Právní předpis byl sestaven k datu 28.04.2024.
Zobrazené znění právního předpisu je účinné od 28.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
82/2018 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení aktiv §4
Řízení rizik §5
Organizační bezpečnost §6
Bezpečnostní role §7
Řízení dodavatelů §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení změn §11
Řízení přístupu §12
Akvizice, vývoj a údržba §13
Zvládání kybernetických bezpečnostních událostí a incidentů §14
Řízení kontinuity činností §15
Audit kybernetické bezpečnosti §16
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §17
Bezpečnost komunikačních sítí §18
Správa a ověřování identit §19
Řízení přístupových oprávnění §20
Ochrana před škodlivým kódem §21
Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů §22
Detekce kybernetických bezpečnostních událostí §23
Sběr a vyhodnocování kybernetických bezpečnostních událostí §24
Aplikační bezpečnost §25
Kryptografické prostředky §26
Zajišťování úrovně dostupnosti informací §27
Průmyslové, řídicí a obdobné specifické systémy §28
Digitální služby §29
HLAVA III - BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní politika a bezpečnostní dokumentace §30
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Kategorizace kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ZÁVĚREČNÁ USTANOVENÍ
Přechodná ustanovení §35
Zrušovací ustanovení §36
Účinnost §37
Příloha č. 1 - Hodnocení aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Zranitelnosti a hrozby
Příloha č. 4 - Likvidace dat
Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace
Příloha č. 6 - Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role
Příloha č. 7 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy
Příloha č. 8 - Vzor Formuláře pro hlášení kontaktních údajů
82
VYHLÁŠKA
ze dne 21. xxxxxx 2018
x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxx podání x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx dat (xxxxxxxx o xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx xxxx xxx xxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxx §28 odst. 2 xxxx. a) xx x) a x) xxxxxx č. 181/2014 Xx., o xxxxxxxxxxxx xxxxxxxxxxx x o xxxxx xxxxxxxxxxxxx zákonů (xxxxx o xxxxxxxxxxxx xxxxxxxxxxx), xx xxxxx xxxxxx x. 104/2017 Xx. x xxxxxx x. 205/2017 Xx., (xxxx jen "xxxxx"):
ČÁST XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx Evropské xxxx1) x xxx xxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxx informační xxxxxx, xxxxxxxxxx systém xxxxxxxx xxxxxx anebo xxxxxxxxxx systém nebo xxx elektronických xxxxxxxxxx, xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, (dále xxx "xxxxxxxxxx x xxxxxxxxxxx systém") xxxxxxxx
x) xxxxx a xxxxxxxxx xxxxxxxxxxxx dokumentace,
b) xxxxx x xxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxx, kategorie x xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx oznámení x xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx,
x) vzor xxxxxxxx xxxxxxxxxxx xxxxx a xxxx formu x
x) xxxxxx xxxxxxxxx xxx, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx kopií.
§2
Xxxxxxxx xxxxx
Xxx účely xxxx vyhlášky se xxxxxx
x) administrátorem osoba xxxxxxxxxxx xxxxxx, xxxxxx, xxxxxxx, xxxxxx a xxxxxxxxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxx xxxxxx, xxxxx xx xxxxxxxxxx xxx xxxxx xxxx xxxxx, xxxxx xxxx xxxxxxx xxxxxx bezpečnostní xxxxxxxx xxxxx xxxxxx, (xxxx xxx "xxxxxxx xxxxx") x není xxxxx xxx xxxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) bezpečnostní xxxxxxxxx xxxxxx zásad x xxxxxxxx, xxxxx určují xxxxxx xxxxxxxxx ochrany xxxxx,
x) xxxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxxx, xxxxxxx x xxxxxxxxxxx xxxxx,
x) hrozbou xxxxxxxxxxx xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxx xxxxx,
x) xxxxxxxxx aktivem xxxxxxxxx xxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx se xx provozu, xxxxxxx, xxxxxx xxxx xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx a xxxxxxxxxxx systém,
h) xxxxxxx xxxxxxx, že xxxxxx xxxxxx využije zranitelnosti xxxxxx a xxxxxxx xxxxx,
x) xxxxxxx rizik xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx, výběr x xxxxxxxx xxxxxxxx xx xxxxxxxx rizik, sdílení xxxxxxxxx x xxxxxx x xxxxxxxxx x xxxxxxxxxxx xxxxx,
x) systémem xxxxxx bezpečnosti informací xxxx xxxxxxx xxxxxx xxxxxxx xxxxx založená xx xxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, která xxxxxxx způsob xxxxxxxx, xxxxxxxx, provozování, xxxxxxxxxxxx, xxxxxxxxxxx, udržování a xxxxxxxxxx bezpečnosti xxxxxxxxx x xxx,
x) xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxxxxx prostředky x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx x objekty, xx kterých jsou xxxx systémy umístěny, xxxxxxx xxxxxxx xxxx xxx dopad xx xxxxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxx orgán xxxxxxx xxxx, které využívají xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxx xxxx skupina xxxx, xxxxx xxxx xxxxxxxx osobu, nebo xxxxxxxxxx xxxxx povinné xxxxx,
x) významným xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx (xxxx xxx "xxxxxxxxxxxx") x xxxxx, xxx s xxxxxxxx xxxxxx xxxxxxxx xx právního vztahu, xxxxx xx xxxxxxxx x hlediska xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxx xxxxx, xxxxx xx xxxx xxxx mít xxxx na xxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxx riziko,
p) xxxxxxxxxxxxx xxxxx xxxxx xxxxxx xxxx xxxxx xxxxx xxxxxxxxxxxxxx xxxxxxxx, které xxxx xxx zneužito xxxxxx nebo více xxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx x rámci xxxxxxx xxxxxx bezpečnosti xxxxxxxxx
x) xxxxxxx x ohledem xx xxxxxxxxx dotčených xxxxx x organizační xxxxxxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xx kterém xxxx xxxxxxxxxxx části x xxxxxx, jichž se xxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx,
x) xxxxxxx xxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxx xxxxxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxxxxx xxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx xxxxxx x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx bezpečnostní xxxxxxxx,
x) xxxx rizika xxxxx §5,
x) vytvoří x schválí xxxxxxxxxxxx xxxxxxxx v oblasti xxxxxxx řízení bezpečnosti xxxxxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxx, cíle, xxxxxxxxxxxx xxxxxxx, xxxxx x povinnosti xx xxxxxx x řízení xxxxxxxxxxx xxxxxxxxx, x xx základě bezpečnostních xxxxxx a xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx oblastech xxxxx §30 a zavede xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx a komunikačního xxxxxxx (dále xxx "xxxxx xxxxxxxxxxxx xxxxxxxxxxx") xxxxx §16,
x) zajistí xxxxxxxxxx vyhodnocování xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací xxxxxx revize hodnocení xxxxx, xxxxxxxxx výsledků xxxxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx a xxxxxx xxxxxxxxxxxxxx bezpečnostních incidentů xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxx §11 řídí xxxxxxxx změny, xxxxx xxxxx xx rozsahu xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) aktualizuje xxxxxx xxxxxx bezpečnosti xxxxxxxxx x xxxxxxxxxx dokumentaci xx xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti, xxxxxxxx vyhodnocení xxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx x v xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxxx x
x) xxxx xxxxxx x xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací x xxxxxxxxxxx xxxxxxxx spojené xx xxxxxxxx xxxxxx xxxxxxxxxxx informací a xxxxxxx xxxxx.
§4
Xxxxxx xxxxx
(1) Povinná xxxxx v xxxxx xxxxxx xxxxx
x) stanoví xxxxxxxx pro xxxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxx xxx xxxxxxxxx aktiv xxxxxxx x rozsahu xxxxxxxx v příloze č. 1 x této xxxxxxxx,
x) xxxxxxxxxxxx a xxxxxxx xxxxxx,
x) xxxx a xxxxxxx garanty xxxxx,
x) xxxxxxx a eviduje xxxxxxxx xxxxxx x xxxxxxxx důvěrnosti, integrity x dostupnosti x xxxxxx xx xx xxxxxxxxxxxx úrovní xxxxx xxxxxxx b),
f) xxxx x eviduje xxxxx xxxx primárními x xxxxxxxxxx aktivy x xxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxx přitom zejména xxxxxxxx xxxxxxxxxx podle xxxxxxx x),
x) na xxxxxxx xxxxxxxxx xxxxx xxxxxxxxx a xxxxxx xxxxxxxx xxxxxxx xxxxx xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx aktiv,
i) xxxxxxx xxxxxxxxx xxxxxxx používání xxxxx a xxxxxxxx xxx xxxxxxxxxx x xxxxxx s ohledem xx úroveň xxxxx, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx přenášení xxxxx, x
x) určí xxxxxx likvidace dat, xxxxxxxxxx xxxxx, informací x jejich kopií xxxx likvidaci technických xxxxxx xxx x xxxxxxx na xxxxxx xxxxx x xxxxxxx x přílohou č. 4 x xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx xx xxxxx xxxxxxxx xxxxxxx
x) rozsah x důležitost osobních xxxxx, xxxxxxxxxx xxxxxxxxx xxxxxxxx údajů xxxx xxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxx právních xxxxxxxxxx xxxx jiných závazků,
c) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxx,
x) poškození xxxxxxxxx, xxxxxxxxxx xxxx ekonomických xxxxx x xxxxx xxxxxxxx ztráty,
e) dopady xx xxxxxxxxxxx důležitých xxxxxx,
x) rozsah xxxxxxxx xxxxxxx xxxxxxxx,
x) dopady xx zachování xxxxxxx xxxxx nebo ochranu xxxxx pověsti,
h) xxxxxx xx xxxxxxxxxx x xxxxxx xxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx x
x) xxxxxx xx xxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx systému.
§5
Řízení xxxxx
(1) Xxxxxxx xxxxx x rámci xxxxxx rizik x xxxxxxxxxx na §4
a) xxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx, xxxxxx xxxxxxxxx xxxxxxxx pro xxxxxxxxxxxxxxxx xxxxx,
x) x xxxxxxx na xxxxxx xxxxxxxxxxxx xxxxxxxxxx hrozby x xxxxxxxxxxxxx; xxxxxx xxxxxxx zejména xxxxxxxxx xxxxxx a xxxxxxxxxxxxx xxxxxxxxx x příloze č. 3 x xxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 2 x xxx xxxxxxxxxx xxxxxxx,
x) xxx xxxxxxxxx xxxxx xxxxxxxx xxxxxxxxxx xxxxxx a xxxxxxxxxxxxx x posoudí xxxxx xxxxxx xx xxxxxx; xxxx rizika xxxxxxx xxxxxxx x rozsahu přílohy č. 2 x xxxx xxxxxxxx,
x) zpracuje xxxxxx x xxxxxxxxx xxxxx,
x) xxxxxxxx na základě xxxxxxxxxxxxxx potřeb x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx obsahuje xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx vyhláškou, která
1. xxxxxx aplikována, včetně xxxxxxxxxx,
2. xxxx xxxxxxxxxx, xxxxxx způsobu xxxxxx,
x) xxxxxxxx x zavede xxxx xxxxxxxx rizik, xxxxx xxxxxxxx cíle x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxx, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx opatření pro xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, technické, xxxxxx x informační xxxxxx, xxxxxx jejich zavedení, xxxxx xxxxx xxxx xxxxxx x příslušnými xxxxxxxxxxxxxx opatřeními a xxxxxx realizace bezpečnostních xxxxxxxx,
x) xxx xxxxxxxxx xxxxx x x xxxxx xxxxxxxx rizik xxxxxxxx
1. xxxxxxxx xxxxx,
2. xxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
3. xxxxxxxx podle §11 xxxxxx x
4. kybernetické xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxx řešených, x
x) x xxxxxxx x xxxxxx zvládání xxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) a x) xxxxxx xxxxxxx xxxxxxxxx rizik xxxxxxx xxxxxx xxxxx a xxxxxxx xxxxx xxxxxxx x §3 písm. x) xxxxxx alespoň xxxxxx za xxx xxxx.
