Plné znění - 479/2024 Sb.

Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti)

479/2024 Sb.
 

Vyhláška

ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ

Předmět úpravy §1

Vymezení pojmů §2

ČÁST DRUHÁ - INFORMAČNÍ BEZPEČNOST

Bezpečnostní požadavky §3

Bezpečnostní požadavky v oblasti počítačové bezpečnosti §4 §5

Systémově závislé bezpečnostní požadavky na informační systém odvozené z bezpečnostního provozního módu §6 §7

Bezpečnostní požadavky v oblasti komunikační bezpečnosti §8

Bezpečnostní požadavky na bezpečné propojení informačních nebo komunikačních systémů §9 §10

Bezpečnostní požadavky na řízení kapacit a kontinuity §11

Bezpečnostní požadavky na ochranu rozmístitelných nebo mobilních zařízení §12

Bezpečnostní požadavky na bezpečnost nosičů informací §13 §14 §15

Bezpečnostní požadavky na přístup uživatele k utajované informaci v systému §16 §17

Bezpečnostní požadavky na bezpečnostní a provozní správu §18

Bezpečnostní požadavky personální bezpečnosti při provozu systému §19

Bezpečnostní požadavky na činnost subjektu systému §20

Bezpečnostní požadavky na fyzickou bezpečnost §21 §22

Bezpečnostní požadavky na administrativní bezpečnost v informačním systému §23

Bezpečnostní požadavky na informační systém s distribuční službou §24

Bezpečnostní požadavky na testování a prověřování §25

Bezpečnostní požadavky na bezpečnost vývoje a instalace §26

Bezpečnostní požadavky na bezpečnost provozu §27 §28 §29 §30 §31 §32

Bezpečnostní požadavky na softwarové vybavení §33

Zvláštní bezpečnostní požadavky na softwarové vybavení informačního systému §34

Bezpečnostní požadavky při nově identifikovaných hrozbách a zvýšení rizik §35

ČÁST TŘETÍ - OBSAH DOKUMENTACE §36

Bezpečnostní politika §37

Analýza rizik §38

Popis bezpečnosti systému §39

Dokumentace k bezpečnostním testům §40

Provozní bezpečnostní směrnice §41

Evidence aktiv §42

Evidence uživatelů §43

Provozní deník §44

ČÁST ČTVRTÁ - CERTIFIKACE A AKREDITACE INFORMAČNÍHO SYSTÉMU A SCHVALOVÁNÍ PROJEKTU BEZPEČNOSTI

HLAVA I - Informační systém

Díl 1 - Certifikace informačního systému

Žádost o certifikaci informačního systému §45

Způsob a podmínky provádění certifikace informačního systému §46

Certifikační zpráva §47

Opakovaná žádost o certifikaci informačního systému §48

Díl 2 - Smlouva o zajištění činnosti §49

Díl 3 - Akreditace informačního systému §50

Díl 4 - Podmínky bezpečného provozování informačního systému §51

HLAVA II - Komunikační systém

Náležitosti projektu bezpečnosti §52

Žádost o schválení projektu bezpečnosti §53

Způsob a podmínky schvalování projektu bezpečnosti §54

HLAVA III - Posuzování modulů §55

ČÁST PÁTÁ - SAMOSTATNÁ ELEKTRONICKÁ ZAŘÍZENÍ

Podmínky bezpečného provozování samostatného elektronického zařízení §56 §57

ČÁST ŠESTÁ - PŘECHODNÁ A ZÁVĚREČNÁ USTANOVENÍ

Přechodná ustanovení §58

Zrušovací ustanovení §59

ČÁST SEDMÁ - ÚČINNOST §60

Příloha č. 1 - Fyzická bezpečnost

Příloha č. 2 - Vzor certifikátu

INFORMACE

479

XXXXXXXX

xx xxx 19. xxxxxxxx 2024

x xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx x utajovanými informacemi x x xxxxxxxxx xxxxxxxxxxxxx žádosti x xxxxxxxx xxxxxxx o xxxxxxxxx xxxxxxxx (xxxxxxxx x xxxxxxxxxx xxxxxxxxxxx)
&xxxx;

Xxxxxxx xxxx xxx kybernetickou x informační bezpečnost xxxxxxx xxxxx §34 xxxx. 7, §35 xxxx. 6, §36 xxxx. 4 a §53 xxxx. x) xx x) x x) xxxxxx x. 412/2005 Sb., o xxxxxxx xxxxxxxxxxx xxxxxxxxx x x bezpečnostní xxxxxxxxxxxx, xx xxxxx xxxxxx x. 255/2011, xxxxxx x. 205/2017 Xx. a xxxxxx x. 267/2024 Sb., (xxxx jen „zákon“):

XXXX XXXXX

XXXXXX XXXXXXXXXX

§1

Xxxxxxx xxxxxx

(1) Xxxx vyhláška xxxxxxxx v xxxxxxxxxx xx xxxxxxxx Xxxxxxxx xxxx¹⁾

x) požadavky xx xxxxxxxxxx systém nakládající x xxxxxxxxxxx xxxxxxxxxxx (xxxx jen „xxxxxxxxxx xxxxxx“) x xxxxxxxx xxxx bezpečného xxxxxxxxxxx x závislosti xx xxxxxx utajení utajovaných xxxxxxxxx, x xxxxx xxxxxxx, x xx xxxxxxxxxxxxx xxxxxxxxx módu,

b) xxxxx xxxxxxxxxxxx dokumentace xxxxxxxxxxxx xxxxxxx,

x) xxxxxxxxxxx xxxxxxxx provozovatele xxxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxx nebo xxxxxxxx xxxxx §34 xxxx. 7 xxxx. x) xxxxxx,

x) xxxxx xxxxxxx o schválení xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx nakládajícího x xxxxxxxxxxx informacemi (xxxx xxx „xxxxxxxxxxx systém“),

e) xxxxxxxxxxx xxxxxxxx bezpečnosti xxxxxxxxxxxxx systému (xxxx xxx „xxxxxxx bezpečnosti“) x xxxxxx x xxxxxxxx xxxx xxxxxxxxxxx xxxxx §35 xxxx. 6 zákona,

f) způsob x xxxxxxxx provádění xxxxxxxxxx xxxxxxxxxxxx systému xxxx moci xxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxx xx xxxxx České xxxxxxxxx,

x) xxxxxxxxxxx xxxxxxx a xxxxxxxxx xxxxxxx o xxxxxxxxxxx xxxxxxxxxxxx systému x xxxxxxxxxxx xxxxxxxxx x xxxxxxxxx certifikace xxxxxxxxxxxx xxxxxxx,

x) xxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx systému, xxxxxx xxxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxx xxxxx §46 xxxx. 13 x

x) xxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx.

(2) Tato xxxxxxxx dále xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx, které xxxx xxxxxxxx informačního nebo xxxxxxxxxxxxx systému (xxxx xxx „samostatné elektronické xxxxxxxx“), x xxxxxx xxxxxxxxxxxx xxxxxxxxx podle §36 xxxx. 2 xxxx. x) xxxxxx.

(3) Xxxx xxxxxxxx xxxx xxxxxxx náležitosti xxxxxxx x xxxxxxxx xxxxxxx x xxxxxxxxx činnosti xxxxx §52 zákona, xxxxxx předmětem xx xxxxxxxxx xxxxxxx úloh xxx ověřování xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx.

§2

Xxxxxxxx xxxxx

Xxx xxxxx xxxx vyhlášky xx xxxxxx

x) xxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxx samostatného xxxxxxxxxxxxxx xxxxxxxx (dále jen „xxxxxx“) xxxxxxx xxxxx, xxxxx obsahuje xxxx xxxxxxx xxxxxxxxx,

x) subjektem xxxxxxx aktivní xxxxx, xxxxx xxxxxxxxx xxxxxxx xxxxxxxxx mezi xxxxxxx xxxxxxx xxxx změnu xxxxx systému,

c) xxxxxxx xxxxxxx xx xxxxxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxx, xxxxxxxxxxx x xxxxxxxxx, xxxxx xxxx x systému xxxxxxx,

x) xxxxxxxx xxxxxxxx xxxxxx xxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxx xxxx xxxxx xxxxxxx xxxx x činnosti xxxxxxxx systému,

e) xxxxxxxxxxx xxxxxxxx systému proces xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxxx xxxxx poskytující xxxxxx, xx prohlašovaná xxxxxxxx xxxxxxxx xxxxxxx xx xxxxx,

x) autorizací xxxxxxxx xxxxxxx xxxxxx udělení xxxxxxxxx subjektu systému x provádění xxxxxxxx xxxxxxx s xxxxxxxx xxxxxxx xxxxxxx,

x) xxxxxxxxxx xxxxxxxxxxx xxxxxx, xxxxxxxxxx x řízení xxxxxxxxxxxxxx xxxxxxxx, jejichž xxxxx xx xxxxxxxx důvěrnost, xxxxxxxxx x xxxxxxxxxx xxxxx xxxxxxx, a xxxxxxxxxxx xxxxxxxx systému xx xxxxxx xxxxxxx x xxxxxxx,

x) xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxx informací v xxxxxxx xxx xxxxxxx xxxxxxxxxxxx kanálem,

i) xxxxxxxxxxxx xxxxxxx prostředí xxxxxxxx x xxxxxxx xxxxxxxxx xxxx xxxxxxx xxxxxxx, xxxxxxxx xxxxxxxx systému x xxxxx jednoho xxxx xxxxxxxx xxxxxxxxxxx xxxxxxx,

