxx xxxxxxxxxxxx opatření, xxxxx xxxx xxxxxxx xxxx xxxxxxxxx možné zranitelnosti xxxx xxxxxxxx xxxxxx x jejich zneužití. |
|
Střední |
Zneužití xxxxxxxxxxxxx xx xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxx zavedena xxxxxxxxxxxx xxxxxxxx, jejichž xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx. Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxx detekovat xxxxx xxxxxxxxxxxxx xxxx xxxxxxxx xxxxxx o překonání xxxxxxxx xx xxxxxxx. Xxxxxx xxxxx žádné xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx pravděpodobné xx velmi xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxx, xxx xxxxxx xxxxxxxx nepokrývá xxxxxxx xxxxxxxx aspekty x xxxx xxxxxxxxxx xxxxxxxxxxxx. Xxxx známé xxxxx xxxxxxx pokusy o xxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx velmi xxxxxxxxxxxxx xx víceméně xxxxx. Bezpečnostní xxxxxxxx xxxxxx xxxxxxxxxxx nebo xx xxxxxx xxxxxxxx xxxxxx xxxxxxx. Xxxxxxxxx xxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx. Xxxx xxxxx xxxxxxx pokusy xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
Xxx. 3: Xxxxxxxx xxx hodnocení xxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx xx xxxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx sníženo xxxx xxxxxxxxx xxxxxxxxxx xxxx x xxxxxxx vyšší xxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxx xxxxxxxxxxx x xxxx xxx zahájeny xxxxxxxxxxxx kroky x xxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx je xxxxxxxxxxx a xxxx xxx xxxxxxxxxx zahájeny xxxxx k xxxx xxxxxxxxxx. |
Xxxxxxx x. 3 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxxxxxx x xxxxxx
Xxxxxxxxxx: Xxxx xxxxxxx xxxxxxxx jen xxxxxxx xxxxxxxxx zranitelností x xxxxxx. Xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx x xxxxxx xx odpovědností xxxxxxx xxxxx.
Xxxxxxxxxxxxx
1. xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
2. zastaralost informačního x xxxxxxxxxxxxx xxxxxxx,
3. xxxxxxxxxxxx ochrana xxxxxxxx xxxxxxxxx,
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx uživatelů x xxxxxxxxxxxxxx,
5. nedostatečná xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
6. nevhodné xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
7. nedostatečné xxxxxxx xxx identifikování x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx jevů, kybernetických xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx,
8. xxxxxxxxxxxx monitorování činnosti xxxxxxxxx a xxxxxxxxxxxxxx x xxxxxxxxxxx odhalit xxxxxx xxxxxxxx xxxx xxxxxxx xxxxxxx chování,
9. xxxxxxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx, xxxxxxxx nebo xxxxxxxxxxxxx xxxxxxxx práv x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx,
10. xxxxxxxxxxxx ochrana xxxxx,
11. xxxxxxxx bezpečnostní xxxxxxxxxxxx,
12. nedostatečná xxxx xxxxxxxxx kontroly,
13. xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxxx.
Xxxxxx
1. xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx oprávnění ze xxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
2. xxxxxxxxx xxxx xxxxxxx technického xxxxx xxxxxxxxxxxx xxxxxxxx,
3. xxxxxxxx xxxxxxxx,
4. užívání programového xxxxxxxx v rozporu x xxxxxxxxxx xxxxxxxxxx,
5. xxxxxxxx xxx (například xxxx, spyware, trojské xxxx),
6. narušení fyzické xxxxxxxxxxx,
7. xxxxxxxxx poskytování xxxxxx elektronických xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxx xxxxxxx,
8. xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxx xxxxx,
9. xxxxxx, odcizení xxxx xxxxxxxxx xxxxxx,
10. xxxxxxxxxx xxxxxxxxx xxxxxxx xx xxxxxx dodavatele,
11. xxxxxxxxx xx xxxxxx zaměstnanců,
12. xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,
13. dlouhodobé xxxxxxxxx xxxxxxxxxxx xxxxxx elektronických xxxxxxxxxx, xxxxxxx elektrické xxxxxxx xxxx jiných xxxxxxxxxx služeb,
14. xxxxxxxxxx xxxxxxxxxxx x potřebnou xxxxxxxx xxxxxx,
15. xxxxxx xxxxxxxxxxxx xxxx xxxxxx xxxxxxxxxx inženýrství, xxxxxxx xxxxxxxxxxx technik,
16. xxxxxxxx xxxxxxxxxxxxx technických nosičů xxx,
17. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx (odposlech, xxxxxxxxxx).