(3) Xxxxxx xxxxx xxxx být zajištěno x xxxxxx xxxxxxx, xxx xxx xx xxxxxxxxx x xxxxxxxx 1 xxxx. x), xxxxx povinná xxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx xxxxxxx stejnou xxxx xxxxx úroveň xxxxxxx řízení xxxxx.
§6
Organizační bezpečnost
(1) Xxxxxxx xxxxx s xxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxx xxxxxx bezpečnosti informací xxxxx §3 xxxxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxxxx xxxxxxx osoby,
b) xxxxxxx xxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx do xxxxxxx povinné xxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx pro xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxx řízení xxxxxxxxxxx informací x xxxxxxx dosažení xxxxx x jeho požadavky xx xxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) vede xxxxxxxxxxx k xxxxxxxxx xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx informací x xxxxxxxxx je xxx xxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxx zastávající xxxxxxxxxxxx xxxx při xxxxxxxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxx xxxxxx xxxxxxxxxxxx,
x) xxxxxxx stanovení xxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx a xxxx, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxxx, xxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx a xxxx zastávajících xxxxxxxxxxxx xxxx,
x) pro xxxxx xxxxxxxxxxx xxxxxxxxxxxx role xxxxxxx xxxxxxxxx xxxxxxxxx x zdroje xxxxxx xxxxxxxxxxxx prostředků x xxxxxxxxxx xxxxxx rolí x xxxxxx xxxxxxxxxxxxx xxxxx a
l) xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx, xxxxxx x xxxxxxx xxxxxxxxx se xxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx x xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx složení xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxxxxxxxxxx xxxx a jejich xxxxx x xxxxxxxxxx xxxxxxxxxxx xx xxxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
(3) Xxxxxxx xxxxx uvedená x §3 písm. x), x) x x) zákona xxxx xxxxx, která xxxx xxxxxxxx bezpečnostní xxxx
x) xxxxxxxx kybernetické bezpečnosti,
b) xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxx x
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxx osoba uvedená x §3 xxxx. x) zákona určí xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxx. Xxxxxxx bezpečnostní xxxx xxxxx odstavce 3 xxxx xxxxxxxxx xxxxxxxx k rozsahu x xxxxxxxx systému xxxxxx xxxxxxxxxxx informací.
(5) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), d) x x) xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx x xxxxxxxx 3 xxxx. a) x x).
(6) Xxxxxxx xxxxx uvedená v §3 xxxx. x) xxxxxx zajistí zastupitelnost xxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxxxx bezpečnosti.
(7) Xxxxx xxx xxxxxx kybernetické xxxxxxxxxxx je tvořen xxxxxxx s příslušnými xxxxxxxxxxx x xxxxxxxx xxxxxxxxxxxx pro xxxxxxx xxxxxx a xxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx a osobami xxxxxxxx xx xxxxxxxxxxxx xx řízení a xxxxxxxxxx činností xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx, xxxxx členem musí xxx alespoň xxxxx xxxxxxxx vrcholového xxxxxx xxxx xxx xxxxxxxx xxxxx x manažer xxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxx xxxxx u výboru xxx xxxxxx kybernetické xxxxxxxxxxx přihlédne x xxxxxxxxxxx uvedeným v příloze č. 6 x této xxxxxxxx.
§7
Xxxxxxxxxxxx role
(1) Manažer xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxxxxxxxxxx xxxx xxxxxxxxx xx systém xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxx xxxx xxxx být xxxxxxxx xxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxx způsobilost xxxxx x řízením kybernetické xxxxxxxxxxx xxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx
1. xx xxxx xxxxxxx xxx xxx, xxxx
2. xx dobu xxxxxxx xxxx, xxxxx absolvovala xxxxxxx xx xxxxxx xxxxx,
x) xxxxxxxx za xxxxxxxxxx xxxxxxxxxxx vrcholového xxxxxx o
1. činnostech xxxxxxxxxxxxx z xxxxxxx xxxx xxxxxxxxxxxx x
2. xxxxx xxxxxxx řízení xxxxxxxxxxx informací x
x) xxxxx xxx pověřen xxxxxxx xxxx xxxxxxxxxxx xx provoz xxxxxxxxxxxx x komunikačního systému.
(2) Xxxxxxxxx xxxxxxxxxxxx bezpečnosti xx bezpečnostní role xxxxxxxxx xx zajištění xxxxxx implementace xxxxxxxxxxxxxx xxxxxxxx xxx, xxx xxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx, xxxxxxx xxxxxxx xxxx role xxxx xxx xxxxxxxx xxxxx, která xx xxx xxxx xxxxxxx xxxxxxxxx x prokáže xxxxxxxx xxxxxxxxxxx xxxxx x navrhováním xxxxxxxxxxxx xxxxxxxxxxxxxx opatření a xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xx dobu xxxxxxx xxx let, nebo
b) xx xxxx jednoho xxxx, xxxxx absolvovala xxxxxxx xx vysoké xxxxx.
(3) Garant aktiva xx xxxxxxxxxxxx xxxx xxxxxxxxx xx xxxxxxxxx xxxxxxx, použití x xxxxxxxxxx xxxxxx.
(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxxxxxxxxxx xxxx xxxxxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx xxxx role xxxx xxx xxxxxxxx xxxxx, xxxxx xx xxx tuto xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx praxí x prováděním xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxx xxxxxxx řízení xxxxxxxxxxx informací
1. xx xxxx nejméně xxx xxx, xxxx
2. xx xxxx xxxxxxx xxxx, xxxxx xxxxxxxxxxx studium xx vysoké xxxxx,
x) xxxxxxxx, xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx nestranné, x
x) xxxxx xxx pověřen xxxxxxx jiných xxxxxxxxxxxxxx xxxx.
(5) Xxxxxxx xxxxx xxx určování xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx v příloze č. 6 x xxxx xxxxxxxx.
§8
Xxxxxx dodavatelů
(1) Xxxxxxx xxxxx
x) xxxxxxx pravidla xxx xxxxxxxxxx, xxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací,
b) xxxx evidenci svých xxxxxxxxxx xxxxxxxxxx,
x) prokazatelně xxxxxxx xxxxxxxxx své xxxxxxxx dodavatele o xxxxxx evidenci xxxxx xxxxxxx x),
x) xxxxxxxxx xxx xxxxxxxxxx x xxxxxxxx xxxxx písmene x) x xxxxxxxx xxxxxx těchto pravidel,
e) xxxx xxxxxx spojená x dodavateli,
f) x xxxxxxxxxxx s xxxxxxx xxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx zajistí, xxx xxxxxxx uzavírané x významnými xxxxxxxxxx xxxxxxxxxx relevantní oblasti xxxxxxx x příloze č. 7 x této vyhlášce, x
x) xxxxxxxxxx xxxxxxxxxxx xxxxxx smluv x xxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Povinná xxxxx u významných xxxxxxxxxx xxxx
x) v xxxxx xxxxxxxxxx xxxxxx x xxxx uzavřením xxxxxxx provádí hodnocení xxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxxx výběrového xxxxxx xxxxxxxxx xxxxx přílohy č. 2 x této xxxxxxxx,
x) v rámci xxxxxxxxxxx xxxxxxxxx vztahů xxxxxxx xxxxxxx x xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx x určí xxxxx vzájemné xxxxxxx xxxxxxxxxxxx xx xxxxxxxx x xxxxxxxx bezpečnostních xxxxxxxx,
x) xxxxxxx pravidelné xxxxxxxxx xxxxx x xxxxxxxxxxx kontrolu xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxx plnění xxxxxx xxxxxxxxx zdrojů nebo xxxxxx třetí xxxxxx x
x) x xxxxxx xx xxxxxx x xxxxxxxx nedostatky zajistí xxxxxx xxxxxx.
(3) Xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 1 xxxx. x) jsou
a) identifikace xxxxxxx xxxx xxxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
c) xxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxxx, že xxxxxxxxx xx xxx xxxxxxx významným dodavatelem, x xxxxxxxxx xxxx x tom, že xxxxxxxx dodavatel je xxxxxxx xxxxxxxxxxxxxx, x
x) xxxxx xxxxxxxx xxxxx xxxxxxxx 1 xxxx. x).
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona, xxxxx xx xxxxxxxxxxxxxx x xxxx prokazatelně xxxxxxxxxxx xxxxx xxxxxxxx 1 xxxx. c), xxxxx xxxxxxxxx údaje formou xxxxxxxx x §34.
§9
Xxxxxxxxxx xxxxxxxx zdrojů
(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx
x) x xxxxxxx na stav x xxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx xxxxxxx xxxx xxxxxxx xxxxxxxxxxxxxx povědomí, xxxxx xxxxx je xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx povědomí x xxxxx xxxxxxxx xxxxx, obsah x xxxxxx
1. xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxx x xxxxxx xxxxxxxxxxxx a x xxxxxxxxxxxx xxxxxxxx x
2. xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxx školení xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) xxxx osoby xxxxxxxxx xx xxxxxxxxx jednotlivých xxxxxxxx, které xxxx x xxxxx xxxxxxx,
x) x xxxxxxx x xxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx xxxxxxx poučení xxxxxxxxx, administrátorů, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role x xxxxxxxxxx o xxxxxx povinnostech x x xxxxxxxxxxxx politice xxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) pro xxxxx zastávající xxxxxxxxxxxx xxxx x souladu x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx zajistí xxxxxxxxxx xxxxxxx xxxxxxx, xxxxxxx xxxxxxx z xxxxxxxxxx xxxxxx povinné xxxxx x xxxxxxx xxxxxxxxxxxx bezpečnosti,
e) v xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx školení x ověřování xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx x xxxxxxx x xxxxxx xxxxxxxx xxxxxx,
x) zajistí xxxxxxxx dodržování xxxxxxxxxxxx xxxxxxxx xx strany xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) v případě xxxxxxxx xxxxxxxxx xxxxxx x administrátory a xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxx xxxxxxx xxxxxxxxxxxx,
x) xxxxxxx účinnost xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
x) xxxx xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, administrátorů x osob xxxxxxxxxxxxx xxxxxxxxxxxx role.
(2) Xxxxxxx xxxxx xxxx x xxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx, které xxxxxxxx předmět xxxxxxx x seznam osob, xxxxx xxxxxxx xxxxxxxxxxx.
§10
Xxxxxx xxxxxxx x xxxxxxxxxx
(1) Xxxxxxx osoba x rámci xxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxxx xxxxxxxx provoz xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx, xxxxx obsahují xxxxxxx
x) xxxxx x xxxxxxxxxx administrátorů, uživatelů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role,
b) xxxxxxx xxx xxxxxxxx x xxxxxxxx xxxxx systému, xxx xxxxxxx xxxx xxxxxxxx chodu xxxxxxx xx xxxxxxx a xxx ošetření chybových xxxxx xxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxx xxxxxxx xxxxxxxx x xxxxxxxx o xxxxxx xxxxxxxxxx,
x) xxxxxxxx x xxxxxxx xxx xxxxxxx před xxxxxxxxx xxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx,
x) spojení na xxxxxxxxx xxxxx, které xxxx pověřeny xxxxxxx xxxxxxxxx x technické xxxxxxx,
x) xxxxxxx xxxxxx x schvalování xxxxxxxxxx xxxx,
x) xxxxxxx pro xxxxxxxxx, xxxxxxxxx x xxxxxx xxxxxxxx lidských x xxxxxxxxxxx xxxxxx,
x) xxxxxxxx a postupy xxx xxxxxxx xxxxxxxxx x xxx x xxxxxxx celého životního xxxxx,
x) xxxxxxxx a xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx,
x) provádění xxxxxxxxxxxx zálohování x xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxx a
l) xxxxxxxx x xxxxxxx xxx xxxxxxxxx bezpečnosti xxxxxxxx xxxxxx.
(2) Xxxxxxx osoba x xxxxx xxxxxx xxxxxxx x komunikací xxxxxxxx pravidla x xxxxxxx stanovené xxxxx xxxxxxxx 1 a xxxx xxxxxxxx x xxxxxxx aktualizuje x xxxxxxxxxxx s prováděnými xxxx plánovanými změnami.
(3) Xxxxxxx osoba zajistí xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxx.