x) xxxxxxxxxxxx xxxxxxxx xxxxxxx, xxxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx,

x) xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxx,

x) uživatelem xxxxxxx xxxxx xxxx xxxxxxx xxxxxxx x xxxxxx roli,

m) xxxx xxxxxx určených xxxxxxxx x xxxxxxxxxx oprávnění,

n) xxxxxxx informací zařízení x xxxxxxxxxxx nezávislou xxxxxx, xxxxx xx xxxxxx výhradně pro xxxxxxx v xxxxxxx xxxxxxx xxxx xxxx xxxxxxx, a které xxxx xxxxxx x xxxxxxxx nebo xxxxxxxx xxxxxxxxxx xxxx utajovaný xxxxxxxx x nelistinné xxxxxx xxxxx právního xxxxxxxx upravujícího xxxxxxxxxxxxxxx xxxxxxxxxx,

x) řízením xxxxxxxx xxxxxxxxxx pro omezení xxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxx, xxxxxxxxxxx, že xxxxxxx x xxx získá xxx xxxxxxxxx xxxxxxx xxxxxxx,

x) xxxxxxxxxx xxxxxxx xxxxxxxx řízení přístupu xxxxxxxx na xxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxx xxxxxxx k xxxxxxx xxxxxxx, xxxxxxx xxxxxxx xxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx xxx xxxxxxx x objektu xxxxxxx může zvolit, xxxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxx x xxxxxxxx x tomuto xxxxxxx xxxxxxx, x xxxx tak xxxxxxxxxx xxx xxxxxxxxx mezi xxxxxxx xxxxxxx, x

x) xxxxxxxx xxxxxxx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxx xx porovnání xxxxxx xxxxxxx utajované xxxxxxxxx xxxxxxxx x objektu xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxx systému xxx xxxxxxx k xxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxx tok xxxxxxxxx xxxx xxxxxxx xxxxxxx s xxxxxxx xxxxxx xxxxxxx xxxxxxxxx xx volbě xxxxxxx xxxxxxxxxx.

XXXX XXXXX

XXXXXXXXXX BEZPEČNOST

§3

Bezpečnostní xxxxxxxxx

(1) Bezpečnostní xxxxxxxxx xxxx xxxxxxxxx xx xxxxxx, jeho řízení, xxxxxx x xxxxxx x na objekty, xxxxxxxx x aktiva xxxxxxx, xxxxxxx xxxxx xx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx

x) xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx,

x) xxxxxxxxxxxxxx ochrany,

c) xxxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxxxxx kompromitujícím xxxxxxxxxxx,

x) administrativní xxxxxxxxxxx x organizačních opatření,

e) xxxxxxxxxx bezpečnosti x

x) xxxxxxx bezpečnosti.

(2) Xxxxxxxxxxxx xxxxxxxxx xxxxxxxx provozovatel xxxxxxx xxxxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx opatření specifikovaného x příslušné xxxxxxxxxxxx xxxxxxxxxxx, která xxxx xxx xxxxxxxxxxxx xxxxxxxxxx xxxxxx, xx xxxxxxxxx xxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxx.

(3) Xxxxxxxxxxxx opatření xxxx xxxxxxxxxxxx systému xxxxxxxx xxx, xxx xxxxxx, xxxxxx xx xxxxxxxxx xxxxxxxxx v xxxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxx, xxxx xxxxxxx xx přijatelnou xxxxxx.

(4) Xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxxx a xxxxxxxxxx xxxxxxxxxx technických xxxxxxxxxx systému (dále xxx „xxxxxxxxxxxx xxxxxx“).

(5) Xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxx být xxxxxxxxxxxxxx xxxxxxx xxxxx xxx, xxx bylo xxxxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxxxxxxxx, provozování, xxxxxxxxxxxx, xxxxxxxxxxxxx, xxxxxxxxx x xxxx xxxxxxxxxx.

(6) Xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxxx informační xxxxxxxxxxx systému xxxx xxxxxxxx alespoň

a) xxxxxxxxxxxx xxxxxxxxx xxxxxxx x xxxx xxxxxxxx,

x) bezpečnostní xxxxxxxxx uvedené x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxx,

x) pravidla pro xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx v xxxxxxx xxxxxxxx xxxxxxxxxxx kryptografickou xxxxxxx x

x) xxxxxxxx xxxxxxx xxxxx xxxxx §38.

Xxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxxx

§4

(1) Xxxxxxxx musí xxx xxxxxxxxx xxxxxxxxxxxx xxxxxx

x) xxxxxxxxxxxx x autentizace xxxxxxxx xxxxxxx, xxxxx xxxx xxxxxxxxxx xxxx xxxx xxxxxx xxxxxxxxx, x musí xxx xxxxxxxxx xxxxxxx důvěrnosti x integrity autentizační xxxxxxxxx, nestanoví-li xxxxxxx xxxxx x xxxxx xxxxxxxxxxx xxxxxxx xxxxx,

x) xxxxxxxxxxx řízení přístupu x xxxxxxxx xxxxxxx xx základě rozlišování x xxxxxx xxxxxxxxxxxx xxxx xxxxxxxx xxxxxxx x xxxx xxxxxxxx xxxx členství xx xxxxxxx xxxxxxxx xx xxxxxxx xxxxxxxxxx,

x) xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, které xxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxx systému, xx auditních xxxxxxx x xxxxxxxxxxx auditních xxxxxxx xxxx xxxxxxxxxxxxxxx xxxxxxxxx, xxxxxx nebo xxxxxxxx; zaznamenává xx xxxxxxx použití identifikačních x autentizačních xxxxxxxxx, xxxxx x změnu xxxxxxxxxxxx xxxx, xxxxxxxxx xxxx xxxxxx objektů xxxxxxx xxxx xxxxxxx xxxxxxxxxxx subjektů systému xxxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxx xxxxxxx,

x) schopnosti xxxxxxxx xxxxxxxxx xxxxxxx x stanovení xxxxxxxxxxxx xxxxxxx xxxxxxxx systému,

e) xxxxxxxx xxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxx xxxxxxxx xxxx přidělením xxxxxx xxxxxxxx xxxxxxx, xxxxx xxxxxxxx zjistit xxxxxx xxxxxxxxx xxxxx,

x) xxxxxxx xxxxxxxxxx x xxxxxxxxx xxx xxxxx xxxxxxx mezi jejich xxxxxxx x xxxxx x

x) xxxxxxx před xxxxxxxxx kódem.

(2) Xxxxxxxxxxxx xxxxxx xxxxxxx x xxxxxxxx 1 se xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx. Xxxxxx popisu jejich xxxxxxxxx a xxxxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxx systému xxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxxx a xxxxxxxxxx xxxxxx dostatečnosti.

(3) Mechanismy, xxxxx se xxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, musí xxx v celém xxxxxxxx xxxxx xxxxxxx xxxxxxxx xxxx narušením xxxx neautorizovanými xxxxxxx.

(4) Xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxx, xxx xxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx x jejich xxxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx xxxxx a xxx xx celou xxxx xxxxxxx xxxxxxx.

(5) Na xxxxxxx xxxxxxx xxxxx xx x rozsáhlých xxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx musí využívat xxxxxxxxx nástroje xxx xxxxxxxxxxxxx xxxxxxxx, které xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx x xxxxx identifikace xxxxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxx xxxxxxxx xxxxxxxx xxxx. Xxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxxxx systémem se xxxxxx xxxxxx xxxxxx xxxxxxx 200 xxxxxxxxx.

§5

(1) Xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxxxx bezpečnostních xxxxxx xxxxxxxxxx xxxxxxxxxxx podle §4 xxx v xxxxxxxxxxxx případech xxxxxxxx xxxxxxxx jiných xxxxxxxxxxxxxx xxxxxxxx personální, xxxxxxxxxxxxxxx x fyzické bezpečnosti xxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxxx opatření.

(2) Xxx xxxxxxxxx bezpečnostních xxxxxxxx xxxxxxxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx funkcí xxxxxxxxxx bezpečnosti xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx podle xxxxxxxx 1 musí xxx xxxxxxxx xxxx xxxxxxxxxxxx funkce x xxxxxxx x xxxxxx xxxxxxxxxxx poskytované nahrazovaným xxxxxxxxxxxxx xxxxxxxxx.

(3) Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx spočívajících x xxxxxxxx bezpečnostních xxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx 1 xxxx být xxxxxxx x xxxxxxxxxx x xxxxxxx xxxxx xxxx xxxxxx bezpečnosti systému.

Xxxxxxxxx závislé xxxxxxxxxxxx xxxxxxxxx na xxxxxxxxxx xxxxxx xxxxxxxx z xxxxxxxxxxxxxx provozního xxxx

§6

(1) Xxxxxxxxxx xxxxxxx xxxxx xxx provozovány xxxxx x některém z xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx, jimiž xxxx

x) xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxx,

x) xxxxxxxxxxxx xxxxxxxx xxx s xxxxxxxx xxxxxx,

x) xxxxxxxxxxxx xxxxxxxx xxx x xxxxxxxx xxxxxx x formálním xxxxxxx xxxxxxxx x xxxxxxxxxx, xxxx

x) xxxxxxxxxxxx xxxxxxxx xxx víceúrovňový.