Příloha č. 4 x vyhlášce x. 82/2018 Sb.
Likvidace xxx
(1) Xxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému x xxxxxxxxxx způsobů xxxxxx xxx x xxxxxxx xxxxxxxxx technických xxxxxx xxxxxxxxx, provozních xxxxx, xxxxxxxxx a xxxxxx xxxxx.
(2) Xxxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xx xxxxxxx pravidla xxx xxxxxx dat x xxxxxxxxx xxxxxxxxxxx nosičů xxx v xxxxxxx x xxxxx xxxxxxxx. Xxx nejsou dotčeny xxxxxxxxxx xxxxx jiných xxxxxxxx xxxxxxxx. Xx xxxxx xxxxxx xxxxxxxxx xxxxxx služby nabízející xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxxxxx xxxxxxxx xxx mazání dat x xxxxxxxxx xxxxxxxxxxx xxxxxx xxx, vzhledem x xxxxxxx x xxxxxxxxxxx aktiv.
(3) Pravidla xxx xxxxxxxxx xxx xx xxxx být xxxxxxxxx xxxxxxxxx hodnotě x důležitosti xxxxx x xxxx by xxxxxxx zohledňovat
a) xxxxxxx xxxxxx (xxxxxxx z xxxxxxx důvěrnosti),
b) technologii (xxxx x xxxxxxxx xxxxxx xxxxxxxxx),
x) zda xx xxxxx informace xxxxxxx pod kontrolou xxxxxxxxxx či xxxxxxx,
x) xxx xxxx data xxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxxxx xxxxxxxxx,
x) xxx xxxx xxxxxxxxx xxx xxxxxxxx (xxxxxxx xxxxxxxxxxx, xxxx xxxxxxxxx),
x) xxxxxxxxxx xxxxxxxx a nástrojů xxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxxx xxxxxx,
x) xxx xx x xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxxx x ohledem xx xxxxxxxx, školení, xxxxxxxx, opětovné xxxxxxx xxxxxx xxxxxxxxx
x) xxxxx xxxxxxx likvidace xxx (xxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxxxxxxxxx xxxxxxxxx nosiče xxx, xxxxxxxxxxxxx xxx xxxxxx šifrováním x xxxxxxx),
x) použitelné xxxxxxx xxxxxxxxx xxx xxxxxxxx xx stavu xxxxxx xxxxxxxxx (xxxxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxx xxxxxxxxx, xxx xxxxxxx xx způsobů xxxxxxx likvidace).
(4) Xxxxxxx xxxxxxxxx technických xxxxxx xxxxxxxxx, xxxxxxxxxx xxxxx, xxxxxxxxx a xxxxxx xxxxx:
x) Xxxxxxxxxx
1. Xxxxxx xxxxxxxxx xxxxxxx v xxxxxxxxxx xxx xxx, xxx byla xxx xxxxxx xxxxxxxxxx (například xxxxxxxxxx xxxxxxxx xxxxxxx, xxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxx).
2. Xxx x nejméně xxxxxxxx xxxxxx likvidace xxx. X případě xxxxxxx xxxxxx xxxxxxxxx xx xxxxx s vynaložením xxxxxxxx úsilí xxxxxxxxx xxxxxxx.
3. Tato metoda xxxx xxxxxxxxxx xxx xxxxxx xxxxxxxxxxx dat xxxxxxxxxxxx xxxxxxxx xxxxx.
4. Xxxxxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1): xxxxx.
x) Xxxxxxxx
1. Xxxxxx xxxxxxxxx xxxxxxx x xxxxxxxx chráněné informace xxxxxxxxxx hodnotami.
2. Xxx x xxxxxxx bezpečný xxxxxx likvidace xxx. Xxxxx xxxxxxxx nástroje xxxxxxxxxx obnovení xxxxxxxxxx xxxxxxxxx.
3. Přepsání xxxx xxx nahrazeno nebo xxxxxxxxxxx bezpečnou xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx x xxxxxxxxxxx informaci.