§11
Řízení xxxx
(1) Xxxxxxx xxxxx v xxxxx xxxxxx xxxx x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx
x) xxxxxxxxxxx možné xxxxxx xxxx a
b) xxxxxx xxxxxxxx xxxxx.
(2) Xxxxxxx osoba x xxxxxxxxxx xxxx
x) xxxxxxxxxxx xxxxxx xxxxxx,
x) provádí xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxx xx xxxxxx xxxxxxx všech nepříznivých xxxxxx xxxxxxxxx x xxxxxxxxxx změnami,
d) aktualizuje xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxx xxxxxxxxx x
x) xxxxxxx možnost navrácení xx xxxxxxxxx xxxxx.
(3) Xxxxxxx xxxxx uvedená x §3 xxxx. x), x) a x) xxxxxx xx xxxxxxx výsledků analýzy xxxxx podle xxxxxxxx 2 xxxx. x) xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx testování nebo xxxxxxxxx zranitelností; xxxxx xxxxxxxx x provedení xxxxxxxxxxxx xxxxxxxxx nebo xxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx xxxxx §25 xxxx. 1 a xxxxxxx xx zjištěné xxxxxxxxxx.
(4) Xxxxxxx osoba xxxxxxx x §3 písm. x) xxxxxx se xxxx xxxxxxxxx xxxxx xxxxxxxx 3 přiměřeně.
§12
Xxxxxx xxxxxxxx
(1) Xxxxxxx xxxxx na xxxxxxx xxxxxxxxxx a xxxxxxxxxxxxxx xxxxxx řídí přístup x informačnímu x xxxxxxxxxxxxx systému x xxxxxxx xxxxxxxx, která xxxxxx k xxxxxxxxx xxxxxxx xxxxx, xxxxx xxxx používány xxx xxxxxxxxxx xxxxx §19 x 20, x xxxxx xxxxx xx xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(2) Xxxxxxx xxxxx dále v xxxxx řízení xxxxxxxx x xxxxxxxxxxxx a xxxxxxxxxxxxx systému
a) xxxx xxxxxxx na základě xxxxxx a rolí,
b) xxxxxxx každému xxxxxxxxx x xxxxxxxxxxxxxxxx přistupujícímu x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxx x xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx,
x) xxxx identifikátory, xxxxxxxxxx xxxxx x xxxxxxxxx xxxxxxxx a xxxxxxxxxxx xxxx,
x) zavádí bezpečnostní xxxxxxxx xxx řízení xxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx systému,
e) zavádí xxxxxxxxxxxx opatření xxxxxxxx xxx bezpečné xxxxxxxxx xxxxxxxxx zařízení x xxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx xxxxx xxxx xx xxx xxxxxx,
x) omezí přidělování xxxxxxxxxxxxxxx xxxxxxxxx na xxxxxx xxxxxxxx xxxxxx x xxxxxx xxxxxx xxxxx,
x) xxxxx a xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx, které xxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx xxxx aplikační xxxxxxxx,
x) xxxxxxxxx a xxxxxxx přístupová oprávnění x xxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx,
x) xxxxxxx pravidelné xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx rozdělení xx xxxxxxxxxxxx skupin x rolí,
j) xxxxxxx xxxxxxx xxx xxxxxx x xxxxxxxxx identity xxxxx §19 a xxxxxxx pro xxxxxx xxxxxxxxxxxx oprávnění xxxxx §20,
x) xxxxxxxxx, xxx xxxxxxxxx xxx používání xxxxxxxxxx autentizačních xxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxxx oprávnění xxx xxxxx xxxxxx xxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) xxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxxx oprávnění xxx ukončení xxxx xxxxx xxxxxxxxx vztahu x
x) xxxxxxxxxxx xxxxxxxxxxx x odebírání xxxxxxxxxxxx xxxxxxxxx.
§13
Xxxxxxxx, xxxxx a xxxxxx
Xxxxxxx xxxxx x xxxxxxxxxxx s xxxxxxxxxx xxxxxxxx, xxxxxxx x xxxxxxx informačního a xxxxxxxxxxxxx xxxxxxx
x) xxxx xxxxxx xxxxx §5,
x) xxxx xxxxxxxx xxxxx xxxxx §11,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxx akvizice, xxxxxx x xxxxxx,
x) zajistí xxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx prostředí x xxxxxxx xxxxxxx používaných xxxxxxxxxxx xxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxx před jejich xxxxxxxxx xx provozu x
x) plní xxxxxxxxx xxxxx §19 xxxx. 3, je-li xxxxx xxxxxxxxx akvizice xxxx xxxxxx xxxxxxx xxx xxxxxx a xxxxxxxxx xxxxxxxx.
§14
Xxxxxxxx kybernetických bezpečnostních xxxxxxxx x xxxxxxxxx
(1) Xxxxxxx osoba x xxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí a xxxxxxxxx
x) zavede xxxxxx xxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx a stanoví xxxxxxx xxx
1. detekci x vyhodnocování kybernetických xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx a
2. koordinaci x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx x xxxxxxxx xxxxxxx xxx identifikaci, xxxx, xxxxxxx a uchování xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu,
d) xxxxxxx xxxxxxx kybernetických bezpečnostních xxxxxxxx,
x) při xxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí xx xxxx xxxx §22 x 23,
x) xxxxxxx, xx xxxxxxxxx, xxxxxxxxxxxxxx, osoby zastávající xxxxxxxxxxxx xxxx, xxxxx xxxxxxxxxxx a dodavatelé xxxxx xxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému x xxxxxxxxx na xxxxxxxxx xxxxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxx xxxxxx xxxx xxx rozhodnuto, zda xxxx xxx xxxxxxxxxxxxx xxxx kybernetické bezpečnostní xxxxxxxxx xxxxx §31,
x) xxxxxxx zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xxxxx xxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx xxx odvrácení x zmírnění xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu,
j) xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §32,
k) xxxx xxxxxxx o xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx x x xxxxxx xxxxxxxx,
x) xxxxxxxx a xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu x
x) xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního incidentu x xx xxxxxxx xxxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x zamezení xxxxxxxxx xxxxxxxx kybernetického xxxxxxxxxxxxxx incidentu.
(2) Xxxxxxx xxxxx xxxxxxx x §3 písm. x), x) a x) xxxxxx xxxx při xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx používá xxxxxxx xxxxx §24.
§15
Řízení kontinuity xxxxxxxx
Xxxxxxx xxxxx x xxxxx xxxxxx xxxxxxxxxx xxxxxxxx
x) xxxxxxx práva x xxxxxxxxxx administrátorů a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) pomocí hodnocení xxxxx a analýzy xxxxxx vyhodnotí x xxxxxxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx xxxxxx xxxxxxxxxxx s xxxxxxxxx xxxxxxxxxx činností,
c) xx základě výstupů xxxxxxxxx xxxxx x xxxxxxx xxxxxx podle xxxxxxx x) xxxxxxx xxxx řízení xxxxxxxxxx xxxxxxxx xxxxxx určení
1. xxxxxxxxx úrovně xxxxxxxxxxxxx xxxxxx, xxxxx xx xxxxxxxxxx pro užívání, xxxxxx x xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
2. doby xxxxxxxx xxxxx, xxxxx které xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx úroveň poskytovaných xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx systému, a
3. xxxx xxxxxxxx xxx xxxx xxxxxx období, xx které xxxx xxx xxxxxx xxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx nebo xx selhání,
d) xxxxxxx xxxxxxxx řízení xxxxxxxxxx xxxxxxxx, xxxxx obsahuje xxxxxxxx xxxx xxxxx xxxxxxx x),
x) vypracuje, xxxxxxxxxxx x xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx a havarijní xxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x xxxxxxxxxxxxx xxxxxx x
x) xxxxxxxxx xxxxxxxx xxx xxxxxxx odolnosti xxxxxxxxxxxx x komunikačního xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx a xxxxxxxx xxxxxxxxxxx a xxxxxxx xxx tom x xxxxxxxxx xxxxx §27.
§16
Audit xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx kybernetické xxxxxxxxxxx
x) xxxxxxx x xxxxxxxxxxx audit xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, včetně xxxxxxxxxxx xxxxxxxxx shody, x xxxxxxxx xxxxxx xxxxxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx xxxxx a
b) xxxxxxxx xxxxxx xxxxxxxxxxxxxx opatření x xxxxxxxx xxxxx, xxxxxxxx předpisy, xxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx x xxxxxxxxx závazky xxxxxxxxxxxx se k xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxx xxxxxxxx nápravná opatření xxx zajištění xxxxxxx.
(2) Xxxxx xxxxx xxxxxxxx 1 xx prováděn
a) xxx významných xxxxxxx, x rámci xxxxxx xxxxxxx,
x) v xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xx 3 letech v xxxxxxx xxxxxxx osoby xxxxxxx x §3 xxxx. x) zákona x
x) x pravidelných xxxxxxxxxxx alespoň po 2 xxxxxx v xxxxxxx xxxxxxx osoby xxxxxxxxx v písmenu x).
(3) Není-li x xxxxxxxxxxxx případech xxxxx xxxxxxx xxxxx x xxxxxxxxxxx podle xxxxxxxx 2 xxxx. x) x c) x xxxxx xxxxxxx, je xxxxx xxxxx xxxxxxxx xxxxxxxx xx systematických xxxxxxx. X xxxxxxx xxxxxxx xx xxxxx xxxxx x xxxxx xxxxxxx provést xxxxxxxxxx xx 5 xxx.
(4) Xxxxx kybernetické bezpečnosti xxxx xxx xxxxxxxx xxxxxx xxxxxxxxxx podmínkám xxxxxxxxxx x §7 xxxx. 4, která xxxxxxxxx xxxxxxx xxxxxxxxx x účinnost xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(5) Xxxxxxx xxxxx, xxxxx xx xxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx daného xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
XXXXX XX
XXXXXXXXX XXXXXXXX
§17
Xxxxxxx xxxxxxxxxx
Xxxxxxx osoba v xxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxxxxx poškození, xxxxxxx xxxx xxxxxxxx xxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxxx xxxxxx, xx xxxxx xxxx uchovávány x xxxxxxxxxxxx informace x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx, x
x) x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx stanoveného podle xxxxxxx b) přijme xxxxxxxx xxxxxxxx a xxxxxxxxx prostředky fyzické xxxxxxxxxxx
1. x xxxxxxxx xxxxxxxxxxxxx xxxxxx,
2. x xxxxxxxx xxxxxxxxx x xxxxxxxxxxxx zásahům x
3. xxx xxxxxxxxx ochrany xx xxxxxx objektů x x rámci xxxxxxx.
§18
Bezpečnost komunikačních xxxx
Xxxxxxx xxxxx xxx xxxxxxx xxxxxxxxxxx komunikační xxxx xxxxxxxx v xxxxxxx xxxxx §3 písm. x)
x) zajistí xxxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxx komunikace x xxxxx xxxxxxxxxxx xxxx x xxxxxxxxx komunikační xxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxx xxx xxx xxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxx xxxx při xxxxxxxx do xxxxxxxxxxx xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx blokuje xxxxxxxxx komunikaci x
x) xxx zajištění xxxxxxxxxx xxxx x xxx xxxxxx komunikace mezi xxxxxx segmenty xxxxxxx xxxxxxx, který xxxxxxx xxxxxxx integrity xxxxxxxxxxx xxxx.
§19
Správa x xxxxxxxxx xxxxxxx
(1) Povinná xxxxx xxxxxxx xxxxxxx xxx xxxxxx x xxxxxxx xxxxxxxx uživatelů, xxxxxxxxxxxxxx x xxxxxxxx informačního x xxxxxxxxxxxxx systému.
(2) Xxxxxxx pro xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxxxx
x) xxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxxxx v xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxx xxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxxxx,
x) xxxxxxxx uložených xxxx přenášených xxxxxxxxxxxxxx xxxxx xxxxx xxxxxxxxxxxxx xxxxxxxx x zneužití,
d) xxxxxxxx xxxxxxxxxxxxxx údajů xx formě odolné xxxxx xxxxxxx xxxxxx,
x) xxxxxxxx xxxxxxx identity xx určené xxxx xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxx xxxxxx přístupu a
g) xxxxxxxxxxxxxxx xxxxxx xxxxxxx.