(2) Xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxx xx xxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxx informací xxxxxxx stupně utajení, xxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxx podmínky xxx xxxxxxx k utajovaným xxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx, xx xxxxxxx xx xxxxxxxxxx systém xxxxx nakládat, a xxxxxxx xxxx xxx xxxxxxxxx xxxxxxxx xx xxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx. X xxxxxxxxxxxxx xxxxxxxxx módu xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx §4 xxxx. 1 xxxx. x) a x).

(3) Xxxxxxxxxxxx xxxxxxxx xxx x xxxxxxxx xxxxxx xx takové xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx utajení, xx kterém xxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxx xxxxxxxx xxxxxxxx xxx xxxxxxx x xxxxxxxxxx xxxxxxxxxx nejvyššího xxxxxx xxxxxxx, xxxxxxx xxxxxxx xxxxxxxx informačního xxxxxxx xxxxxx xxx xxxxxxxxx xxxxxxxx xx xxxxx obsaženými xxxxxxxxxxx xxxxxxxxxxx.

(4) Bezpečnostní xxxxxxxx xxx s nejvyšší xxxxxx s xxxxxxxxx xxxxxxx xxxxxxxx x xxxxxxxxxx xx takové xxxxxxxxx, xxxxx odpovídá xxxxxxxxxxxxxx xxxxxxxxxx xxxx x nejvyšší xxxxxx, xxx xxxx xxxxxxxx xxxxxx xxxxxxxx navíc xxxxxxxxxxx xxxxxxxx centrální xxxxxx kontroly přístupu.

(5) Xxxxxxxxxxxx provozní xxx xxxxxxxxxxxx xx xxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx utajovaných xxxxxxxxx různého xxxxxx xxxxxxx, xxx všechny xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxx xxxxxxxx xxxxxxxx k xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x xxxxxx xxx oprávněny xxxxxxxx xx xxxxx xxxxxxxxxxx xxxxxxxxxxx. Xxx provozu x bezpečnostním provozním xxxx víceúrovňovém musí xxx xxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx řízení xxxxxxxx subjektu xxxxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxx.

§7

(1) Bezpečnostní xxxxxx xxxxxxxxx xxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxx informačního xxxxxxx xxxx zabezpečit

a) xxxxxx xxxxxxx xxxxxxx xxxxxxxx a objektu xxxxxxxxxxxx xxxxxxx x xxxxxxxxxxxxxx xxxxxxxx, které xxx xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxx subjektu xxxxxxxxxxxx systému x xxxxxxxx xxxxxxxxxxxx systému x pro objekt xxxxxxxxxxxx systému xxxxxx xxxxxxx xxxxxxxxx informace, xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxx xxxxxxx,

x) xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,

x) výlučné xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxx xxxxxxxxxxxxxx příznaků xxxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxx x

x) xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxx xxxxxxxxx xxxxxxx xxxxxxxxxxxx systému x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxx objektu xxxxxxxxxxxx systému.

(2) Xxx xxxxxxxxxxx bezpečnostní funkce xxxxxxxxx xxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxx systému x xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxx xxxxxxxxxxxx xxxxxxx

x) číst xxxxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxx pouze xxxxx, je-li xxxx xxxxxxxxxxxx příznak xxxxxx xxxx xxxxx než xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx, x

x) xxxxxxxxx xxxxxxxxx do xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx tehdy, xx-xx xxxx bezpečnostní xxxxxxx xxxxxx xxxx xxxxx xxx bezpečnostní xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx.

(3) Xxxxxxx informačního xxxxxxx xxxx xxxxxxxxxxx k xxxxxxxxx xxxxxxxx x xxxxxxx informačního xxxxxxx, xxxxxxxx xxx xxxxxxxx xxx xxxxxxxx povinného xxxxxx xxxxxxxx, tak xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxx.

(4) Xxx provozu xxxxxxxxxxxx xxxxxxx x xxxxxxxxxxxxx provozním xxxx xxxxxxxxxxxxx musí xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx x informačního systému xxxxxx xxxxxxxx xxxxxxx xxxxxxx x utajované xxxxxxxxx xxxxxxxxxx xx xxxxxxxxxxxx systému xxxxxxxx xxxxxx utajení.

(5) Xxx xxxxxxx informačního xxxxxxx x xxxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxxx, xx xxxxxx xx xxxxxxx x xxxxxxxxxx xxxxxxxxx xxxxxx utajení Xxxxxx xxxxx, xxxx xxx xxxxxxxxx, xxx nedochází x xxxxxxxxx xxxxxx xxxxxxxxx mezi xxxxxxxxxxx xxxxxxxx a xxxxxx xxxxxxxx, xxxxx xxxx xxx xxxxxxxxxx přímo xxxxx a xxx xxxxxxxxxxxx, x xxx xxxxxx dochází x xxxxxxxxx bezpečnostních mechanismů xxxxxxxxxxxx xxxxxxx.

§8

Bezpečnostní xxxxxxxxx v xxxxxxx komunikační xxxxxxxxxxx

(1) Xxx xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxx zajištěna xxxxxxx xxxxxxxxxx a xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxx jiných xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx, xxx nebyla xxxxxxxx xxxxxxxxxx bezpečnost.

(2) X xxxxxxxxxxxxx kanálů, xxxxx xxxx xxxxxx x xxxxx xxxxxxxxxxxxx xxxxxxx xxxx xxxxxxx, xxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxxxxxxxx xxxxxxxx xx xxxxx xxxxxx, xxx je xxx daný stupeň xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx vyžadováno, nebo xxx xxxxxxxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx nahradit xxxxxxxx vhodných xxxxxxxxxxxxxx xxxxxxxx fyzické xxxxxxxxxxx.

(3) X závislosti xx xxxxxxxxxxxx xxxxxxxxx xxxx xxx xxxxxxxxx spolehlivá xxxxxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx systému, xxxxxx xxxxxxx xxxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxx. Xxxx identifikace x xxxxxxxxxxx předchází přenosu xxxxxxxxx xxxxxxxxx.

(4) Přenos xxxxxxxxx informace komunikačním xxxxxxx xxxxxx xxxx xxxxxxxxxxxx xxxxxx xxxx xxxxxx xxxx xxx xxxxxxx pomocí kryptografického xxxxxxxxxx certifikovaného xxxxxxx xxx xxxxxx utajení xxxxxxxxx xxxxxxxxx xxxxxxxxx.

(5) Xxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx kanálu x xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxx bezpečnostní xxxxxxxx přijatých na xxxxxxx xxxxxxx xxxxx xxxx Národní xxxx xxx xxxxxxxxxxxxx x xxxxxxxxxx bezpečnost v xxxxx xxxxxxxxxxx informačního xxxxxxx xxxx schvalování xxxxxxxx bezpečnosti schválit x odlišný způsob xxxxxxxxxxx, než je xxxxxx x odstavcích 2 x 4.

(6) Xxxxxx xxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxx podle xxxxxxxx 1 xxxx xxxxxxxxx xxxxxx xxxxxxx xxxxxxxxxx xxx xxxxxxxx xxxxxx xxxxxxx utajovaných xxxxxxxxx, xxxxx budou xxxxxxxxxxxx kanálem přenášeny.

Xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxx propojení xxxxxxxxxxxx xxxx komunikačních xxxxxxx

§9

(1) Xxxxxxxxxxx xxxxx mezi xxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx, které xxxx xxxxxx k nakládání x utajovanými informacemi xxxxxxxx nebo různých xxxxxx xxxxxxx, případně xx-xx xxxxxxx x xxxx xxxxx pouze x xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx, xxx xxxxxx pouze x xxxxxxx xxxxxxxx provozní xxxxxxx x jestliže xx xxxxxxxx způsob xxxx ochrany xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx.

(2) Popis xxxxxxxxx x bezpečnostního rozhraní xx xxxxxxxx xxxxxx xxxxxxxxxxx každého propojovaného xxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx.

(3) Xxxxxxxxx informačních xxxx xxxxxxxxxxxxx systémů xxxxxxxx x xxxxxxxxx x xxxxxxxxxx informací xxxxxxxxx xxxxxx xxxxxxx xxxx být xxxxxxxxx xxx, xxx xxxx xxxx xxxx xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxx, xxx xx stupeň xxxxxxx utajované xxxxxxxxx, xxx xxxxx je xxxxxxxxxx xxxx komunikační xxxxxx xxxxx.

(4) Xxxx xxxxxxxxxxx informačními xxxx xxxxxxxxxxxxx systémy xxxx xxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx oblasti xxxxxxx xxxxxx xxxxxxxxx, jakou xx xxxxxxxx xxxxxx xxxxxxx utajované informace, xx kterým xx xxxxx nakládat v xxxxxxxx x propojovaných xxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx.

(5) Xxxxxx bezpečnostního xxxxxxxx xx zajišťována xxxxxxxx xxxx propojeného xxxxxxxxxxxx xxxx komunikačního xxxxxxx, xxxxx je xxxxx k nakládání x xxxxxx xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx. Xxxx-xx xxxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx xxxxxx x xxxxxxxxx x utajovanými xxxxxxxxxxx xxxxxxxx xxxxxx utajení, xxxxxxxx propojeného xxxxxxxxxxxx xxxx komunikačního xxxxxxx xxxxxxxxxxx xxxxxx bezpečnostního xxxxxxxx xxxxxxx xxxxx xxxxxxxxxxx xxxxxxx.