4. Xxxx xxxxxx xxxx xxxxxx xxx xxxxxxxxx média, xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx, xxxxxxxx pro xxxxx s velkou xxxxxxxxx.
5. Xxxxxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1): xxxxx až xxxxxxxx.
x) Fyzická xxxxxxxxx xxxxxx informace
1. Xxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxx informace, xxxxxxxxx x xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxx informace (xxxxxxxxxxx, chemickým xx xxxxxxxx působením).
2. Xxx x xxxxxxxxxxxxxx metodu xxxxxxxxx xxx. Nosič xxxxxxxxx po xxxxxxx xxxxxxxxx xxxxx xxxxx xxxxxx xxx xxxxxxx xxxx. Původní xxxxxxxxx xxxx xxxxx xxxxxxx xxx xxx vynaložení xxxxxxx xxxxxxxx xxxxxxxxxx x xxxxx.
3. Xxxxxxxxxx xxxxxx xxxxxxxxx pro xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx z přílohy č. 1): xxxxxxx xx xxxxxxxx.
Xxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx z přílohy č. 1)
|
Xxxxxxxxx způsob xxxxxxxxx xxxxx xxxxxx důležitosti xxxxxx |
|||||
|
Xxxxx xxxxxxxxx |
1. Xxxxx |
2. Xxxxxxx |
3. Vysoká |
4. Kritická |
|
|
Informace xx xxxxxx xxxxxxxx xxxxxx (tištěné xxxxxxxxx, xxxxxxxx a podobně) |
Odstranění: Xxxxxxxx do xxxxxx. |
Xxxxxxxx: Xxxxxxxxx. |
Xxxxxxx likvidace: |
||
|
Xxxxxxx xxxxxxxxx: |
|||||
|
Mobilní xxxxxxxx (xxxxxxx xxxxxxxx, xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxx xxxxxxxx (xxxxxx, xxxxxx, modem x xxxxxxx) |
Xxxxxxxxxx: |
Přepsání: |
|||
|
Xxxxxxxxxxx xxxxxxxx (scanery, xxxxxxxx, xxx) |
|||||
|
Xxxxxxxxxx xxxxx (xxxxxxxxxx xxxxx, xxxxx, HDD [Xxxx Xxxx Drive]) |
Odstranění: |
Přepsání: |
|||
|
Xxxxxxx xxxxx (CD, XXX, XX-XXX, BLU-RAY) |
Fyzická xxxxxxxxx: |
||||
|
Xxxxxxx xxxxxxxxx. |
|||||
|
Xxxxxxxxxxxx xxxxx (xxxxx xxxxxx) |
|||||
|
Xxxxxxxxxxx x xxxxx |
Xxxxxxxxx xxxxxx xxxxxxxxx xxx xx měl xxx xxxxxxxx xxxxxxxx xxxxxxxxx. |
||||
|
Xxxxxxxxxx: |
Xxxxxxxx: |
Přepsání: |
Xxxxxxxx/xxxxxxx xxxxxxxxx: |
||
|
Alternativně v xxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xx možné xxxx xx ukončení xxxxxx xxxxxxx. |
|||||
Příloha x. 5 x xxxxxxxx x. 82/2018 Xx.
Xxxxx xxxxxxxxxxxx xxxxxxxx x bezpečnostní xxxxxxxxxxx
1. Xxxxxxxxxxxx politika
1.1. Xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) Cíle, xxxxxxxx x potřeby xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx x hranice xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxx xxxxxx x provozu xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla a xxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx nápravná opatření x xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
1.2. Xxxxxxxx řízení xxxxx
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x evidence xxxxxxxxxxxx xxxxxxxxxx aktiv xxxxxx určení jejich xxxxxxx,
2. hodnocení důležitosti xxxxxxxxxx aktiv x xxxxxxxx xxxxxxxxxx, integrity x xxxxxxxxxxx.
x) Xxxxxxxxxxxx, xxxxxxxxx a evidence xxxxxxxxxx xxxxx
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx aktiv xxxxxx xxxxxx jejich garanta,
2. xxxxxx vazeb mezi xxxxxxxxxx x xxxxxxxxxx xxxxxx.
x) Pravidla xxxxxxx xxxxxxxxxxxx xxxxxx aktiv
1. xxxxxxx rozlišování xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx xxxxx xxxxx xxxxxx aktiv,
3. xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx dat, informací, xxxxxxxxxx údajů a xxxxxx xxxxx.