(3) Xxxxxxx osoba pro xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxx xxxxxxxx xxxxx xx použití xxxxxxxxxxxxxx xxxx x xxxxx, nýbrž xx xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxx různými xxxx xxxxxxx.
(4) Xx xxxx xxxxxxx požadavku xxxxx xxxxxxxx 3 xxxx nástroj xxx xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx klíčů x xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx.
(5) Xx xxxx xxxxxxx xxxxxxxxx podle xxxxxxxx 3 xxxx 4 xxxx xxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx, který používá x autentizaci identifikátor xxxx x xxxxx, xxxxxxxxx pravidla
a) xxxxx xxxxx xxxxxxx
1. 12 xxxxx x xxxxxxxxx x
2. 17 znaků x administrátorů x xxxxxxxx,
x) umožňující xxxxx xxxxx x délce xxxxxxx 64 znaků,
c) xxxxxxxxxxx xxxxxxx malých x xxxxxxx písmen, xxxxxx a xxxxxxxxxxx xxxxx,
x) umožňující xxxxxxxxxx xxxxx hesla, xxxxxxx xxxxxx mezi xxxxx xxxxxxx xxxxx nesmí xxx xxxxxx xxx 30 xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxx x administrátorům
1. xxxxxx si xxxxxxxxxx xxxxxxxxx xxxxx,
2. xxxxxx xxxxx xx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx se xxxxx, xxxxxxxxxxxxxx jména, x-xxxxx, xxxxx systému xxxx obdobným xxxxxxxx x
3. opětovné xxxxxxx xxxxx xxxxxxxxxxx xxxxx x pamětí alespoň 12 xxxxxxxxxxx xxxxx x
x) pro xxxxxxxx xxxxx xxxxx v xxxxxxxxx maximálně po 18 xxxxxxxx, xxxxxxx xxxx xxxxxxxx se xxxxxxxxxx xx účty xxxxxxxx k xxxxxx xxxxxxx x xxxxxxx xxxxxxx.
(6) Xxxxxxx osoba x xxxxxxx používání xxxxxxxxxxx xxxxx účtem x xxxxxx xxxx
x) xxxxxx bezodkladnou xxxxx xxxxxxxxx xxxxx xx xxxx xxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx x xxxxxxxx xxxxxxxx xx jeho xxxxxx xxxxxxx xxxx xxxxxxxxx xxxxxxx 60 xxxxx xx xxxx xxxxxxxxx a
c) xxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxx xx xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx xxxxx §9.
§20
Řízení xxxxxxxxxxxx oprávnění
Povinná xxxxx používá xxxxxxxxxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, kterým xxxxxxx xxxxxx xxxxxxxxx
x) xxx přístup x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx x
x) xxx xxxxx xxx, zápis xxx x xxxxx xxxxxxxxx.
§21
Ochrana xxxx xxxxxxxxx xxxxx
(1) Xxxxxxx osoba xxxxxxx v §3 xxxx. x), x) x x) xxxxxx x xxxxx xxxxxxx xxxx xxxxxxxxx xxxxx
x) x xxxxxxx na xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxx nástroje xxx xxxxxxxxxxxx xxxxxxxxxxxx ochranu
1. xxxxxxxxx xxxxxx,
2. xxxxxxxxx xxxxxxxx,
3. serverů,
4. xxxxxxxx xxxxxxx a výměnných xxxxxxxx xxxxxx,
5. komunikační xxxx a xxxxx xxxxxxxxxxx xxxx a
6. xxxxxxxxx xxxxxxxx,
x) monitoruje x xxxx xxxxxxxxx xxxxxxxxx zařízení x xxxxxxxx xxxxxx,
x) xxxx xxxxxxxxxxx spouštění xxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx,
x) xxxx xxxxxxxxx xx xxxxxxxxx xxxx x
x) xxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxxxxxx nástroje xxx xxxxxxx před xxxxxxxxx xxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) zákona xxxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxxx.
§22
Zaznamenávání xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, xxxx xxxxxxxxx a xxxxxxxxxxxxxx
(1) Xxxxxxx osoba
a) xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x
x) xx xxxxxxx xxxxxxxxx důležitosti aktiv xxxxxxxxxxx xxxxxx xxxxx, x kterých je xxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx identifikaci xxxxxxxx xxxxxxx, xx-xx x xxxxxxxxxxx xxxx xxxxxx xxxxxxx, xxxxx xxxx xxxx síťovou xxxxxxxxxxxx,
x) xxxx xxxxxxxxx x xxxxxxxxxxxxxx x xxxxxxxxxx událostech; zejména xxxxxxxxxxx
1. xxxxx x xxx xxxxxx xxxxxxxxxxx xxxxxxxx pásma,
2. xxx xxxxxxxx,
3. identifikaci technického xxxxxx, xxxxx xxxxxxx xxxxxxxxxxx,
4. jednoznačnou identifikaci xxxx, xxx xxxxxx xxxx xxxxxxx provedena,
5. xxxxxxxxxxxx síťovou xxxxxxxxxxxx xxxxxxxx původce a
6. xxxxxxxxx xxxx neúspěšnost xxxxxxxx,
x) ochranu xxxxxxxxx xxxxxxxxx podle xxxxxx x) a b) xxxx xxxxxxxxxxxx xxxxxx x xxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxx
1. přihlašování x xxxxxxxxxxx xx všem xxxxx, x to xxxxxx neúspěšných xxxxxx,
2. xxxxxxxx xxxxxxxxxxx administrátory,
3. xxxxxxx i neúspěšné xxxxxxxxxx x xxxx, xxxxxxxxxxx a xxxxx,
4. xxxxxxxxxxx xxxxxxxx x xxxxxxxx nedostatku přístupových xxxx x oprávnění,
5. xxxxxxxx uživatelů, xxxxx xxxxx xxx vliv xx bezpečnost informačního x xxxxxxxxxxxxx xxxxxxx,
6. xxxxxxxx x ukončení xxxxxxxx technických xxxxx,
7. xxxxxxxxxx x xxxxxxxxx xxxxxxx technických xxxxx x
8. xxxxxxxx x xxxxxxxx x xxxxxxxxxx, xxxxxx o xxxxxxxxxx xx xxxxxxx x xxxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx událostí a
e) xxxxxxxxxxxxx xxxxxxxxxx času xxxxxxxxxxx aktiv xxxxxxx xxxxxx xx 24 xxxxx.
(3) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. x), d) x f) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx odstavce 2 nejméně xx xxxx 18 měsíců.
(4) Xxxxxxx xxxxx xxxxxxx x §3 písm. x) zákona xxxxxxxx xxxxxxx událostí zaznamenaných xxxxx xxxxxxxx 2 xxxxxxx po dobu 12 xxxxxx.
§23
Xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
(1) Povinná osoba x xxxxx xxxxxxxxxxx xxxx, xxxxx xxxxxxxx xx informační x xxxxxxxxxxx systém, xxxxxxx xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxxxx zajistí
a) xxxxxxx x kontrolu xxxxxxxxxxx xxx x xxxxx xxxxxxxxxxx xxxx x xxxx xxxxxxxxxxxxx xxxxxx,
x) xxxxxxx a kontrolu xxxxxxxxxxx dat na xxxxxxxxx xxxxxxxxxxx xxxx x
x) xxxxxxxxx xxxxxxxxx xxxxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x f) xxxxxx xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxx x ohledem xx xxxxxxxxxx xxxxx x xxxxx
x) xxxxxxxxx xxxxxx,
x) xxxxxxxxx zařízení,
c) xxxxxxx,
x) xxxxxxxx xxxxxxx x xxxxxxxxx datových xxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxx x
x) xxxxxxxxx xxxxx.
§24
Sběr x xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí
Povinná xxxxx uvedená x §3 písm. x), x) x x) xxxxxx používá xxxxxxx xxx xxxx a xxxxxxxxxxx vyhodnocení kybernetických xxxxxxxxxxxxxx xxxxxxxx, který xxxxxx
x) xxxx a xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx §22 x 23,
x) vyhledávání x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx pro xxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxxx,
x) vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx identifikace xxxxxxxxxxxxxx bezpečnostních incidentů, xxxxxx včasného xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxx,
x) xxxxxxx případů xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx
1. xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x
2. xxxxxx xxxxxxxx x
x) xxxxxxxxx informací xxxxxxxxx xxxxxxxxx xxx xxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému.
§25
Aplikační bezpečnost
(1) Povinná xxxxx provádí penetrační xxxxx informačního a xxxxxxxxxxxxx systému xx xxxxxxxxx xx xxxxxxxx xxxxxx, x to
a) xxxx xxxxxx xxxxxxxx xx provozu x
x) x xxxxxxxxxxx x xxxxxxxxx změnou xxxxx §11 xxxx. 3.
(2) Xxxxxxx osoba xxxx x xxxxx aplikační xxxxxxxxxxx xxxxxxx trvalou xxxxxxx xxxxxxxx, xxxxxxxxx x transakcí xxxx
x) xxxxxxxxxxxx xxxxxxxx a
b) xxxxxxxx xxxxxxxxxxx činností.
§26
Xxxxxxxxxxxxxx xxxxxxxxxx
Xxxxxxx xxxxx xxx xxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) používá xxxxxxxx xxxxxx kryptografické xxxxxxxxx x xxxxxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxx xxxxxx xxxxx x xxxxxxxxxxx, xxxxx
1. xxxxxxx generování, xxxxxxxxxx, ukládání, xxxxx, xxxxxxx xxxxxxxxx, zneplatnění xxxxxxxxxxx a likvidaci xxxxx a
2. xxxxxx xxxxxxxx a xxxxx,
x) xxxxxxxxx xxxxxxxx nakládání x xxxxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxxxx xxxxxxxxxx x oblasti kryptografických xxxxxxxxxx vydaná Xxxxxx, xxxxxxxxxx xx xxxx xxxxxxxxxxxxx xxxxxxxxx.
§27
Xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx zavede xxxxxxxx xxx xxxxxxxxxxx xxxxxx dostupnosti, xxxxxxx xxxxxxx
x) dostupnost xxxxxxxxxxxx x xxxxxxxxxxxxx systému xxx xxxxxxx cílů xxxxx §15,
x) xxxxxxxx xxxxxxxxxxxx a komunikačního xxxxxxx vůči xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx xxxxx xxxxxx xxxx dostupnost,
c) xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx x komunikačního xxxxxxx a
d) xxxxxxxxxx xxxxx xxxxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx x komunikačního systému.
§28
Průmyslové, řídicí a xxxxxxx xxxxxxxxxx xxxxxxx
Xxxxxxx xxxxx xxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx, xxxxxxxx x obdobných xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxx x xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx xxxxxxxxxxx a xxxxxxxxxxxx xxxxxxxxxx, xxxxx jsou xxxxxx xx specifického xxxxxxxxx,
x) xxxxxxx fyzického xxxxxxxx x xxxxxxxxx xxxxxx xxxxxxx x xx xxxxxxxxxxx xxxx,
x) xxxxxxxxx komunikační xxxx xxxxxx pro xxxx xxxxxxx od xxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxx x xxxxxx xxxxxxxxxx přístupu x těmto xxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx těchto xxxxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx xxxxxx xxxxxxx xx xxxxxxxxxxxxx bezpečnostním xxxxxxxxx.
§29
Digitální služby
(1) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxxx bezpečnostní xxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxx Komise (XX) 2018/151 xx dne 30. xxxxx 2018, xxxxxx se xxxxxxx xxxxxxxx xxx uplatňování xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Rady (EU) 2016/1148, xxxxx xxx x xxxxxx xxxxxxxxx xxxxx, xxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx rizik, jimiž xxxx xxxxxxxxx xxxx x xxxxxxxxxx systémy, x xxxxxxxxx xxx xxxxxxxxxx xxxx, xxx xx xxxxx xxxxxxxxx xxxxxxxx; xxxxxxxxxx §3 xx 28 se xx xxxx povinnou xxxxx nepoužijí.