§10

(1) Xxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx xxxxx xxx propojen x xxxxxxxx komunikační sítí xxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx, xxxxxx xx xxx xxxxx xxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx.

(2) Xxxxxxxxxxxx rozhraní xxxxx xxxxxxxx 1 xxxx xxxxxxx xxxxxxx do xxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx a xxxx xxxxxxx xxxxx kontrolovaný xxxxxx xxxxxxxxx, xxxxx xxxxxxxxxx xxxxxxxxx, xxxxxxxxx x xxxxxxxxxx xxxxxxxxx x xxxxxx tohoto xxxxxx.

(3) Informační xxxx xxxxxxxxxxx systém určený x xxxxxxxxx x xxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx Xxxxxx tajné, xxxx x xxxxxxxxxx xxxxxxxxx xxxxxxxxxx zvláštní xxxxx xxxxxxxxx označenou xxxxxx „XXXXXX“, „XXXX“, „XXXXXX“, „BOHEMIA“ xxxx „XXXXXX“, nesmí xxx xxxxx xxx xxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxx sítí.

(4) Xxxxx xx veřejná xxxxxxxxxxx xxx xxxxxxxxx výhradně x xxxxxxx xxxxxxxxx x přenášené utajované xxxxxxxxx jsou chráněny xxxxxxxxxx certifikovaným kryptografickým xxxxxxxxxxx, nepovažuje se xxxxxx xxxxxxxxx za xxxxxxxxxxx xxxxxxxxxxx xxxxx.

§11

Bezpečnostní xxxxxxxxx xx xxxxxx kapacit x xxxxxxxxxx

(1) Xxxxxx xxxx xxxxxxxx, že požadovaná xxxxxxxxx xxxxxxxxx je xxxxxxxxx na xxxxxxxxxx xxxxx, v xxxxxxxxxx xxxxx x x xxxxxxx xxxxxxx xxxxxxx.

(2) X rámci xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx, xxxxx xxx xxxxxxxx xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxx, x dále xxxxxx xxxxxxxxxx xxxxxxxx funkčnosti x xxxxxxxxxx, xxx xxxxxxx xxxxxxx xxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxx.

(3) Provozovatel systému xxxxxxx kapacity xxxxx xxxxxxx a sleduje xxxxxxxxx xxxxxxxxx xxx, xxx xxxxxxxxxxx k xxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxx kapacit.

(4) Xxxxx xxxxxxxxxxx xxxxxxx obsahuje xxxx xx xxxxxxxx xxxxxxxx xxxxxxx xx xxxxxxx. X xxxxxxx xxxxxxx xxxx xxx xxxxxxxx xxxxxxx xx xxxxxxx zabezpečeného xxxxx xxxxxxxxx xxxxxxxxxxx, xxxx xxxxxxxx xxxxxxxxx xxxxxxxx. Xxxxxxx činnosti, xxxxx xxxx xxxxxxxxx pro xxxxxxxx xxxxxxxx, xxxx xxxxxxxxxxx xx auditních xxxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxxx. Xxxxx činnosti xxxxx věty třetí xxxxx zaznamenat xx xxxxxxxxx xxxxxxx, zaznamenají xx do xxxxxxxxxx xxxxxx.

§12

Bezpečnostní požadavky xx xxxxxxx xxxxxxxxxxxxxxx nebo xxxxxxxxx xxxxxxxx

(1) Xxx xxxxxxxxxxxxx xxxxxxxx se x xxxxxxx xxxxx xxxxxxxx i xxxxxx, xxxxx jsou xxxxxxx x xxxxxxxxxx, xx xxxxxx xx xxxxxxxxxxx xxxxxxx xxxxxx zařízení.

(2) Xxx mobilní zařízení xx x analýze xxxxx posuzují x xxxxxx, xxxxx jsou xxxxxxx s xxxxxxxx xx xxxxx, xxx xxxx xxxxxxxx používáno.

(3) Xxxxxxxxxxxxx nebo xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxx se xxx xxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxx xx xxxxx xxxxxxxxx xxxxxxxxx xxxxx §13 odst. 2.

Xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx nosičů informací

§13

(1) Xx-xx xxxxx xxxxxxxxx xxxxxxxxx, xxxx xxxx xxxxxx xxxxxxx odpovídat xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx, xxxxxx xxx xx nosiči xxxxxxxxx xxxxxxxxx.

(2) Xx xxxxxx xxxxxxxxx xxxx xxx uvedeno xxxxxxxxx xxxxxxxx xxxxx §42 xxxx. 4 písm. x) x identifikace xxxxxxxxxxxxx systému. Xxxxxxxxx xx na nosič xxxxxxxxx vyznačují přímo, xxxxxx štítku, xxxxxxx xxxx xxxxx xxxxxxx xxxxxxxx.

(3) V xxxxxxx xxxxx xx xxxxxxxxxxxxx xxxxx informací xxxxx xxxxxxx xxxx xxxxxxxx xx xxxxxxxx jako

a) xxxxxxxxxxx, pokud xxx xxx xx xxxxxxxx xxxxxxx x xxx xxxxxxxx xxxxxxx xxxxxxxx, xxxx xx xxxxx x nevratnému xxxxxxxxx xxxxxxxx xxxx x xxxxxxxxx xxxxxxxxxx xxxxx xxxxxxxx,

x) xxxxxxxxxxx, pokud xxx xxx ze xxxxxxxx xxxxxxx pouze x xxxxxxxx nástroje, xxxx by xxxxx x nevratnému xxxxxxxxx xxxxxxxx, xxxx

x) zabudovaný, xxxxx xxx lze xx xxxxxxxx xxxxxxx xxxxx xxxxxxxx, při xxxx dojde x xxxxxxxxxx poškození xxxxxxxx.

(4) X xxxxxxxxx xxxxxxxxxxxx x xxxxxx xxxxxxxxxxx xxxxxxx xxx xxxxxxxx x označit xxxxxxx xxxxxxx nosič xxxxxxxxx xxxxxxxx v xxxxxxxx xxxxxxxxxx po xxxxxx xxxxxxxx xxxxxxxx. Zařízení x xxxxxxxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxx xxxxx xxxx xxxxxxxx xxxxxxxxxxxx požadavky xxxxx §22.

§14

(1) Xxxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxx xxxxxxx Přísně tajné, Xxxxx xxxx xx xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx být xxxxxx.

(2) Xxxxxx xxxxxxx nosiče xxxxxxxxx stupně utajení Xxxxxx xxxxx, Xxxxx xxxx xx xxxxxxxxx xxxxxxx xxxxxxxxx může xxx snížen, pouze xxxxx xx xxxxxxxxx, xx xx xxx xxxx xxxxx xxxx xxxxxxxxxxx životního xxxxx xxxxxxx pouze xxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxx nevyžadující xxxxxxxx xxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx.

(3) Stupeň xxxxxxx xxxxxx xxxxxxxxx xxxxxx xxxxxxx Xxxxxxx xxxx xxx xxxxxx xxxx zrušen, xxxxx xxxxx

x) xxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxx xxxx xxxxxxxxx xxxxxxxx xxxxxxxx v §15 xxxx. 1,

x) xx xxxxxxxxx, že na xxx xxxx během xxxx dosavadního xxxxxxxxx xxxxx xxxxxxx pouze xxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx utajení xxxx xxxxxxxxx neutajované, xxxx

x) xx xxxxxxxxx, že xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx uložených na xxx xxxxx jeho xxxxxxxxxxx xxxxxxxxx xxxxx xxx xxxxxx xxxx xxxxxx.

(4) Xxxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxx xxxxxxx Vyhrazené xxxx xxx xxxxxx, pouze xxxxx

x) xxxxxxxx utajovaných xxxxxxxxx x xxx xxxx provedeno způsobem xxxxxxxx x §15 xxxx. 1,

x) je xxxxxxxxx, xx xx xxx xxxx xxxxx xxxx dosavadního xxxxxxxxx xxxxx uloženy xxxxx xxxxxxxxx neutajované, xxxx

x) xx xxxxxxxxx, že xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxx během xxxx xxxxxxxxxxx xxxxxxxxx cyklu xxx xxxxxx.

(5) Xxxxxx xxxxxxx nosiče xxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx xx xxxxxx xxxxx xxxxxxxxxx stupně xxxxxxx xxxxxxxxxxx xxxxxxxxx, xx xxxxxxx xxxx systém xxxxxxxx.

§15

(1) Vymazání utajované xxxxxxxxx z xxxxxx xxxxxxxxx, xxxxx umožňuje xxxxxxx xxxx zrušení xxxx xxxxxx xxxxxxx, xxxx xxx xxxxxxxxx xxx, xxx xxxxxxxxxx x xxxxxx informací xxxxxxxx získat, xxx xxxxxxxxxxxxx metodami, xxxxxxxxxx xxxxxxxxx xx xxx xxxxxxxxx během jeho xxxxxxxxxxx xxxxxxxxx cyklu.

(2) Xxxxxx xxxxx odstavce 1 xxxx xxx xxxxxx x xxxxxx xxxxxxxxxxx systému.

(3) Xxxxxx xxxxxx xxxxxxxxx xxxx xxx xxxxxxxxx x xxxxxxx s xxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxx xxx xxxxx xxxxxxxx předpisu upravujícího xxxxxxxx bezpečnost xxx, xxx xxxxxxxxxx z xxxx xxxxxxxx xxxxxx, xxx xxxxxxxxxxxxx metodami, xxxxxxxxxx xxxxxxxxx xx xxx uchovanou xxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxx.