1.3. Politika xxxxxxxxxxx xxxxxxxxxxx
x) Určení xxxxxxxxxxxxxx xxxx x xxxxxx práv x xxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx bezpečnostních xxxx.
x) Xxxxxxxxx xx oddělení xxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxx.
1.4. Xxxxxxxx xxxxxx xxxxxxxxxx
x) Pravidla x principy xxx xxxxx xxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxxxxxxxx.
x) Xxxxxxxxxxx smlouvy o xxxxxx xxxxxx a xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x x určení xxxxxxxx smluvní xxxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx xxxxxxxxxx.
1.5. Xxxxxxxx xxxxxxxxxxx lidských xxxxxx
x) Xxxxxxxx xxxxxxx bezpečnostního xxxxxxxx x xxxxxxx xxxx hodnocení
1. xxxxxxx x xxxxx xxxxxxx xxxxxxxxx,
2. způsoby x xxxxx xxxxxxx xxxxxxx xxxxx,
3. způsoby a xxxxx poučení xxxxxxxxxxxxxx,
4. xxxxxxx x xxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxxxxxxxxx xxxxxxx xxxxxx zaměstnanců.
c) Xxxxxxxx pro xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx ukončení xxxxxxxxxx xxxxxx xxxx xxxxx xxxxxxxx xxxxxx
1. vrácení xxxxxxxxx xxxxx a xxxxxxxx práv xxx xxxxxxxx xxxxxxxxxx xxxxxx,
2. xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxx xxxxxx.
1.6. Xxxxxxxx xxxxxx xxxxxxx x komunikací
a) Xxxxxxxxx x odpovědnosti xxxxxxx s bezpečným xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx a xxxxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxx x omezení xxx provádění xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx.
1.7. Xxxxxxxx xxxxxx přístupu
a) Princip xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (xxxx xx xxxx).
x) Xxxxxxxxx na xxxxxx xxxxxxxx.
x) Xxxxxxx cyklus xxxxxx xxxxxxxx.
x) Řízení xxxxxxxxxxxxxxx oprávnění.
e) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.
x) Pravidelné xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx uživatelů x přístupových xxxxxxxxx.
1.8. Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxx
x) Xxxxxxxx pro xxxxxxxx xxxxxxxxx x xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx hesla.
c) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx x xxxxxxxx xx xxxxxxxx.
x) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx xxxxxxx xx xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx ve xxxxxx x xxxxxxxx xxxxxxxxx.
1.9. Xxxxxxxx zálohování a xxxxxx a xxxxxxxxxxxx xxxxxxxx
x) Požadavky xx xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx x postupy xxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx dlouhodobého xxxxxxxx.
x) Xxxxxxxx bezpečného xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx obnovy.
f) Xxxxxxxx x postupy xxxxxxxxx xxxxxxxxxx a obnovy.
g) Xxxxxxxx xxxxxxxx k xxxxxxx, ukládaným xxxxxxxxxx.
1.10. Xxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxx informací
a) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx využívání xxxxxxxxxxxxxx ochrany.
1.11. Politika xxxxxx technických zranitelností
a) Xxxxxxxx pro omezení xxxxxxxxx xxxxxxxxxxxx vybavení.
b) Xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx vybavení.
d) Xxxxxxxx x postupy xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
1.12. Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx zařízení
a) Xxxxxxxx x postupy pro xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx zajištění xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx xxxxx nemá xx své správě.