(2) Xxxxxxx xxxxx uvedená x §3 xxxx. x) xxxxxx xxxxx kontaktní xxxxx xxxxx §34 xxxx. 2.
(3) Povinná xxxxx uvedená x §3 xxxx. h) xxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx podle §32 odst. 2 x 3.
XXXXX III
BEZPEČNOSTNÍ POLITIKA X XXXXXXXXXXXX XXXXXXXXXXX
§30
Xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxx xxxxxxxxxxxx politiku x xxxx xxxxxxxxxxxx xxxxxxxxxxx zahrnující xxxxxxx xxxxxxx x příloze č. 5,
x) xxxxxxxxxx přezkoumává xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx x
x) zajistí, xxx byla xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx.
(2) Bezpečnostní xxxxxxxx a bezpečnostní xxxxxxxxxxx xxxx být
a) xxxxxxxx v listinné xxxx xxxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxx x rámci xxxxxxx osoby,
c) xxxxxxxxx xxxxxxxx dotčeným stranám,
d) xxxxxx,
x) xxxxxxxx z xxxxxxx xxxxxxxxxx, integrity x dostupnosti a
f) xxxxxx xxx, aby xxxxxxxxx x xxxx xxxxxxxx xxxx xxxxx, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx x snadno xxxxxxxxxxxx.
ČÁST TŘETÍ
KYBERNETICKÝ BEZPEČNOSTNÍ XXXXXXXX
§31
Xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxx významnosti xxx xxxxxxxxxx
x) xxxxxx xxxxxxxxxx x dopadových xxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxx povinné xxxxx xxxxxx,
x) xxxxx xxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxx xxxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxx dotčených xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) dopadů xx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
f) xxxxxx xx xxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systémy,
g) xxxxx xxxxxx incidentu,
h) xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx x
x) xxxxxxx xxxxxx.
(2) Xxx xxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx na xxxxxxx xxxxxxxxxx podle xxxxxxxx 1 xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - xxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx xxxxx a xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx. Jeho řešení xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x xxx, xx xxxx xxx xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx dalšímu šíření xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxx,
x) Xxxxxxxxx XX - xxxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, při kterém xx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx služeb nebo xxxxx. Jeho xxxxxx xxxxxxxx xxxxxxxxxx zásahy xxxxxxx s xxx, xx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx šíření kybernetického xxxxxxxxxxxxxx incidentu včetně xxxxxxxxxxxx xxxxxxxxx škod, xxxx
x) Xxxxxxxxx X - xxxx významný xxxxxxxxxxxx xxxxxxxxxxxx incident, xxx kterém xxxxxxx x méně významnému xxxxxxxx bezpečnosti xxxxxxxxxxxxx xxxxxx xxxx aktiv. Xxxx xxxxxx vyžaduje xxxxxx obsluhy x xxx, xx musí xxx xxxxxxxx prostředky xxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
(3) Typy xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxx jsou
a) xxxxxxxxxxxx xxxxxxxxxxxx incident způsobující xxxxxxxx důvěrnosti aktiv,
b) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx,
x) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx aktiv, xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx dopadů xxxxxxxxx x písmenech x) xx x).
(4) Xxxx xxxxxxxxxx xx xxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx xxxxxxx x §3 písm. x) xxxxxx.
§32
Xxxxx a xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx se Úřadu xxxxx xx xxxxxxxxxxxxx xxxxxxxxx zveřejněném xx xxxxxxxxxxxxx stránkách Xxxxx xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx xxxxx Xxxxx xxxxxxx xxx xxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, zveřejněnou xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
x) xx xxxxxx xxxxxxxx Xxxxx, nebo
c) xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xx používáno, xxxxx xxxxx je xxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx.
(2) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx XXXX hlásí xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx národního XXXX xxxxxxxx
x) xx xxxxxx elektronické pošty xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxx xxx příjem xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xx xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx xxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxx CERT, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx provozovatele xxxxxxxxx XXXX.
(3) Xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xx xxxxx zaslat x x listinné xxxxxx, xxxxx xxxxx x xxxxxxxxx, xxx xxxxx xxxxxx xxxxx xx xxxxxxx uvedených v xxxxxxxxxx 1 x 2.
(4) Náležitosti hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) xxxxx x xxx xxxxxxxx xxxxxxxxx x
x) popis xxxxxxxxx.
XXXX XXXXXX
XXXXXXXXX OPATŘENÍ X XXXXXXXXX ÚDAJE
§33
Reaktivní xxxxxxxx
(1) Povinná xxxxx, xxxxx Úřad uložil xxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xx xxxxxxxxxx x komunikační xxxxxx x na xxxxxxxx xxxxxxxxxxxx opatření x xxxxxxxxx xxxxx xxxxxxxxx účinky x
x) xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx tohoto xxxxxxxx, xxxxx minimalizuje xxxx xxxxx xxxxxxxxx účinky, x xxxx xxxxxx xxxx jeho xxxxxxxxx.
(2) Xxxxxxx xxxxx, které Xxxx xxxxxx provést xxxxxxxxx xxxxxxxx, oznámí xxxxxx provedení xxxxxxxxxxx xxxxxxxx a jeho xxxxxxxx xx formě xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
§34
Kontaktní xxxxx
(1) Xxxxxxxxx xxxxx xx Úřadu xxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Úřadu xxxxxxxx
x) xx adresu xxxxxxxxxxxx xxxxx Xxxxx xxxxxxx xxx xxxxxx xxxxxxxx xxxxxxxxxxx údajů, xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
x) xx xxxxxx schránky Úřadu, xxxx
x) prostřednictvím xxxxxxxx xxxxxxxx, xxxxx xx xxxxxxxxx, xxxxx xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Úřadu.
(2) Xxxxxxxxx údaje xx xxxxxxxxxxxxx národního CERT xxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX zaslaném
a) xx adresu xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx národního XXXX xxxxxxx pro xxxxxx oznámení xxxxxxxxxxx xxxxx, zveřejněnou na xxxx xxxxxxxxxxxxx stránkách,
b) xx datové xxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.
(3) Hlášení kontaktních xxxxx xx xxxxx xxxxxx i v xxxxxxxx podobě, xxxxx xxxxx x xxxxxxxxx, xxx nelze využít xxxxx xx způsobů xxxxxxxxx v xxxxxxxxxx 1 a 2.
(4) Xxxx xxxxxxxx xxxxxxxxxxx xxxxx je xxxxxx x příloze č. 8 x xxxx xxxxxxxx.
(5) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx, xxxxx xx xxxxxxxxxxxxxx, xxxx x xxxxxxx xxxxxxxxxxx údajů xxxxx xxxxxxxx 1 xxxxxxxx xxxxxxxx, xxxxxx xx xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §8 odst. 1 xxxx. x).
XXXX PÁTÁ
ZÁVĚREČNÁ XXXXXXXXXX
§35
Xxxxxxxxx xxxxxxxxxx
(1) X případě xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx xxxx xxxxxx xxxxx xxxx nabytí xxxxxxxxx xxxx xxxxxxxx, a x xxxxxxx xxxxxxxxxx xxxxxxxxxxxx systémů, u xxxxxxx došlo x xxxxxxxx určujících xxxxxxxx xxxxx dnem xxxxxx xxxxxxxxx této vyhlášky, xx xx xxxxxxx xxxx xxx dne xxxxxx xxxxxxxxx xxxx xxxxxxxx xxx xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxx x rozsah zavedených xxxxxxxxxxxxxx xxxxxxxx použijí xxxxxxxxxx xxxxxxxx č. 316/2014 Sb., x bezpečnostních xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx a x xxxxxxxxx náležitostí xxxxxx v oblasti xxxxxxxxxxxx xxxxxxxxxxx (vyhláška x xxxxxxxxxxxx xxxxxxxxxxx).
(2) X případě xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxx byly xxxxxx přede xxxx xxxxxx xxxxxxxxx této xxxxxxxx, a x xxxxxxx xxxxxxxxxx informačních xxxxxxx, u xxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxx účinnosti xxxx xxxxxxxx, se xx xxxxxxx xxxx xxx xxx nabytí xxxxxxxxx této vyhlášky xxx xxxxxx likvidace xxx, xxxxxxxxxx údajů, xxxxxxxxx x jejich xxxxx xxxx vyhláška xxxxxxxxx.
§36
Xxxxxxxxx xxxxxxxxxx
Xxxxxxx xx xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x x xxxxxxxxx xxxxxxxxxxx podání x xxxxxxx kybernetické xxxxxxxxxxx (xxxxxxxx o xxxxxxxxxxxx xxxxxxxxxxx).
§37
Xxxxxxxx
Xxxx vyhláška xxxxxx xxxxxxxxx xxxx xxxxxxxxx.
Xxxxxxx:
Xxx. Xxxxxxxx x. x.
Příloha x. 1 x vyhlášce x. 82/2018 Sb.
Hodnocení xxxxx
(1) Xxx hodnocení xxxxxxxxxxx xxxxx jsou x xxxxx xxxxxxx použity xxxxxxxx x čtyřech xxxxxxxx x xxxxxxxx xx, jaký xxxxx xx xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx u xxxxxxxxxxxx xxxxx. Xxxxxxx xxxxx xxxx xxxxxxxx xxxxxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxx jaký xx uveden x xxxx příloze, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx xxxx xxxxxxxxxx způsobem xxxxxxxxx důležitosti xxxxx x xxxxxxxxxx x xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx xxxx xxxxxxx x xxxx xxxxxxx.
(2) Xx xxxxxxxxxx, xxx xx xxxxx xxxxxxx xxxxx xxxx dopadové xxxxxx xxxxxxxxxxxx svým potřebám.
Tab. 1: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx ochranu aktiva |
|
Nízká |
Aktiva xxxx xxxxxxx xxxxxxxxx xxxx byla xxxxxx xx zveřejnění. Xxxxxxxx xxxxxxxxxx aktiv xxxxxxxxxx xxxxxxxxx xxxxx povinné xxxxx. X případě sdílení xxxxxxxx aktiva x xxxxxxx xxxxxxxx a xxxxxxx klasifikace podle xxx. xxxxxxx light xxxxxxxxx (dále xxx "XXX") xx využíváno xxxxxxxx TLP:WHITE. |
Není vyžadována xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxxxx xxxxxxx přístupná x xxxxx xxxx-xxx xxxxxxx xxxxx, xxxxxxx xxxxx není xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxxxxx. X xxxxxxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxx xxxxxxxx x použití xxxxxxxxxxx podle XXX xx xxxxxxxxx xxxxxxx xxxxxxxx TLP:GREEN xxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxx řízení xxxxxxxx. |
|
Xxxxxx |
Xxxxxx nejsou veřejně xxxxxxxxx x xxxxxx xxxxxxx xx xxxxxxxxxx xxxxxxxx předpisy, jinými xxxxxxxx nebo smluvními xxxxxxxxxx (xxxxxxxxx obchodní xxxxxxxxx, xxxxxx údaje). V xxxxxxx sdílení takového xxxxxx x třetími xxxxxxxx a xxxxxxx xxxxxxxxxxx xxxxx XXX xx využíváno xxxxxxx xxxxxxxx TLP:AMBER. |
Pro ochranu xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, které xxxxxxx xxxxxx a xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxxxx sítí xxxx xxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx a xxxxxxxx nadstandardní míru xxxxxxx nad xxxxx xxxxxxxxx xxxxxxxxx (xxxxxxxxx xxxxxxxxxxx xxxxxxxx tajemství, xxxxxxxx xxxxxxxxx osobních xxxxx). X případě sdílení xxxxxxxx xxxxxx s xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx XXX xx xxxxxxxxx xxxxxxx xxxxxxxx XXX:XXX xxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx jsou xxxxxxxxx xxxxxxxxxx, které xxxxxxx xxxxxx x zaznamenávání xxxxxxxx. Xxxx metody xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx ze xxxxxx xxxxxxxxxxxxxx. Xxxxxxx informací xxxx xxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxx. 2: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx aktiva neohrožuje xxxxxxxxx xxxxx xxxxxxx xxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx vyžadovat xxxxxxx x xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx xxxxxx xxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx x xxxx xx xxxxxxxx xxxx xxxxxxxxx xxxxxx xx primární xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány xxxxxxxxxx xxxxxxxx (například xxxxxxx xxxxxxxxxxxx xxxx pro xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity aktiva xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx x podstatnými xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx integrity xxxx využívány speciální xxxxxxxxxx, které xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx a xxxxxxxxxx xxxxxxxx osoby provádějící xxxxx. Xxxxxxx integrity xxxxxxxxx xxxxxxxxxxx komunikačními xxxxxx je xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx ochranu z xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx x xxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx zájmů xxxxxxx xxxxx x xxxxxxx x xxxxx vážnými xxxxxx na xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx jednoznačné xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx). |
Xxx. 3: Xxxxxxxx xxx hodnocení xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx není xxxxxxxx x x případě xxxxxxx xx xxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx pro xxxxxxx (xxx do 1 xxxxx). |
Xxx xxxxxxx dostupnosti xx postačující xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx nemělo překročit xxxx xxxxxxxxxx xxx, xxxxxxxxxxxxx výpadek xxxx x xxxxxxx ohrožení xxxxxxxxxxx xxxxx xxxxxxx xxxxx. |
Xxx ochranu dostupnosti xxxx xxxxxxxxx běžné xxxxxx xxxxxxxxxx x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx dostupnosti xxxxxx xx xxxxxx xxxxxxxxx xxxx několika xxxxx. Xxxxxxxx xxxxxxx xx xxxxx řešit xxxxxxxxxx, xxxxxxx xxxx k xxxxxxx ohrožení xxxxxxxxxxx xxxxx xxxxxxx xxxxx. Xxxxxx xxxx xxxxxxxxxx xx xxxxx xxxxxxxx. |
Xxx xxxxxxx dostupnosti xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx poskytování xxxxxx xxxx xxx xxxxxxxxx xxxxxx obsluhy xxxx xxxxxxx xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx dostupnosti xxxxxx xxxx přípustné x x xxxxxxxxxx nedostupnost (x xxxx xxxxxxxx xxxxx) vede k xxxxxxx ohrožení xxxxxxxxxxx xxxxx povinné xxxxx. Xxxxxx jsou xxxxxxxxxx xx xxxxxxxx. |
Xxx ochranu xxxxxxxxxxx jsou využívány xxxxxxx xxxxxxx a xxxxxx poskytování xxxxxx xx xxxxxxxxxx x xxxxxxxxxxxxxx. |
Xxxxxxx x. 2 x xxxxxxxx č. 82/2018 Sb.