(4) Popis bezpečnosti xxxxxxx xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx k xxxxxxxxxxxx nosičům informací x ke vstupně xxxxxxxxx xxxxxx, přes xxxxx jsou xxxx xxxxxx xxxxxxxxx x xxxxxxxx připojovány.

(5) Xxxxx xxxxxxxxxxx xxxxxxx stanoví xxxxxxxx přidělování xxxxxx xxxxxxxxx jinému subjektu xxxxxxx x xxxxxxx xxxxxxxxxxxx zjistit xxxxxx xxxxxxxxx xxxxx.

Xxxxxxxxxxxx xxxxxxxxx na xxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxx x xxxxxxx

§16

(1) Xxxxxxxx xxxx xxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx x xxxxxx xxxxxxxxxxx xxxxxxx.

(2) Xxxxxxxx xxxx splňovat xxxxxxxx xxx xxxxxxx xxxxxxx xxxxx k utajované xxxxxxxxx xxxxxx xxxxxxx, xxxxx xx xxxxxxxxx x xxxxxxxxxx xx xxxxxxxxx xxxxxx xxxxxxx xxxxxxxxxxx informací, se xxxxxxx může xxxxxx xxxxxxxx. Xxxxxxxx x xxxxxxxxxxx xxxxxxx xxxx xxxx splňovat podmínky xxx přístup xxxxxxx xxxxx x xxxxxxxxx xxxxxxxxx stupně utajení, xxxxx se xxxxxxxxx x souladu x xxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx systému.

(3) Privilegovaným xxxxxxxxxx se xxxxxx xxxx xxxxxxxxx x xxxxxxxxxxx, xxxxx mu xxxxx xxxxxxxxxx přístupu x poskytovaným xxxxxxx xxxxxxxx i xxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxxx xxxxxx, zejména role xxxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxxx správy.

(4) Koncovým xxxxxxxxxx xx xxxxxx xxxx xxxxxxxxx s xxxxxxxxxxx, která mu xxxxxxxx xxxxxxxx přístup x xxxxxxxxxxxx službám x xxxxxxxxx s xxxxxxxxxxx xxxxxxxxxxx.

(5) Xxxxxxxxxxxxx xxxxxxxx xxxx činnost, xxxxx xxxx xxxxxxxxxxxx xxxx xxxxxxxx xxxxxxx, xxxxxxxx xxxx xxxxxxx xxxxxxxx.

§17

(1) Xxxxxxxx x xxxx xxxx xx xxxx oprávnění x xxxxxxxxx x xxxxxxx xxxxx x rozsahu xxxxxxxxx xxx jejich xxxxxxxxx.

(2) Xxxxxxxx systému, xxxxx xx xxxxx x xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx stupně xxxxxxx Xxxxxxxxx, Xxxxxxx xxxx Tajné, v xxxx

x) pracovníka provozní xxxxxx s xxxxxxxxxx xxxxxxxxxxxxxx a x xxxxxxxxxx xxxxxxx xxxxxx, xxxx

x) pracovníka xxxxxxxxxxxx xxxxxx celého xxxxxxx xxxx splňovat podmínky xxx xxxxxxx fyzické xxxxx x xxxxxxxxx xxxxxxxxx xxxxxx utajení x xxxxx stupeň xxxxx, xxxxx je xxxxxxxx stupeň utajení xxxxxxxxxxx xxxxxxxxx, se xxxxxxx xxxx systém xxxxxxxx.

(3) Xxxxxxxx systému, xxxxx je určen x xxxxxxxxx s xxxxxxxxxxx informacemi xxxxxx xxxxxxx Přísně tajné, x roli

a) xxxxxxxxxx xxxxxxxx správy s xxxxxxxxxx xxxxxxxxxxxxxx a x xxxxxxxxxx úplného xxxxxx, nebo

b) xxxxxxxxxx xxxxxxxxxxxx xxxxxx celého xxxxxxx musí xxxxxxxx xxxxxxxx xxx přístup xxxxxxx xxxxx k xxxxxxxxx xxxxxxxxx stupně xxxxxxx Přísně xxxxx.

(4) Xxxxxxx požadavku xxxxx xxxxxxxx 2 xx xxxxxxxxxx x systému

a) xxxxxx xxxxxxx, xxxxxx xx rozumí systém xxxxxx xxxxxxx 30 xxxxxxxxx, xxxx

x) xxxxxxxxxxxxxxxx xxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx, xxxxxxxx xxxxxx xxxxxxxxx x utajovanou xxxxxxxxx xxxx moci Xxxxxxxxxx Severoatlantické xxxxxxx x xx xxxxxxxx xxxxxxxxxxxxxxxx xxxxx xx x xxxxxxx xxxxx xxxx popisu xxxxxxxxxxx xxxxxxx uvedeno xxxx xxxxxxxxxxx splnění xxxxxxxx xxx xxxxxxx fyzické xxxxx k utajované xxxxxxxxx stupně utajení xxxxxxxx x nejvyšším xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx, se xxxxxxx xxxx xxxxxx xxxxxxxx.

(5) Xxxxxxxx x xxxx

x) xxxxxxxxxx xxxxxxxx xxxxxx xxxxxxx s oprávněním xxxxxxxxxxxxxx x x xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx, xxxxxxx xxxxxx xxxxxxx, xxxxxx aplikace xxxx xxxxxxx xxxxxx, xxxx

x) pracovníka xxxxxxxxxxxx xxxxxx systému xxxxxxxxxxxxx xxxxx oblast xxxxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx nebo xxxxxxx xxxxxx, xxxx splňovat xxxxxxxx pro xxxxxxx xxxxxxx xxxxx k xxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx shodného x xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxxxx informací, se xxxxxxx xxxx xxxxxx xxxxxxxx.

(6) Xxxx uživatele xxxxxxx xx na xxxxxxx xxxxxxxxxx přidělen xxxxxxxxx xxxxxxxxxxxxx. Xxxx x xxxxxxxxxx xxxxxxxxxxxxxxx xxxxx xxxx xxxxx xxxx využívat xxxxxxx xxxxxxxxx, xx-xx xx xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx systému xxxx xxxxxx xxxxxxx x xx-xx xxxxxxx xxxxxx xxxxxxxxxx určit, xxxxx uživatel x xxxx xxxx xxxx xxxx využívá; xx xxxx xxx xxxxxxx x xxxxxxxxxx v xxxxxx xxxxxxxxxxx xxxxxxx.

§18

Xxxxxxxxxxxx xxxxxxxxx na xxxxxxxxxxxx a provozní xxxxxx

(1) Xxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx xxxxxxxxx bezpečnostní x xxxxxxxx xxxxxx. V xxxxx xxxxxxxxx bezpečnostní xxxxxx zavede xxxxxxxxxxxx xxxxxxx roli bezpečnostního xxxxxxx odděleně xx xxxxxx xxxx xxxxxx, xxxxx xxxx dále xxxxxxxxx xxxxx. X xxxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx roli xxxxxxxxxx xxxxxxx.

(2) Xxxxxxxxxxxx správce xx xxxxxxxx x xxxx xxxxxxxxxx xxxxxx x xxxxxxxxxxx, xxxxx xx xxxxx xxxxxxxxxx xxxxxxxx x poskytovaným xxxxxxx umožňují x xxxxxxxxx činností k xxxxxxxxx xxxxxxxxxxx xxxxxxx.

(3) Xxxxxxxx xxxxxxx je xxxxxxxx x xxxx xxxxxxxxxx xxxxxx s xxxxxxxxxxx, která xx xxxxx xxxxxxxxxx xxxxxxxx x poskytovaným službám xxxxxxxx x xxxxxxxxx xxxxxxxx x zajištění xxxxxxxxxx funkčnosti xxxxxxx x xxxxxx xxxx xxxxxxx.

(4) X xxxxxxx xxxxxxx zajistit xxxxxxxxx xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxxxxxxxxx systému zavede xxxxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx bezpečnostních nebo xxxxxxxxxx správců xxxx xxxxx xxxx v xxxxxxxxxxxx xxxx xxxxxxxx xxxxxx.

(5) Xxxxx xxxxxxxxxxxx xxxxxx xxxxxxx x

x) xxxxxxxxxxx xxxxxxxxxxxx xxxx,

x) xxxxxx autentizačních a xxxxxxxxxxxxx xxxxxxxxx,

x) správě xxxxxxxxxxx xxxxxxx,

x) xxxxxx x xxxxxxxxxxxxx xxxxxxxxx xxxxxxx,

x) xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,

x) xxxxxx xxxxxxxxxxx xxxxxxxx,

x) xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxx x nich,

h) xxxxxxxxx školení xxxxxxxxx x xxxxxxx bezpečnosti,

i) xxxxxxxx xxxxxxxxxx bezpečnostních xxxxxxxx x

x) xxxxxxx xxxxxxxxxx stanovených x xxxxxxxxxxxx dokumentaci.

(6) Výkon xxxxxxxx xxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx x xxxxxxxxx provozuschopnosti xxxxxxx x x xxxxxxx xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx.

(7) X odůvodněných případech xxx x xxxxxx xxxxxxxxxxx systému xxxxxxx xxxxxxx role bezpečnostní x xxxxxxxx xxxxxx.