1.13. Xxxxxxxx xxxxxxxx, vývoje x údržby
a) Xxxxxxxxxxxx xxxxxxxxx pro xxxxxxxx, xxxxx a xxxxxx.
x) Xxxxxx zranitelností.
c) Xxxxxxxx xxxxxxxxxxx x nabývání xxxxxxx programového xxxxxxxx x xxxxxxxxx
1. pravidla x xxxxxxx nasazení xxxxxxxxxxxx vybavení a xxxx evidence,
2. xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
1.14. Xxxxxxxx xxxxxxx xxxxxxxx xxxxx
x) Charakteristika xxxxxxxxxxxxxx osobních údajů.
b) Xxxxx xxxxxxxxx a xxxxxxxxxxx organizačních xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
x) Popis xxxxxxxxx x provedených technických xxxxxxxx pro xxxxxxx xxxxxxxx xxxxx.
1.15. Politika xxxxxxx bezpečnosti
a) Xxxxxxxx xxx xxxxxxx xxxxxxx.
x) Xxxxxxxx pro kontrolu xxxxxx osob.
c) Xxxxxxxx xxx xxxxxxx xxxxxxxx.
x) Xxxxxxx narušení xxxxxxx xxxxxxxxxxx.
1.16. Politika bezpečnosti xxxxxxxxxxx xxxx
x) Pravidla x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxx.
x) Xxxxxx práv x xxxxxxxxxx xx bezpečný xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx přístupů x xxxxx xxxx.
x) Xxxxxxxx x postupy xxx xxxxxxx vzdáleného xxxxxxxx x síti.
e) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx xxxx a xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.
1.17. Xxxxxxxx xxxxxxx xxxx xxxxxxxxx kódem
a) Xxxxxxxx x xxxxxxx pro xxxxxxx síťové xxxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxx x xxxxxxxxx datových xxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxxxxxx stanic.
1.18. Politika xxxxxxxx x xxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
a) Xxxxxxxx x postupy xxxxxxxx xxxxxxxx xxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Provozní xxxxxxx xxx xxxxxxxxxxxxx a xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx.
x) Xxxxxxxx a postupy xxx optimalizaci nastavení xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
1.19. Xxxxxxxx využití x xxxxxx xxxxxxxx pro xxxx x vyhodnocení xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
x) Xxxxxxxx x xxxxxxx xxx evidenci x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Pravidla a xxxxxxx pravidelné xxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx vlastností xxxxxxxx xxx xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
1.20. Xxxxxxxx bezpečného xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx
x) Xxxxxx ochrany x xxxxxxx xx typ x sílu kryptografického xxxxxxxxx.
x) Xxxxxxxx kryptografické xxxxxxx xxxxxxxxx
1. xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx,
2. xxx xxxxxxx xx xxxxxxx zařízení xxxx xxxxxxxxxxx technický xxxxx dat.
c) Xxxxxx xxxxxx xxxxx.
1.21. Xxxxxxxx xxxxxx xxxx
x) Xxxxxx x xxxxxxxx xxxxxx xxxxxxxxxx xxxx x xxxxx povinné xxxxx, xxxxxx procesech, informačních x xxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxxxxxxx xxxxxx xxxxxxxxxx xxxx.
x) Xxxxxx vedení xxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxx.
1.22. Xxxxxxxx xxxxxxxx kybernetických bezpečnostních xxxxxxxxx
x) Definování xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx, evidenci x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx systému xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx x xxx xxxxxxxxxx xxxxxxxxxxxx bezpečnosti.
e) Xxxxxxxx xxxxxxxxx.
1.23. Politika xxxxxx xxxxxxxxxx xxxxxxxx
x) Xxxxx x xxxxxxxxxx zúčastněných xxxx.
x) Cíle xxxxxx xxxxxxxxxx činností
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx služeb,
2. xxxx xxxxxxxx xxxxx,
3. xxx xxxxxxxx xxx.
x) Xxxxxxxx xxxxxx kontinuity xxxxxxxx xxx xxxxxxxx xxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxx xxxxx.
x) Určení x obsah xxxxxxxxxx xxxxx xxxxxxxxxx a xxxxxxxxxxx plánů.
f) Postupy xxx xxxxxxxxx xxxxxxxx xxxxxxxx Úřadem.