Hodnocení xxxxx
(1) Xxxxxxxxxxx stanovení xxxxxx xxx xxxxxx rizika xx nezbytnou xxxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx xxxxx §5.
(2) Xxxxxxx rizika je xxxxxxxxxx xxxxxxxxx xxxx xxxxxx, kterou xxxxxxxxx xxxxx, hrozba x xxxxxxxxxxxx.
(3) Xxx xxxxxxxxx xxxxx xxx použít xxxxxxxxx xxxx xxxxxx:
Xxxxxx = xxxxx x xxxxxx x zranitelnost.
(4) Xxxxx xx x xxxxx případě odvozen x xxxxxxxxx xxxxx xxxxx přílohy č. 1.
(5) V xxxxxxx, že povinná xxxxx xxxxxxx xxxxxx xxx xxxxxxxxx xxxxx, xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx a xxxxxxxxxxxxx, xx možné xxxxxxxx xxx hodnocení hrozeb x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxx xx xxxxxx vést xx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx x xxxxxxxxxxxxx. Xx xxxxx xxxxxx xxx xxxxxx xxxxxxxxx xxxxxxxx, který xxxxxxxx xxxxxxx xxx xxxxxx hrozby, xxx x xxxxxx zranitelnosti. Xxxxxxx se xxxxxxxxx x x xxxxxxxxx, xxx povinná osoba xxxxxxx xxxx počet xxxxxx xxx xxxxxxxxx xxxxxx, xxxxxx, xxxxxxxxxxxxx x xxxxx.
Xxx. 1: Xxxxxxxx xxx xxxxxxxxx xxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx nebo xx xxxx xxxxxxxxxxxxx. |
|
Střední |
Hrozba xx málo pravděpodobná xx xxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx pravděpodobná xx xxxxx xxxxxxxxxxxxx. |
|
Kritická |
Hrozba xx xxxxx pravděpodobná až xxxxxxxx xxxxx. |
Xxx. 2: Xxxxxxxx xxx xxxxxxxxx zranitelností
|
Úroveň |
Popis |
|
Nízká |
Zranitelnost xxxxxxxxxx xxxx xx xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxxx. Xxxx xxxxxxxx xxxxxxxxxxxx opatření, která xxxx schopna včas xxxxxxxxx možné xxxxxxxxxxxxx xxxx xxxxxxxx pokusy x xxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx je xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxx zavedena bezpečnostní xxxxxxxx, xxxxxxx účinnost xx xxxxxxxxxx xxxxxxxxxxxx. Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx případné xxxxxx x překonání xxxxxxxx je xxxxxxx. Xxxxxx xxxxx žádné xxxxxxx xxxxxx o xxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx xx xxxxx pravděpodobné. Xxxxxxxxxxxx xxxxxxxx jsou xxxxxxxx, ale jejich xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx x xxxx xxxxxxxxxx xxxxxxxxxxxx. Xxxx známé xxxxx xxxxxxx xxxxxx o xxxxxxxxx bezpečnostních opatření. |
|
Kritická |
Zneužití xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx až xxxxxxxx xxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxx xx xxxxxx účinnost xxxxxx xxxxxxx. Xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Jsou xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
Xxx. 3: Xxxxxxxx pro xxxxxxxxx xxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx je xxxxxxxxxx xx akceptovatelné. |
|
Střední |
Riziko může xxx xxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxx x případě xxxxx xxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx je xxxxxxxxxx xxxxxxxxxxx x xxxx xxx xxxxxxxx xxxxxxxxxxxx kroky x xxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx je xxxxxxxxxxx x musí xxx neprodleně xxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
Xxxxxxx x. 3 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxxxxxx x xxxxxx
Xxxxxxxxxx: Xxxx xxxxxxx xxxxxxxx jen vybrané xxxxxxxxx xxxxxxxxxxxxx a xxxxxx. Xxxxxxxxxxxx konkrétních xxxxxxxxxxxxx x xxxxxx xx xxxxxxxxxxxx povinné xxxxx.
Xxxxxxxxxxxxx
1. xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
2. xxxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx,
3. xxxxxxxxxxxx xxxxxxx vnějšího xxxxxxxxx,
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx uživatelů x xxxxxxxxxxxxxx,
5. xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
6. nevhodné xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
7. xxxxxxxxxxxx xxxxxxx xxx xxxxxxxxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
8. xxxxxxxxxxxx xxxxxxxxxxxx činnosti xxxxxxxxx a xxxxxxxxxxxxxx x xxxxxxxxxxx odhalit xxxxxx xxxxxxxx nebo xxxxxxx xxxxxxx xxxxxxx,
9. xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, nepřesné xxxx xxxxxxxxxxxxx vymezení práv x xxxxxxxxxx uživatelů, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx,
10. xxxxxxxxxxxx xxxxxxx xxxxx,
11. nevhodná xxxxxxxxxxxx xxxxxxxxxxxx,
12. xxxxxxxxxxxx xxxx xxxxxxxxx kontroly,
13. xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxx zaměstnanců.
Hrozby
1. xxxxxxxx bezpečnostní politiky, xxxxxxxxx neoprávněných činností, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
2. xxxxxxxxx nebo xxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
3. xxxxxxxx xxxxxxxx,
4. xxxxxxx programového xxxxxxxx x xxxxxxx x xxxxxxxxxx xxxxxxxxxx,
5. xxxxxxxx xxx (xxxxxxxxx xxxx, xxxxxxx, trojské xxxx),
6. narušení xxxxxxx xxxxxxxxxxx,
7. xxxxxxxxx xxxxxxxxxxx xxxxxx elektronických komunikací xxxx dodávek xxxxxxxxxx xxxxxxx,
8. xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxx xxxxx,
9. xxxxxx, xxxxxxxx xxxx xxxxxxxxx aktiva,
10. xxxxxxxxxx xxxxxxxxx xxxxxxx xx xxxxxx dodavatele,
11. xxxxxxxxx xx xxxxxx xxxxxxxxxxx,
12. xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,
13. xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, dodávky elektrické xxxxxxx xxxx jiných xxxxxxxxxx služeb,
14. xxxxxxxxxx xxxxxxxxxxx s xxxxxxxxx xxxxxxxx úrovní,
15. xxxxxx xxxxxxxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx, použití xxxxxxxxxxx technik,
16. zneužití xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxx,
17. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx (odposlech, xxxxxxxxxx).
Příloha x. 4 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxx xxx
(1) Xxxx příloha xxxxx xxxxxxxxxx správce xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxxxxx xxxxxxx xxxxxx dat a xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxx, provozních xxxxx, xxxxxxxxx x xxxxxx xxxxx.
(2) Xxxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xx xxxxxxx pravidla xxx xxxxxx xxx a xxxxxxxxx technických xxxxxx xxx v souladu x xxxxx xxxxxxxx. Xxx nejsou dotčeny xxxxxxxxxx xxxxx xxxxxx xxxxxxxx předpisů. Xx xxxxx xxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx bezpečnostní xxxxxxxx, xxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxx xxx x xxxxxxxxx xxxxxxxxxxx xxxxxx xxx, xxxxxxxx x hodnotě a xxxxxxxxxxx xxxxx.
(3) Xxxxxxxx xxx likvidaci xxx xx měla xxx xxxxxxxxx přiměřeně xxxxxxx x důležitosti xxxxx x xxxx xx xxxxxxx xxxxxxxxxxx
x) hodnotu xxxxxx (xxxxxxx x xxxxxxx xxxxxxxxxx),
x) xxxxxxxxxxx (xxxx x xxxxxxxx xxxxxx xxxxxxxxx),
x) zda xx nosič informace xxxxxxx pod xxxxxxxxx xxxxxxxxxx xx xxxxxxx,
x) xxx jsou xxxx xxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxxxx xxxxxxxxx,
x) xxx xxxx xxxxxxxxx dat xxxxxxxx (xxxxxxx xxxxxxxxxxx, xxxx xxxxxxxxx),
x) dostupnost xxxxxxxx x xxxxxxxx xxx likvidaci,
g) xxxxxxxx xxxxxxxxxxxxx xxxxxx,
x) xxx xx x xxxxxxxxx xxxxxxxxx personál,
i) xxxxxxx xxxxxxxxx xxxxxxxxx,
x) cenu xxxxxxxxx x ohledem xx xxxxxxxx, školení, xxxxxxxx, xxxxxxxx využití xxxxxx informace
k) xxxxx xxxxxxx likvidace xxx (xxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxxxxxxxxx xxxxxxxxx nosiče xxx, znečitelněním xxx xxxxxx xxxxxxxxxx x xxxxxxx),
x) xxxxxxxxxx xxxxxxx xxxxxxxxx dat xxxxxxxx xx stavu nosiče xxxxxxxxx (například xxx xxxxxxxxx xxxxxxxx xxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxx xxxxxxxxx, xxx xxxxxxx ze způsobů xxxxxxx xxxxxxxxx).
(4) Xxxxxxx xxxxxxxxx xxxxxxxxxxx nosičů xxxxxxxxx, xxxxxxxxxx xxxxx, xxxxxxxxx x jejich xxxxx:
x) Xxxxxxxxxx
1. Způsob xxxxxxxxx xxxxxxx v xxxxxxxxxx xxx tak, xxx byla pro xxxxxx nedostupná (xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxx, xxxxxxxx xxxxxxxxx dokumentu xx xxxxxx).
2. Xxx x xxxxxxx bezpečný xxxxxx xxxxxxxxx xxx. X xxxxxxx získání xxxxxx xxxxxxxxx xx xxxxx s xxxxxxxxxxx xxxxxxxx xxxxx informace xxxxxxx.