§19

Xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxx provozu xxxxxxx

(1) Xxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxx xxxx, kterou xxx xxxxxxx.

(2) Xxxxxxxx xxxxx xxxxxxxx 1 může xxxxxxxx pouze xxxxxxxxx xxxxx provozovatele xxxxxxx xxxx jí pověřená xxxxx xxxxxxxx xxxxxxxxxx x popisu xxxxxxxxxxx xxxxxxx.

(3) Xxxxxxxxx xxxxx xxxx xx pověřená xxxxx xxxxx xxxxxxxxx xxxxxxxx

x) v xxxxxxx xxxxx xxxx role,

b) x xxxxxxx ukončení xxxxxxxxxxxxxxxx xxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxxx xxxxxxx, nebo

c) xxxxx xxxxxxx splňovat xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx podle xxxxxx.

(4) Xxxxxxxx xxxx xxxxxxxxx xxxxxxx xxxx, pouze xxxxx byl xxxxxxxxx xx správném užívání xxxxxxx x v xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Xxxxxxx xx vyžaduje xxxx při xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxx odkladu, xxxxx xxxxxxx xxxxxx xxxxx.

(5) Přehled xxxxxxxxxxx xxxxxxx, xxxxxx xxxxx x xxxxxx uživatelů, xxxxx školení xxxxxxxxxxx, xxxxxx xxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx xxxxxxx, xx xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxx xxxxx věty xxxxx xxxx xxx xxxxx x xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx. Xxxxxx xxxxxx přehledu xxxxx xxxx xxxxx xxxxxxx xxxxxxxx bezpečnostní xxxxxxxxxxx.

§20

Xxxxxxxxxxxx xxxxxxxxx na xxxxxxx xxxxxxxx xxxxxxx

(1) Xxxxxxx xxxxxxxx xxxxxxx xxx provádět xxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxx.

(2) Xxxxxxxxx o xxxxxxxx xxxxxxxx systému xx x auditním xxxxxxx xxxxxxxxxxx xxx, xxx xxxx xxxxx identifikovat xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxxxxx o xx.

Bezpečnostní požadavky xx xxxxxxxx bezpečnost

§21

(1) Xxxxxx xxxxxxx musí být xxxxxxxx před bezpečnostními xxxxxxxx a xxxxxx xxxxxxxxxxxxx x xxxxxxxxx, xx xxxxxx xxxx xxxxxxxx.

(2) Aktiva xxxxxxx xxxx xxx xxxxxxxx xx xxxxxxxx, ve xxxxxx xx xxxxxxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxx x xxxxxxxxxx xxxxx xxxxxxx. Xx xxxxxxx xxxxxxx xxxxx xx xxxxxxxxx, která xxxxxx xxxxxxx musí xxx xxxxxxxx x xxxxxxxxxxx xxxxxxx xxxx xxxxxxx x xxxxxxxxxx xxxxxxxxx zabezpečené xxxxxxx xxxx xxxxxxx.

(3) Xxxxxx xxxxxxxx xxxxx systému xxxxxxx xxxxx xxxxxxxxxxx xxxxxxx.

(4) Umístění xxxxx xxxxxxx xxxx xxx xxxxxxxxx xxx, xxx xxxxxxxxxx xxxxxxxxxxx osobě xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxx nebo xxxxxxxxx xxxxxxxx x xxxxxxxxxxxx x autentizaci xxxxxxxxx.

§22

(1) Xxxxxxxx xxxxx xxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx pro xxxxxxxx xxxxxxxx, x xxxx xxxxx xxx ukládány xxxxxxxxx xxxxxxxxx, xx xxxxxx x souladu x tabulkami xxxxxxxx xxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx upravujícím xxxxxxxx xxxxxxxxxx.

(2) Xxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxx, x xxxx mohou xxx xxxxxxxx xxxxxxxxx xxxxxxxxx, xx závislé xx xxxxxxx xxxxxxxxx xxxxxxxxxx

x) xxxxxxxxx xxxxxxxxx x xxxxxxxx a

b) xxxxxxxxxxxxxx xxxxx uložených x autentizačních xxxxxxxxxx.

(3) Xxxxxx ohodnocení fyzické xxxxxxxxxxx xxxxx xxxxxxxx 2 je xxxxxxx x příloze č. 1 k xxxx vyhlášce.

(4) Xxxxxxxx, x xxxxx mohou xxx xxxxxxxx utajované xxxxxxxxx a xxxxxx xxxxxxxxxx xxxxxxxxxx, xxxx xxxxxxxx a xxxxxxxx xxxxxxxxxx prvky xxxxxxxx xxxxxxxx x xxxxxx xxxxxxxxxxx xxxxxxx.

(5) Xxxxxxxx xxxxx xx xxxxxxxx xxx, xxx při xxxxxx x xxxxxxxxx xxxxxxxx, v němž xxxxx být xxxxxxxx xxxxxxxxx xxxxxxxxx nebo xxxx xxxxxxxxxx komponenty, xxxxx x jeho xxxxxxxxx.

(6) Popis xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxxxx 2 x xxxx pravidla x xxxxxxxxx xxxxxxxxxxx xxx

x) xxxxx xxxxxxxx xxxxxxxx x jeho hardwarových xxxxxxxxx,

x) xxxxxx xxxxxxxx x jeho hardwarových xxxxxxxxx,

x) xxxxxxxxxxx xxxxxxxx xxxx jeho hardwarových xxxxxxxxx xxxx prostory xxxxxxxxxxxxx systému a

d) xxxxxxxx xxxxxxxxx nebo xxxxxxxxxx xxxxxxx xxxxxxxx xxxx jeho xxxxxxxxxxxx xxxxxxxxx.

§23

Xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxxx xxxxxxxxxx v xxxxxxxxxxx xxxxxxx

(1) Xxxxxxxxxx xxxxxxxxx lze prostřednictvím xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxxxx místu xxxxxxxx, xxxxx pokud xxxx xx ní xxxxxxxxx

x) xxxxxx xxxxxxx,

x) evidenční xxxxxxxx xxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxx,

x) xxxxxxxxxxxx odesílatele x

x) xxxxx xxxxxx.

(2) Xxxxxxxxx xxxxxxxxx doručená xxxxxxxxxxx místu xxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx být xxx xxxxxxxxxx odkladu xxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxx v xxxxxxxx protokolu v xxxxxxxx xxxx xxxxxxxxxxxx xxxxxx. Ustanovení xxxxxxxx xxxxxxxx xxxxxxxxxxxx administrativní xxxxxxxxxx xx xxxxxxx xxxxxxx.

(3) X xxxxxxxxxxxx xxxxxxxxx xxxx odpovědná xxxxx, xx xxxxxxxx xxxxx xxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx výjimky, xxx se xxxxxxx xxxxx xxxxxxxx 1 x 2 xxxxxxxxx. Xxxxxxxx xxx xxxxxxxxxxx xxxxxxx xxxxx xxxx xxxxx stanoví popis xxxxxxxxxxx xxxxxxx.

§24

Xxxxxxxxxxxx požadavky na xxxxxxxxxx xxxxxx s xxxxxxxxxxx xxxxxxx

(1) Xxxxxxxxxx xxxxxx xxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx xxxx xxx

x) xxxxxx xxx každé xxxxxxxxx místo x xxxxx xxxxxx xxxxxxxxxxxx xxxxxxx doručovací xxxxxx, xxxxxx xx xxxxxx xxxxxxxxxxxx xxxxx xxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx, x

x) xxxxx xxxxxx xxxxxxxxxxxx adres xxxxx xxxxxxxxxxx xxxx x xxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx, xxxxx jej xxxxxxxx xxxxxxxxx x xxxxxx xxx xxxxxx, xxxxxxxx nebo xxxx xxxxxxxx.

(2) Xxxxxx a xxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx podle xxxxxxxx 1 xxxx xxx xxxxxxxxx x popisu xxxxxxxxxxx informačního xxxxxxx.

§25

Xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxx x xxxxxxxxxxx

(1) Xxxxxx bezpečnostních xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx provozovatel xxxxxxx xxxxxxxxxx. X xxxxxxxxx xxxxxxxxx nelze používat xxxxxxxxx xxxxxxxxx.

(2) Xxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx a dotčenými xxxxxxxxx závazky x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx, u xxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx xxxxxxx x certifikaci xxxxx §48.

(3) Podmínky xxxxxxxxx testování, xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 2 a xxxxxx xxxxxxxx xxxx xxxxxxxx xxxxxxxxxxx k bezpečnostním xxxxxx.

§26

Xxxxxxxxxxxx požadavky na xxxxxxxxxx xxxxxx x xxxxxxxxx

(1) Ve xxxxxxxxx xxxxxxxxx xxxxxxx musí xxx xxxxxxxxx bezpečnost, xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxx a xxxxxxxxx xxxxxxxxxxxx testování xxxx xxxxxxx xxxx xxxxxx xxxxxxxxx do xxxxxxx.

(2) Xxxxxx xxxxxxxxx aktiv xxxxxxx xxxx provozovatel xxxxxxx xxxxxxxxxxx xxx, xxx xxxxxx ohrožena xxxxxxxxxx bezpečnost a xxxxxxxx bezpečnostní xxxxxx.

(3) X xxxxxx xxxxxxxxxxx xxxxxxx xxxx být xxxxxxxxx xxxxxxxx xxxx xxxxxxxxxx, xxxxx zajišťují xxxxxxxxxxxx xxxxxx xxxx xxxx zranitelné xx xxxx xxxxxxxxx.