2. Xxxxx xxxxxxxxxxxx dokumentace
2.1. Xxxxxx x xxxxxx kybernetické xxxxxxxxxxx
x) Cíle xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti.
c) Xxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx xxxx xxxxxxxx x xxxx, xxxxx se auditu xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx.
x) Xxxxx x xxxxx, xxx xxxx prováděny xxxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Zjištění x xxxxxx kybernetické xxxxxxxxxxx.
x) Závěry auditu xxxxxxxxxxxx xxxxxxxxxxx.
2.2. Xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxxxx opatření x xxxxxxxxxxx přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx informací.
b) Xxxxxxxxxxxx xxxx a xxxxxxxxx, které mohou xxx xxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Zpětná vazba x výkonnosti xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x nápravná opatření,
2. xxxxxxxx xxxxxxxxxxxx x xxxxxx,
3. xxxxxxxx xxxxxx,
4. xxxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.
d) Xxxxxxxx hodnocení xxxxx x xxxx xxxxx xxxxxxxx xxxxx.
x) Xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxx.
x) Doporučení potřebných xxxxxxxxxx, xxxxxxxxx xxxxxxxx x xxxx xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
2.3. Xxxxxxxx xxx identifikaci x xxxxxxxxx xxxxx x xxx hodnocení xxxxx
x) Xxxxxx xxxxxxxx xxx hodnocení xxxxxxxxxx xxxxx
1. určení xxxxxxxx xxx hodnocení xxxxxx xxxxxxxxxx xxxxx,
2. určení xxxxxxxx xxx xxxxxxxxx xxxxxx integrity aktiv,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.
x) Xxxxxx stupnice xxx xxxxxxxxx xxxxx
1. xxxxxx stupnice pro xxxxxxxxx xxxxxx xxxxxx,
2. xxxxxx stupnice xxx xxxxxxxxx úrovní hrozby,
3. xxxxxx xxxxxxxx pro xxxxxxxxx úrovní zranitelnosti,
4. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx rizik.
c) Xxxxxx x xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxx.
2.4. Zpráva x xxxxxxxxx xxxxx a xxxxx
x) Přehled xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx a xxxxx xxxxxxxxxx aktiv,
2. xxxxxx garantů primárních xxxxx,
3. xxxxxxxxx xxxxxxxxxx xxxxx z xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxx podpůrných xxxxx
1. xxxxxxxxxxxx x xxxxx podpůrných xxxxx,
2. xxxxxx garantů xxxxxxxxxx xxxxx,
3. xxxxxx vazeb xxxx xxxxxxxxxx a xxxxxxxxxx xxxxxx.
x) Xxxxxxxxx xxxxx
1. xxxxxxxxx xxxxxxx xxxxxx xx xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx existujících xxxxxxxxxxxxx, xxxxxxxxx existujících opatření,
4. xxxxxxxxx úrovně xxxxxx, xxxxxxxxx xxxx xxxxxx x kritérii xxx xxxxxxxxxxxxxxxx rizik,
5. xxxxxx x schválení akceptovatelných xxxxx.
x) Xxxxxxxx xxxxx
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. xxxxx xxxxxxxx x jejich xxxxxxxxx.
2.5. Xxxxxxxxxx o aplikovatelnosti
a) Xxxxxxx vyloučených xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx včetně xxxxxxxxxx, xxxx xxxxxx aplikována.
b) Xxxxxxx xxxxxxxxxx bezpečnostních xxxxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxxx.
2.6. Xxxx xxxxxxxx xxxxx
x) Obsah x cíle vybraných xxxxxxxxxxxxxx opatření pro xxxxxxxx xxxxx xxxxxx xxxxx na xxxxxxxxx xxxxxx.
x) Potřebné xxxxxx xxx jednotlivá xxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx zavedení xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
x) Xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxx hodnocení xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro zvládání xxxxx.
2.7. Plán xxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxxxx, administrátorů x xxxx xxxxxxxxxxxxx bezpečnostní xxxx.
x) Xxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Přehledy, xxxxx xxxxxxxx xxxxxxx jednotlivých xxxxxxx x xxxxxx xxxx, které xxxxxxx xxxxxxxxxxx.
x) Xxxxx x xxxxxxx hodnocení xxxxx.
2.8. Xxxxxxxx xxxx
x) Evidence xxxxxxxxx xxxxx xxxxxxxxxx xxxx.
x) Záznamy o xxxxxxx konfigurace podpůrných xxxxx.