3. Xxxx metoda xxxx xxxxxxxxxx xxx xxxxxx xxxxxxxxxxx xxx xxxxxxxxxxxx opětovný xxxxx.
4. Xxxxxxxxxx způsob xxx xxxxxx důvěrnosti xxxxxx (xxxxxxx z přílohy č. 1): xxxxx.
x) Přepsání
1. Xxxxxx xxxxxxxxx xxxxxxx x xxxxxxxx chráněné xxxxxxxxx xxxxxxxxxx xxxxxxxxx.
2. Jde x xxxxxxx xxxxxxxx xxxxxx xxxxxxxxx dat. Xxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx obnovení xxxxxxxxxx xxxxxxxxx.
3. Xxxxxxxx xxxx xxx xxxxxxxxx xxxx xxxxxxxxxxx bezpečnou likvidací xxxxxxxxxxxxxxxx xxxxx x xxxxxxxxxxx informaci.
4. Xxxx xxxxxx xxxx xxxxxx xxx xxxxxxxxx média, xxxxx neumožňující xxxxxxxx xxxxx, případně pro xxxxx s velkou xxxxxxxxx.
5. Xxxxxxxxxx způsob xxx xxxxxx xxxxxxxxxx xxxxxx (vychází x přílohy č. 1): xxxxx xx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx
1. Způsob xxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxx informace, xxxxxxxxx v rozebrání xxxxxxxx a následném xxxxxxx xxxxxx informace (xxxxxxxxxxx, xxxxxxxxx xx xxxxxxxx xxxxxxxxx).
2. Xxx x nejbezpečnější xxxxxx xxxxxxxxx dat. Xxxxx xxxxxxxxx xx fyzické xxxxxxxxx nelze znovu xxxxxx pro xxxxxxx xxxx. Původní xxxxxxxxx xxxx možné xxxxxxx xxx při xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx x úsilí.
3. Použitelný xxxxxx xxxxxxxxx pro xxxxxx důvěrnosti xxxxxx (xxxxxxx x přílohy č. 1): xxxxxxx xx kritická.
Příklad xxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1)
|
Xxxxxxxxx způsob likvidace xxxxx xxxxxx xxxxxxxxxxx xxxxxx |
|||||
|
Xxxxx xxxxxxxxx |
1. Xxxxx |
2. Xxxxxxx |
3. Vysoká |
4. Xxxxxxxx |
|
|
Xxxxxxxxx xx xxxxxx xxxxxxxx xxxxxx (xxxxxxx xxxxxxxxx, xxxxxxxx a xxxxxxx) |
Xxxxxxxxxx: Xxxxxxxx xx xxxxxx. |
Xxxxxxxx: Xxxxxxxxx. |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxxx xxxxxxxxx: |
|||||
|
Xxxxxxx xxxxxxxx (mobilní xxxxxxxx, xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxx zařízení (router, xxxxxx, modem x xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
|||
|
Xxxxxxxxxxx xxxxxxxx (xxxxxxx, xxxxxxxx, xxx) |
|||||
|
Xxxxxxxxxx média (magnetické xxxxx, xxxxx, HDD [Xxxx Disk Xxxxx]) |
Xxxxxxxxxx: |
Xxxxxxxx: |
|||
|
Xxxxxxx xxxxx (CD, XXX, XX-XXX, BLU-RAY) |
Fyzická xxxxxxxxx: |
||||
|
Xxxxxxx xxxxxxxxx. |
|||||
|
Xxxxxxxxxxxx média (flash xxxxxx) |
|||||
|
Xxxxxxxxxxx x cloud |
Přípustný xxxxxx xxxxxxxxx xxx xx xxx xxx xxxxxxxx xxxxxxxx xxxxxxxxx. |
||||
|
Xxxxxxxxxx: |
Přepsání: |
Xxxxxxxx: |
Xxxxxxxx/xxxxxxx xxxxxxxxx: |
||
|
Xxxxxxxxxxxx x xxxxxxx dedikovaného xxxxxxxxxx xxxxx je možné xxxx xx ukončení xxxxxx xxxxxxx. |
|||||
Příloha x. 5 x xxxxxxxx x. 82/2018 Sb.
Obsah bezpečnostní xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
1. Xxxxxxxxxxxx xxxxxxxx
1.1. Xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) Cíle, xxxxxxxx x xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx x xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx řízení xxxxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxx xxxxxx x provozu xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx informací.
g) Xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxx x zlepšování xxxxxxx xxxxxx xxxxxxxxxxx informací.
1.2. Xxxxxxxx řízení xxxxx
x) Xxxxxxxxxxxx, hodnocení a xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx určení xxxxxx xxxxxxx,
2. xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx důvěrnosti, xxxxxxxxx x xxxxxxxxxxx.
x) Identifikace, xxxxxxxxx x evidence xxxxxxxxxx xxxxx
1. určení x evidence xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx jejich xxxxxxx,
2. xxxxxx vazeb xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.
x) Xxxxxxxx ochrany xxxxxxxxxxxx xxxxxx aktiv
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx xxxxx podle xxxxxx aktiv,
3. xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx xxx, informací, xxxxxxxxxx xxxxx x xxxxxx xxxxx.
1.3. Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx
x) Xxxxxx xxxxxxxxxxxxxx xxxx a xxxxxx práv x xxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx výkonu xxxxxxxx xxxxxxxxxxxx bezpečnostních rolí.
c) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxx.
1.4. Xxxxxxxx xxxxxx xxxxxxxxxx
x) Xxxxxxxx x xxxxxxxx xxx xxxxx xxxxxxxxxx.
x) Pravidla xxx hodnocení xxxxx xxxxxxxxxxxxx x dodavateli.
c) Xxxxxxxxxxx smlouvy x xxxxxx xxxxxx x xxxxxxx x xxxxxx xxxxxxxxx bezpečnostních opatření x o xxxxxx xxxxxxxx smluvní xxxxxxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx dodavatelů.
1.5. Xxxxxxxx xxxxxxxxxxx xxxxxxxx zdrojů
a) Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxx xxxxxxxxx
1. xxxxxxx x xxxxx xxxxxxx xxxxxxxxx,
2. způsoby a xxxxx xxxxxxx xxxxxxx xxxxx,
3. xxxxxxx a xxxxx xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx a formy xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
b) Xxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxx nebo změnu xxxxxxxx pozice
1. xxxxxxx xxxxxxxxx aktiv a xxxxxxxx xxxx při xxxxxxxx pracovního vztahu,
2. xxxxx xxxxxxxxxxxx xxxxxxxxx xxx změně xxxxxxxx xxxxxx.
1.6. Xxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxx
x) Xxxxxxxxx x odpovědnosti xxxxxxx x xxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx x xxxxxxxxx xxxxxxxxxx provozu.
d) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx auditů xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxxxx xxxxx.
1.7. Politika xxxxxx xxxxxxxx
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (xxxx xx xxxx).
x) Xxxxxxxxx xx xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxx přístupu.
d) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.
x) Pravidelné xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxx jednotlivých xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx.
1.8. Xxxxxxxx bezpečného chování xxxxxxxxx
x) Pravidla xxx xxxxxxxx xxxxxxxxx x xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxxxx elektronické pošty x přístupu xx xxxxxxxx.
x) Xxxxxxxx vzdálený xxxxxxx.
x) Xxxxxxxx chování xx xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx xx xxxxxx x xxxxxxxx zařízením.
1.9. Xxxxxxxx zálohování x xxxxxx x xxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxxx na xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxxxx ukládání.
d) Xxxxxxxx xxxxxxxxxx xxxxxxxxxx x dlouhodobého xxxxxxxx xxxxxxxxx.
x) Pravidla a xxxxxxx xxxxxx.
x) Pravidla x postupy xxxxxxxxx xxxxxxxxxx a xxxxxx.
x) Xxxxxxxx přístupu x xxxxxxx, ukládaným xxxxxxxxxx.
1.10. Xxxxxxxx xxxxxxxxxx předávání x xxxxxx xxxxxxxxx
x) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx informací.
c) Xxxxxxxx xxx využívání xxxxxxxxxxxxxx xxxxxxx.
1.11. Xxxxxxxx xxxxxx technických xxxxxxxxxxxxx
x) Xxxxxxxx xxx xxxxxxx xxxxxxxxx programového xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxxx opravných programových xxxxxxx.
x) Xxxxxxxx x xxxxxxx testování xxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x postupy xxxxxxxx xxxxx xxxxxxxxxxxx vybavení.
1.12. Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx zařízení
a) Pravidla x xxxxxxx pro xxxxxxxx xxxxxxxxx mobilních xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx zajištění xxxxxxxxxxx zařízení, xxxxx xxxxxxx xxxxx nemá xx xxx xxxxxx.
1.13. Xxxxxxxx akvizice, vývoje x xxxxxx
x) Xxxxxxxxxxxx xxxxxxxxx pro xxxxxxxx, xxxxx x xxxxxx.
x) Xxxxxx xxxxxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxx x nabývání xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
1. xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx a xxxx xxxxxxxx,
2. xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxxxx licenčních xxxxxxxx.
1.14. Politika xxxxxxx xxxxxxxx xxxxx
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx osobních xxxxx.
x) Popis přijatých x provedených xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx údajů.
1.15. Xxxxxxxx xxxxxxx xxxxxxxxxxx
x) Xxxxxxxx xxx ochranu xxxxxxx.
x) Xxxxxxxx xxx kontrolu xxxxxx osob.
c) Pravidla xxx xxxxxxx xxxxxxxx.
x) Xxxxxxx narušení fyzické xxxxxxxxxxx.
1.16. Politika xxxxxxxxxxx xxxxxxxxxxx xxxx
x) Xxxxxxxx x postupy pro xxxxxxxxx xxxxxxxxxxx sítě.
b) Xxxxxx práv a xxxxxxxxxx xx bezpečný xxxxxx sítě.
c) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxxx x xxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxx přístupu x xxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxxxxxx sítě a xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.
1.17. Xxxxxxxx xxxxxxx xxxx xxxxxxxxx kódem
a) Xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxx xxxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx ochranu xxxxxxx x xxxxxxxxx datových xxxxxxx.
x) Pravidla a xxxxxxx xxx ochranu xxxxxxxxxx xxxxxx.
1.18. Xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
x) Xxxxxxxx x postupy xxxxxxxx xxxxxxxx xxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Provozní postupy xxx xxxxxxxxxxxxx a xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
1.19. Xxxxxxxx xxxxxxx x xxxxxx nástroje xxx xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxx a xxxxxxx xxx evidenci a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Pravidla a xxxxxxx pravidelné xxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxx xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
1.20. Xxxxxxxx bezpečného xxxxxxxxx xxxxxxxxxxxxxx ochrany
a) Xxxxxx xxxxxxx x xxxxxxx na typ x sílu xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx
1. xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx,
2. při uložení xx mobilní xxxxxxxx xxxx vyměnitelný xxxxxxxxx xxxxx xxx.
x) Xxxxxx xxxxxx xxxxx.
1.21. Xxxxxxxx xxxxxx xxxx
x) Xxxxxx x xxxxxxxx xxxxxx xxxxxxxxxx xxxx v xxxxx xxxxxxx xxxxx, xxxxxx xxxxxxxxx, xxxxxxxxxxxx x komunikačních xxxxxxxxx.
x) Xxxxxxxxxxxxx dopadů xxxxxxxxxx xxxx.
x) Xxxxxx xxxxxx xxxxxxxx a xxxxxxxxx xxxxxxxxxx změn.
1.22. Politika xxxxxxxx kybernetických bezpečnostních xxxxxxxxx
x) Xxxxxxxxxx kategorií xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxxxxx, xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxx systému xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro vyhodnocení xxxxxxxxxxxxxx bezpečnostních incidentů x xxx zlepšování xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxx.
1.23. Politika xxxxxx xxxxxxxxxx xxxxxxxx
x) Xxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxx xxxxxx xxxxxxxxxx činností
1. minimální xxxxxx poskytovaných xxxxxx,
2. xxxx xxxxxxxx xxxxx,
3. xxx xxxxxxxx dat.
c) Xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxx kontinuity.
d) Xxxxxxx xxxxxxxxx dopadů kybernetických xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx x posuzování xxxxxxxxxxxxx rizik.
e) Xxxxxx x xxxxx xxxxxxxxxx xxxxx kontinuity x xxxxxxxxxxx xxxxx.
x) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx.