(4) Xxxxxxxx xxxx xxxxxxxxxx podle xxxxxxxx 3 xxxx xxx instalovány xxxxxxx xxxxxxxxxxx podmínky pro xxxxxxx xxxxxxx osoby x utajované xxxxxxxxx xxxxxxxxxx stupně utajení xxxxxxxxx informace, x xxx je systém xxxxx xxxxxxxx. Ostatní xxxxxxxx nebo xxxxxxxxxx xxxxx být xxxxxxxxxxx x xxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx přístup x xxxxxxxxx xxxxxxxxx xxxxx xxxx první, xxxxx jsou tyto xxxxx pod neustálým xxxxxxx dohledem xxxxxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxx xxxx schváleny xxxxxxxxxx osobou provozovatele xxxxxxx, xx pověřenou xxxxxx nebo xxxxxxxxxxxxx xxxxxxxxx.

Xxxxxxxxxxxx požadavky xx xxxxxxxxxx xxxxxxx

§27

(1) Xxx xxxxxxxx xxxxxx xxxxxxx xxxx v xxxxxx xxxxxxxxxxx systému stanovena

a) xxxxx x povinnosti xxxxxxxxx x xxxxxxxxxxxx xxxxxx x

x) xxxxxxxx xxxxxxxx a xxxxxxx

1. xxx uvedení systému xx xxxxxxx, xxxxxxxx xxxxxxx x obnovení xxxxxxx po selhání, xxxxx xxxx mimořádné xxxxxxxx,

2. xxx sledování x xxxxxxxxxxxxx xxxxxxxxx xxxxxxx a xxx xxxxxxx xxxxxxxx x xxxxx auditním záznamům,

3. xxx xxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x

4. řízení x xxxxxxxxxxx provozních xxxx.

(2) Popis xxxxxxxxxxx xxxxxxx obsahuje xxxxxxxx xxx xxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxx bezpečnosti xxxxxxx.

(3) Xxxxxxxxxxxx xxxxxxx xx povinen xxxxx xxxxxxx změny x xxxxx xxxxxxx xxxxxxx. X popisu xxxxxxxxxxx xxxxxxx musí xxx xxxxxxx xxxxxxx x xxxxxxxxxx, xxxxx xxxxxxxxx xxxxx xxxxxxxx.

§28

(1) Xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x informací xxxx xxx chráněna xxxx působením škodlivého xxxx.

(2) Xxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxx xxxx xxx uvedeno x xxxxxxxx xxxxx x xxx xxx xxxxxxxxx xxxxx x xxxxxxx x podmínkami x xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx x xxxxxxxx bezpečnostní xxxxxxxx.

(3) Xxxxxxx xxxxx a xxxxx bezpečnosti xxxxxxx xxxxxxx xxxxxxxxx na xxxxxxxxx xxxxxxxxxx softwarového xxxxxxxx x xxxxxxxxx xxxxxxxxx. Xxxxxx musí xxx uložena tak, xxx xxxxxxx xxxxx x xxxxxx xxxxxxxxx, xxxxxxx nebo xxxxxxxx.

(4) Xxxxx xxxxxxxxxxx xxxxxxx xxxxxxx postup xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx z xxxxxxxxxxxx xxxxxxxx xxxx xxxx vyřazením x xxxxxxxxx, xxxxxxxx xxxx xxxx zničením.

§29

(1) Xxxxxxxx xxxxxxx xxxx xxxxxxxxxxxx systému xxxxxxxxxxx tak, aby xxxxxx xxxxxxxx xxxxxxxxxx x nedošlo x xxxxxxxx xxxxxxxxxx ochrany xxxxxxxxxxx xxxxxxxxx.

(2) V xxxxxxxxx, xxx hrozí xxxxxxx xxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxx, xxxx xxx z xxxxxx xxxxxxxxx xxxxxxxxxxx xxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxxxxx musí být xxxxxxxxxxx xxxx zneužitím.

(3) Xxxxxx zařízení xxxx xxxxxxxxx zajišťujících xxxxxxxxxxxx xxxxxx musí zajišťovat xxxxx splňující podmínky xxx xxxxxxx xxxxxxx xxxxx x utajované xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx, s xxx xx systém xxxxx xxxxxxxx. Xxxxxx ostatních xxxxxxxx xxxx xxxxxxxxx xxxx xxx xxxxxxxxx x xxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx přístup x xxxxxxxxx informaci xxxxx xxxx xxxxx, xxxxx jsou xxxx xxxxx xxx xxxxxxxxx xxxxxxx dohledem xxxxxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx osobou xxxxxxxxxxxxx xxxxxxx, xx xxxxxxxxx xxxxxx nebo xxxxxxxxxxxxx xxxxxxxxx.

§30

(1) X xxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxx systému provádět xxxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxx x popisu xxxxxxxxxxx xxxxxxx x při xxxxxx krizové situace xxx xxxxxxxxxx odkladu.

(2) Xxxxxxx xxxxxxx xxxx xxx xxxxxxxx před xxxxxx xxxx xxxxxxxx x xxxxxxxxxx po xxxx stanovenou x xxxxxx xxxxxxxxxxx xxxxxxx, xxxxxxx však xx xxxx 5 xxx xx xxxxxx.

(3) X xxxxxx bezpečnosti xxxxxxx xxxx xxx uvedena xxxxxxxx xxxxxxxxxxx krizových xxxxxxx x pro xxxxxx x xxxx xxxx xxx xxxxxxxxxxxxx xxxxxxx

x) xxxxxxxxxxx xxxxxxxxxxxxx xx vzniku xxxxxxx xxxxxxx zaměřená xx xxxxxxxxxxxx xxxx a xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxx xxxxxxxx příčin x xxxxxxxxxx xxxxxx xxxxxxx xxxxxxx a

b) xxxxxxxx xx xxxxxxxxx xxxxxxxx xxxxxxx situace xxxxxx xxxxxxxx osobní xxxxxxxxxxxx za jednotlivé xxxxx.

(4) Xxx řešení xxxxxxxxx xxxxxxx xxxx xxx x xxxxxx xxxxxxxxxxx systému xxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xx uvedení systému xx stavu odpovídajícího xxxxxxxxxxxx dokumentaci.

(5) Xxx xxxxxxxx bezpečnostních xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx xxxx xxx

x) xxxxxxx xxxxxxxx bezpečnostní opatření xxx zajištění xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx uživatelů x xxxxxxxxx vedení xxxxxxx x xxxxxx xxxxxxxxxx,

x) xxxxxxxxx xxxxxxxxx pro xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxxxx událostí xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx a xxx xxxxxxxxxxxx případných xxxxxxxxxxxxxx incidentů,

c) xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx incidentů x xxxxxxx vhodná xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxx a xxxxxxxx xxxxxx xxxxxxxxxxxxxx incidentů,

d) xxxxxxxxxx x určeny xxxxxxx xxxxxxxxxxxxxx incidentu, xxxxxxxxxxx účinnost xxxxxx xxxxxxxxxxxxxx xxxxxxxxx a xx základě vyhodnocení xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx bezpečnostního xxxxxxxxx x

x) xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx incidentů.

(6) Xxx případ xxxxxxx xxxxxxxxxxxx xxxx hardwarového xxxxxxxx systému musí xxx xxxxxx x xxxxxx bezpečnosti systému xxxxxx

x) xxxxxxxxxx x xxxxxxx záložních xxxxxx xxxxxxxxx,

x) zajištění xxxxxxxx xxxxxxxx,

x) xxxxxxxxx nouzového xxxxxxx s xxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx, xxxxx xxxx xxx xxxxxxxxx, x

x) obnovy xxxxxxxxxx systému x xxxxxxx xx xxxxxxxxxx xxxxx uvedeného x xxxxxxxxxxxx xxxxxxxxxxx.

§31

Xxxxx xx na xxxxxxx, xxxxxxx xxxx xxxxxxxxx xxxxxxxxxx bezpečnosti xxxxxx xxxxxxxxx, analýza xxxxx xxxxxxx

x) xxxxxx xxxxxxxxx xxxxx xxxxxxxxxx,

x) xxxxxxxxxxx xxxxxxx x xxxxxxxxxxx, kterými jsou xxxxxxx ujednání o xxxxxx xxxxxxxxxx služeb, x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x x xxxxxx vzájemné xxxxxxx xxxxxxxxxxxx, x

x) pravidla xxx ověření xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxx dodavatelem.

§32

Xxxxx bezpečnosti xxxxxxx xxxxxxx xxxxxxxxxxxx opatření xxxxxxxx za účelem xxxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxxxxxx xxxxxxx xxxxxxx, zejména xxxxxx xxxxxxxx s xxxxxx xxxxxxxxx a xxxxxxx xxxxxxxxxxxxxxxx prostředků, xxxx-xx xxxxxxx.

§33

Bezpečnostní xxxxxxxxx na xxxxxxxxxx xxxxxxxx

(1) Popis xxxxxxxxxxx xxxxxxx stanoví xxxxxxxxxxxx xxxxxx pro xxxxxxxxx xxxxxxx utajovaných xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx.

(2) Xx-xx x xxxxx xxxxxxx xxxxxxx xxxxxxxxxxxxx prostředí, xxxx splňovat xxxxxx xxxxxxxxxxxx požadavky xxxx xxxxxxx xxxxxxxxxxx xx xxxx platformě.