2.9. Xxxxxxx kontaktní xxxxx
Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx.
2.10. Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx a xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx
x) Xxxxxxx xxxxxx xxxxxxxxx právních xxxxxxxx.
x) Xxxxxxx vnitřních xxxxxxxx x jiných xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxx.
2.11. Xxxxx xxxxxxxxxx xxxxxxxxxxx
x) Topologie infrastruktury.
b) Xxxxxxx síťových xxxxxxxx.
Xxxxxxx x. 6 x vyhlášce x. 82/2018 Sb.
Výbor xxx xxxxxx kybernetické bezpečnosti x xxxxxxxxxxxx role
Tato xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxx pro xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx role xxxxxxx x §6 x 7.
Xxx. 1: Xxxxx xxx xxxxxx kybernetické xxxxxxxxxxx
|
Xxxx: |
Xxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxxx xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxx povinné xxxxx. |
|
Xxxxx xxxxxxxx: |
x) Xxxx výboru pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx xxxxxxx |
Xxx. 2: Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Odpovědnost xx xxxxxx systému xxxxxx xxxxxxxxxxx informací. |
|
Xxxxxxxx: |
x) Xxxxx řady XXX/XXX 27000 x xxxxxxx xxxxx x xxxxxxx xxxxxxxxxxx x XXX. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx. |
|
Xxxxxxxx x praxe: |
a) Xxxxxxx 3 xxxx xxxxx v xxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, nebo |
|
Relevantní xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Xxxxxxxx Xxxxxxx (CISM), Xxxxxxxxx xx Xxxx xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Security Xxxxxxxxxxxx (XXXXX), Xxxxxxx BI (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
x) Role xxxx xxxxxxxxxx s xxxxxx xxxxxxxxxxx za provoz xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x x xxxxxxx xxxxxxxxxx xx xxxxxxxx xxxxxx. |
Xxx. 3: Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxxxx kybernetické bezpečnosti |
|
Klíčové xxxxxxxx: |
x) Odpovědnost xx xxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x její navrhování. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 roky xxxxx v xxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxx |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Ethical Xxxxxx (XXX), XxxxXXX Xxxxxxxx +, Xxxxxxxxx Xxxxxxxxxxx Xxxxxxxx Manager (XXXX), Xxxxxxxxx in Xxxx xxx Information Systems Xxxxxxx (CRISC), Certified Xxxxxxxxxxx Xxxxxxx Xxxxxxxx Xxxxxxxxxxxx (XXXXX), Manažer XX (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx podmínky: |
Role xxxx xxxxxxxxxx x rolemi xxxxxxxxxxx xx provoz xxxxxxxxxxxx a komunikačních xxxxxxx. |
Xxx. 4: Auditor xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx činnosti: |
Provádění xxxxxx xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxx x xxxxx xxxxxx xxxxxxxxxx bezpečnosti. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxx xxxxxx informační xxxx xxxxxxxxxxxx bezpečnosti. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx x xxxxxxx xxxxxx informační xxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxx |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXX), Xxxxxxxxx Xxxxxxxx Xxxxxxx (CIA), Xxxxxxxxx xx Risk xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Lead Auditor Xxxxxxxxxxx Xxxxxxxx Xxxxxxxxxx Xxxxxx (Xxxx Auditor XXXX), Xxxxxxx BI (xxxxxxxxxxx schéma XXX). |
|
Xxxxx xxxxxxxx: |
x) Role xxxx xxxxxxxxxx x xxxxxx |
Tab. 5: Xxxxxx xxxxxx
|
Xxxx: |
Xxxxxx xxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxxxxx xxxxxxx, xxxxxxx x xxxxxxxxxxx xxxxxx. |
|
Xxxxxxxx: |
x) Xxxxx xxxxxxx xxxxxx, xxxxx xx xxxxxxxx. |
* Xxxxxxxxxxx může xxx x xxxx xxx xxxxxxx, jestliže xxxxxxxxxxx xxxxxxxxxxx odbornou xxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx XXX 17 024.
Xxxxxxx x. 7 x xxxxxxxx x. 82/2018 Sb.