2. Xxxxx xxxxxxxxxxxx xxxxxxxxxxx
2.1. Zpráva x xxxxxx kybernetické xxxxxxxxxxx
x) Xxxx xxxxxx xxxxxxxxxxxx bezpečnosti.
b) Předmět xxxxxx xxxxxxxxxxxx bezpečnosti.
c) Xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx xxxx xxxxxxxx x osob, xxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx zúčastnily.
e) Xxxxx x xxxxx, xxx xxxx xxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti.
f) Xxxxxxxx x xxxxxx kybernetické xxxxxxxxxxx.
x) Závěry xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
2.2. Xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx informací.
b) Xxxxxxxxxxxx xxxx x xxxxxxxxx, xxxxx xxxxx xxx xxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxx x výkonnosti řízení xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x xxxxxxxx opatření,
2. xxxxxxxx xxxxxxxxxxxx a xxxxxx,
3. xxxxxxxx xxxxxx,
4. xxxxxxxx cílů xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxx rizik x xxxx xxxxx xxxxxxxx rizik.
e) Identifikace xxxxxxxx pro neustálé xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, stanovení xxxxxxxx x xxxx zajišťujících xxxxx xxxxxxxxxxxx xxxxxxxx.
2.3. Xxxxxxxx xxx xxxxxxxxxxxx x hodnocení aktiv x xxx xxxxxxxxx xxxxx
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx primárních xxxxx
1. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxxxxxxx aktiv,
2. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxx aktiv,
3. xxxxxx stupnice xxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.
x) Určení stupnice xxx hodnocení rizik
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx,
4. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxx.
x) Xxxxxx a přístupy xxx xxxxxxxx rizik.
d) Xxxxxxx schvalování akceptovatelných xxxxx.
2.4. Xxxxxx o xxxxxxxxx xxxxx x xxxxx
x) Přehled xxxxxxxxxx xxxxx
1. identifikace x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx garantů xxxxxxxxxx xxxxx,
3. hodnocení primárních xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx.
x) Xxxxxxx podpůrných xxxxx
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx aktiv,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxx xxxxx xxxx xxxxxxxxxx a xxxxxxxxxx aktivy.
c) Hodnocení xxxxx
1. posouzení možných xxxxxx xx xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
4. xxxxxxxxx úrovně rizika, xxxxxxxxx xxxx xxxxxx x xxxxxxxx pro xxxxxxxxxxxxxxxx xxxxx,
5. určení x schválení akceptovatelných xxxxx.
x) Xxxxxxxx xxxxx
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. návrh xxxxxxxx x xxxxxx xxxxxxxxx.
2.5. Xxxxxxxxxx o xxxxxxxxxxxxxxxx
x) Xxxxxxx vyloučených bezpečnostních xxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxx zdůvodnění, xxxx xxxxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx bezpečnostních xxxxxxxx včetně způsobu xxxxxx implementace.
2.6. Xxxx xxxxxxxx rizik
a) Obsah x xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik včetně xxxxx xx xxxxxxxxx xxxxxx.
x) Potřebné xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxx zajišťující xxxxxxxxxx xxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx.
x) Xxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření.
f) Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx zvládání xxxxx.
2.7. Xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxx x termíny xxxxxxx xxxxxxxxx, administrátorů a xxxx zastávajících xxxxxxxxxxxx xxxx.
x) Xxxxx x xxxxxxx xxxxxxx nových xxxxxxxxxxx.
x) Xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx a xxxxxx xxxx, xxxxx školení xxxxxxxxxxx.
x) Formy x xxxxxxx xxxxxxxxx xxxxx.
2.8. Xxxxxxxx xxxx
x) Evidence xxxxxxxxx xxxxx významných xxxx.
x) Záznamy x xxxxxxx konfigurace podpůrných xxxxx.
2.9. Hlášené xxxxxxxxx xxxxx
Xxxxxxx xxxxxxxxx kontaktních xxxxx.
2.10. Přehled xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx předpisů x xxxxxx předpisů x xxxxxxxxx xxxxxxx
x) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxx x jiných xxxxxxxx.
x) Přehled smluvních xxxxxxx.
2.11. Další doporučená xxxxxxxxxxx
x) Xxxxxxxxx infrastruktury.
b) Xxxxxxx síťových xxxxxxxx.
Příloha x. 6 x xxxxxxxx č. 82/2018 Xx.
Xxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxx xxxx
Xxxx xxxxxxx obsahuje xxxxx xxxxxxxxxxxx požadavků xxx xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxxxxxxxxxx xxxx xxxxxxx x §6 x 7.
Xxx. 1: Xxxxx xxx xxxxxx kybernetické xxxxxxxxxxx
|
Xxxx: |
Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx činnosti: |
a) Xxxxxxxxxxx za xxxxxxx xxxxxx x xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxx xxxxxxx osoby. |
|
Další xxxxxxxx: |
x) Xxxx výboru xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx být xxxxxxx |
Xxx. 2: Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx činnosti: |
a) Odpovědnost xx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxx řady XXX/XXX 27000 x xxxxxxx xxxxx x xxxxxxx xxxxxxxxxxx a XXX. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx x xxxxx xxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxxxxx, xxxx |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Xxxxxxxx Xxxxxxx (XXXX), Certified xx Risk xxx Xxxxxxxxxxx Systems Control (XXXXX), Certified Xxxxxxxxxxx Xxxxxxx Xxxxxxxx Xxxxxxxxxxxx (XXXXX), Xxxxxxx BI (xxxxxxxxxxx xxxxxx ČIA). |
|
Další xxxxxxxx: |
x) Xxxx xxxx xxxxxxxxxx x rolemi xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x x xxxxxxx xxxxxxxxxx xx xxxxxxxx xxxxxx. |
Xxx. 3: Architekt xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxxxx kybernetické xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxxx informačních x komunikačních systémů x xxxx navrhování. |
|
Zkušenosti: |
a) Xxxxxxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 roky xxxxx v xxxxx xxxxxxxxxx nebo kybernetické xxxxxxxxxxx, xxxx |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Ethical Xxxxxx (XXX), XxxxXXX Security +, Certified Information Xxxxxxxx Xxxxxxx (XXXX), Xxxxxxxxx xx Xxxx xxx Information Xxxxxxx Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Xxxxxxxx Xxxxxxxxxxxx (XXXXX), Xxxxxxx XX (xxxxxxxxxxx schéma XXX). |
|
Xxxxx podmínky: |
Role xxxx xxxxxxxxxx s rolemi xxxxxxxxxxx za xxxxxx xxxxxxxxxxxx x komunikačních xxxxxxx. |
Xxx. 4: Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
Xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx: |
x) Metodologie x rámce xxxxxx xxxxxxxxxx xxxxxxxxxxx. |
|
Zkušenosti: |
a) Xxxxxxxxx xxxxxx informační xxxx xxxxxxxxxxxx bezpečnosti. |
|
Xxxxxxxx x praxe: |
a) Xxxxxxx 3 xxxx xxxxx x xxxxxxx xxxxxx xxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxxxxx, xxxx |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXX), Xxxxxxxxx Xxxxxxxx Xxxxxxx (CIA), Certified xx Xxxx and Xxxxxxxxxxx Systems Control (XXXXX), Lead Auditor Xxxxxxxxxxx Xxxxxxxx Xxxxxxxxxx Xxxxxx (Lead Xxxxxxx XXXX), Xxxxxxx XX (xxxxxxxxxxx schéma ČIA). |
|
Další xxxxxxxx: |
x) Xxxx není xxxxxxxxxx s xxxxxx |
Xxx. 5: Xxxxxx xxxxxx
|
Xxxx: |
Xxxxxx aktiva |
|
Klíčové xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxxxxx rozvoje, použití x xxxxxxxxxxx xxxxxx. |
|
Xxxxxxxx: |
x) Dobrá znalost xxxxxx, jehož xx xxxxxxxx. |
* Xxxxxxxxxxx xxxx xxx x xxxx xxx xxxxxxx, jestliže certifikace xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx XXX 17 024.
Příloha x. 7 x xxxxxxxx č. 82/2018 Sb.
Řízení xxxxxxxxxx - bezpečnostní xxxxxxxx xxx xxxxxxx xxxxxx
Xxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx:
x) xxxxxxxxxx x xxxxxxxxxxx informací (x xxxxxxx xxxxxxxxxx, xxxxxxxxxxx a xxxxxxxxx),
x) xxxxxxxxxx o oprávnění xxxxxx xxxx,
x) xxxxxxxxxx x autorství xxxxxxxxxxxx xxxx, xxxxxxxxx o xxxxxxxxxxxx xxxxxxxxx,
x) ustanovení x xxxxxxxx x xxxxxx xxxxxxxxxx (xxxxxxxx xxxxxxxxxxxx xxxxxx),
x) ustanovení xxxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxx musí xxx xxxxxxxxx, xx poddodavatelé xx xxxxxx xxxxxxxxx x xxxxx xxxxxxx xxxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxxxx x xxxxxxx v xxxxxxx s xxxxxxxxx xxxxxxx osoby na xxxxxxxxxx,
x) xxxxxxxxxx o xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxxxx bezpečnostních xxxxxxx dodavatele povinnou xxxxxx,
x) xxxxxxxxxx o xxxxxx xxxx,
x) xxxxxxxxxx x xxxxxxx xxxxx x xxxxxx xxxxxxxxx xxxxxxxx předpisy,
i) xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx osobu x
1. kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx souvisejících x xxxxxxx xxxxxxx,
2. způsobu xxxxxx xxxxx xx xxxxxx dodavatele a x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxx,
3. xxxxxxxx xxxxx xxxxxxxx tohoto dodavatele xxxxx zákona o xxxxxxxxxx xxxxxxxxxxx nebo xxxxx xxxxxxxxxxx zásadních xxxxx, xxxxxxxxx změně xxxxxxxxx xxxxxxxx s xxxxxx xxxxxx, využívaných xxxxx xxxxxxxxxxx x xxxxxx xxxxx smlouvy xx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxx xxxxxxxx xxxxxxx (xxxxxxxxx xxxxxxxxx xxxxxx xxx xxxxxxxx xxxxxxxxxx, xxx je xxxxx ještě xxxxxxxx xxxxxx xxxx nasazením xxxxxx xxxxxx, xxxxxxx xxx x xxxxxxx),
x) xxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxx xxxxxxxx x xxxxxxxxxxx x xxxxxxxxxx (například xxxxxxxx xxxxxxxxxx xx havarijních xxxxx, xxxxx xxxxxxxxxx xxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx),
x) xxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxx xxx, xxxxxxxxxx xxxxx a xxxxxxxxx xx xxxxxxxx xxxxxxxx,
x) xxxxxxxx xxx likvidaci xxx,
x) xxxxxxxxxx o xxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxx v xxxxxxx xxxxxxxx xxxxx xxxxxxxx xxx xxxxxxxxxxx xxxx xxxxx kontroly xxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx k xxxxxx xxxxx xxxxxxx x
x) ustanovení x xxxxxxxx za porušení xxxxxxxxxx.
Xxxxxxx x. 8 x vyhlášce x. 82/2018 Xx.
Xxxx Xxxxxxxxx xxx hlášení kontaktních xxxxx
Informace
Právní xxxxxxx x. 82/2018 Xx. xxxxx xxxxxxxxx xxxx 28.5.2018.
Xx xxx xxxxxxxx xxxxxx xxxxxxx nebyl xxxxx xx xxxxxxxxx.
Xxxxx jednotlivých xxxxxxxx norem xxxxxx xxxxxxxx předpisů x xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx se jich xxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
1) Xxxxxxxx Xxxxxxxxxx xxxxxxxxxx a Xxxx (XX) 2016/1148 ze xxx 6. července 2016 x xxxxxxxxxx x xxxxxxxxx vysoké xxxxxxxx xxxxxx bezpečnosti xxxx x informačních xxxxxxx x Xxxx.