Řízení dodavatelů - xxxxxxxxxxxx xxxxxxxx xxx xxxxxxx vztahy
Obsah xxxxxxx xxxxxxxxx x xxxxxxxxxx dodavateli:
a) xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx (x xxxxxxx důvěrnosti, xxxxxxxxxxx a xxxxxxxxx),
x) xxxxxxxxxx x xxxxxxxxx xxxxxx xxxx,
x) ustanovení x autorství programového xxxx, xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxx x xxxxxx xxxxxxxxxx (xxxxxxxx xxxxxxxxxxxx xxxxxx),
x) ustanovení xxxxxxxxxx xxxxxxxx dodavatelů, xxxxxxx musí xxx xxxxxxxxx, xx xxxxxxxxxxxxx xx zaváží xxxxxxxxx x xxxxx xxxxxxx xxxxxxxx xxxx povinnou xxxxxx a dodavatelem x xxxxxxx x xxxxxxx s xxxxxxxxx xxxxxxx xxxxx na xxxxxxxxxx,
x) xxxxxxxxxx o xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx povinné xxxxx xxxx ustanovení x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxxxx x xxxxxx xxxx,
x) ustanovení x souladu xxxxx x xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx osobu x
1. xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxx,
2. xxxxxxx xxxxxx rizik na xxxxxx xxxxxxxxxx x x xxxxxxxxxx rizicích xxxxxxxxxxxxx x xxxxxxx xxxxxxx,
3. xxxxxxxx xxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxx xxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxx xxxxx xxxxxxxxxxx xxxxxxxxx xxxxx, popřípadě xxxxx xxxxxxxxx xxxxxxxx x xxxxxx aktivy, xxxxxxxxxxx xxxxx xxxxxxxxxxx x xxxxxx xxxxx smlouvy xx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx při xxxxxxxx xxxxxxx (xxxxxxxxx xxxxxxxxx xxxxxx xxx ukončení xxxxxxxxxx, xxx xx xxxxx xxxxx xxxxxxxx xxxxxx xxxx nasazením xxxxxx xxxxxx, xxxxxxx xxx a xxxxxxx),
x) xxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxx činností x xxxxxxxxxxx s xxxxxxxxxx (například xxxxxxxx xxxxxxxxxx xx xxxxxxxxxxx xxxxx, xxxxx xxxxxxxxxx xxx aktivaci řízení xxxxxxxxxx xxxxxxxx),
x) xxxxxxxxxxx xxxxxxxx xxx formát xxxxxxx xxx, provozních xxxxx a informací xx xxxxxxxx xxxxxxxx,
x) xxxxxxxx pro likvidaci xxx,
x) ustanovení o xxxxx jednostranně xxxxxxxxx xx smlouvy x xxxxxxx xxxxxxxx xxxxx xxxxxxxx nad xxxxxxxxxxx xxxx xxxxx kontroly xxx xxxxxxxxx aktivy xxxxxxxxxxx xxxxxxxxxxx k xxxxxx xxxxx xxxxxxx x
x) xxxxxxxxxx x xxxxxxxx xx porušení xxxxxxxxxx.
Xxxxxxx č. 8 x vyhlášce č. 82/2018 Xx.
Xxxx Xxxxxxxxx xxx hlášení xxxxxxxxxxx xxxxx
Xxxxxxxxx
Xxxxxx xxxxxxx x. 82/2018 Xx. xxxxx xxxxxxxxx xxxx 28.5.2018.
Xx xxx xxxxxxxx xxxxxx xxxxxxx xxxxx měněn xx xxxxxxxxx.
Xxxxxx xxxxxxx x. 82/2018 Xx. xxx zrušen xxxxxxx xxxxxxxxx č. 264/2025 Sb. x xxxxxxxxx od 1.11.2025.
Xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxx předpisů x xxxxxxxx xxxx xxxxxxxxxxxxx, pokud xx xxxx xxxxxx derogační xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
1) Xxxxxxxx Xxxxxxxxxx xxxxxxxxxx a Rady (XX) 2016/1148 xx xxx 6. července 2016 x xxxxxxxxxx x zajištění xxxxxx xxxxxxxx úrovně xxxxxxxxxxx xxxx x informačních xxxxxxx x Unii.