§34

Zvláštní bezpečnostní xxxxxxxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx

(1) Xxxxxxxx-xx xx xxxxxxx, xxx xxxxxx xx informační xxxxxx xxxxxx, xx x xxxxxxx zajišťována xxxxxxxxxxxxxxx provozovatelem xxxxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxx xx událostí, xxxxxx xx rozumí zajištění xxxx, že xxx xxxxxxxx xxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxx stavu systému.

(2) Xx-xx xxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx spisové xxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxx, musí xxx hodnocení xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, kterým xx xxxxxxxxxx, součástí xxxxxxx certifikace xxxxxxxxxxxx xxxxxxx.

§35

Xxxxxxxxxxxx xxxxxxxxx xxx xxxx xxxxxxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxx

(1) Xxxxxxxx xxxxxxx rizik x popisu bezpečnosti xxxxxxxxxxxx systému xx x xxxxxxxxxx Xxxxxxxxx xxxxx pro kybernetickou x xxxxxxxxxx bezpečnost x stanovení xxxxxxx xxxxxxx bezpečnostních xxxxxx xxxx opatření xxxxx §34 xxxx. 4 xxxxxx, bylo-li xxxxxx.

(2) Xxxxxxxxxxx xxxxxxxx provozovatele xxxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxx dalších xxxxxxx bezpečnostních xxxxxx xxxx xxxxxxxx xxxxx §34 xxxx. 4 xxxxxx jsou

a) xxxxxxxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx,

x) jednoznačný xxxxxxxxxxxxx rozhodnutí xxxxx §34 xxxx. 4 xxxxxx a

c) xxxxxxxxxxx x zavedení bezpečnostní xxxxxx xxxx xxxxxxxx, xxxxxxx xxxx

1. xxxxx x čas zavedení,

2. xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxx nebo xxxxxxxx x

3. popis problémů xxxx xxxxxxxxxxx dopadů xxx xxxxxxxx xxxxxxxxxxxx xxxxxx xxxx opatření.

XXXX TŘETÍ

OBSAH DOKUMENTACE

§36

(1) Xxxxxxxxxxxx dokumentaci systému xxxxx

x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx a

b) provozní xxxxxxxxxxxx xxxxxxxxxxx.

(2) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx

x) xxxxxxxxxxxx politiku,

b) analýzu xxxxx,

x) popis xxxxxxxxxxx xxxxxxx x

x) dokumentaci x xxxxxxxxxxxxx xxxxxx.

(3) Xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx

x) xxxxxxxx bezpečnostní xxxxxxxx pro xxxxxx xxxxxxxxx roli,

b) xxxxxxxx xxxxx xxxxxxx, zejména xxxxxx xxxxxxxxx,

x) xxxxxxxx xxxxxxxxx,

x) xxxxxxxx xxxxxx x

x) xxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.

§37

Xxxxxxxxxxxx politika

(1) Bezpečnostní xxxxxxxx

x) je tvořena xxxxxxxx obecných xxxxxxxx x xxxxxxx, který xxxxxxxx způsob, xxxxx xx xxx xxxxxxxxx xxxxxxxxxx bezpečnost x xxxxxxxxxxx xxxxxxxxx xx xxxx činnost x xxxxxxx, který je xxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxxxxx xxxxxxx,

x) xxxxxxxx xxxxxxxxxx odpovědné xxxxx xxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx požadavků xxxxxxxx xxxxxxxx z xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx x

x) stanoví xxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxxxx informací, xx-xx to xxxxx.

(2) X xxxxxxxxxxxx xxxxxxx xxxx xxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxx, xxxxxxxxxxxxx x xxxxxxxxxxxxx, xxxxxxxxxx však xxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx xxxxxxx o certifikaci xxxxx §48.

§38

Xxxxxxx rizik

(1) Xxx xxxxx analýzy xxxxx xx rozumí

a) xxxxxxx xxxxxxxxxxx xxxxxxx bezpečnostního xxxxxxxxx,

x) xxxxxxxxxxxxx slabé xxxxx xxxxxx xxxxxxx, xxxxx může xxx xxxxxxx xxxxxxx,

x) rizikem xxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxx x xxxxxx následku xxxx souhrnu možností, xx xxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxx xxxxx.

(2) Xxxxxxx xxxxx xxxxxxx x bezpečnostní xxxxxxxx a x xxxxxxxxxxxx xxxxxxx x xx stanoveného xxxxxxxxxxxxxx xxxxxxxxxx xxxx.

(3) Analýza xxxxx xxxxxxxx

x) xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxxxx x pro identifikaci x xxxxxxxxx rizik xxxxxx xxxxxxxxxxx kritérií xxx xxxxxxxxxxxx rizik,

b) xxxxxxxxxxxx x hodnocení xxxxx xxxxxxx x xxxxxxxx hrozeb, zranitelností x dopadů,

c) kvantifikaci xxxxx, xxxxx xxxxxxxxxx xxxxxx, zranitelnosti x xxxxxx,

x) xxxxxxx x xxxxxxxxxxxxxxx míru rizika x

x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

(4) U xxxxxxxxxxxx xxxxxxx xxxx xxx xxxxxxx xxxxx xxxxxxxxxxxxx, xxxxxxxxxxxxx x xxxxxxxxxxxxx, nejpozději xxxx xxxxxxxxxxxxx před podáním xxxxxxxxx žádosti x xxxxxxxxxxx xxxxx §48.

§39

Popis xxxxxxxxxxx xxxxxxx

(1) Xxxxx bezpečnosti xxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx navržených x xxxxxxx rizik xxx xxxxxxx xxxxxxxxx definovaných x xxxxxxxxxxxx politice, xxxxxx řešení xxxxxxxxxxxxxx xxxxxxx, pokud xx xxxxxxxxxx. Xxxxx bezpečnosti xxxxxxx xxxx být xxxxxxxxx a přesný.

(2) X rozsáhlých xxxxxxx xxx xxxxx xxxxxxxxxxx xxxxxxx xxxxxxxx xx xxxxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxx xxxxxxx, zpravidla na xxxxxx xxxxxxxxxxxxx xxxxxx.

§40

Xxxxxxxxxxx k xxxxxxxxxxxxx xxxxxx

Xxxxxxxxxxx x xxxxxxxxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxx x xxxxxx xxxxxxxx x xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx navržených x xxxxxxx xxxxx x xxxxxxxxx x popisu xxxxxxxxxxx systému.

§41

Xxxxxxxx xxxxxxxxxxxx xxxxxxxx

(1) Xxx každou xxxxxxxxxxx xxxx x systému xxxx xxx xxxxxxxxxx xxxxxxxx bezpečnostní xxxxxxxx.

(2) Xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxx xxxxxxx

x) xxxxx xxxxxxxxx x xxxx,

x) xxxxxxxxxx xxxxxxxxx v xxxx,

x) xxxxxxxx xxxxxxxx xxxxxxxxx x xxxx x

x) xxxxxxx xxxxxxx s xxxxxxxxxxx, právy x xxxxxxxxxx činnostmi xxxxx xxxxxx x) xx x).

(3) Xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxx xxxx

x) xxxxxxx x xxxxxxxxxxxx xxxxx xxxxxxx xxxxxx jeho xxxxxxx x případného xxxxxxxx,

x) xxxxxxxx x klasifikaci xxxxxxxxx situací xxxxxx xxxxxxxxxx popisu xxxx, xxx se koncový xxxxxxxx xxxxxx xx xxxxxx xxxxxx,

x) xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x incidentů xxxxxx základního xxxxxx xxxx, xxx xx xxxxxxx uživatel podílí xx xxxxxx řešení,

d) xxxxxxxx kompromitace xxxxxxxxx xxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx popisu xxxx, xxx se uživatel xxxxxx na xxxxxx,

x) xxxxxx xxxxxxxxxx x xxxxxx xxxxxxxxx x xxxxxx jejich xxxxxxxxx,

x) xxxxxxxx provádění xxxxx x

x) způsob xxxxxxxxx xxxxxxxxxxxx softwarového xxxxxxxx.

§42

Xxxxxxxx aktiv

(1) Xxxxxxx xxxxxx systému xxxx xxx evidována v xxxxxxxx xxxxx.

(2) Záznam x xxxxxxxx xxxxx xxxx xxxxxxxxx přesný xxxxx, xxx, xxxxxxx xxxx výrobní xxxxx xxxxxx x xxxxx xxxxxxxxx, které xxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx.

(3) Xxxxxxxxx hmotná xxxxxx xxxx xxx, xxxxx výjimek uvedených x bezpečnostní xxxxxxxxxxx, xxxxxxxx xxx, xxx xxxx xxxxxxxxxxx určena xxxxxx xxxxxxxxxxx k xxxxxxx.

(4) Xxxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxx:

x) xxxxxxxx číslo,

b) xxxxxx xxxxxxx xxxx informaci x tom, xx xxxxx informací je xxxxxxxxxxx,

x) xxxxxxxxx xxxxxxxx, xxxxx tvoří zkratka xxxxxx utajení, xx-xx xxxxx xxxxxxxxx xxxxxxxxx, xxxx xxxxxxx xxxxxxxxx x tom, xx xxxxx xxxxxxxxx xx xxxxxxxxxxx, xxxxxxxx xxxxx, xxx zavedení do xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx,

x) datum xxxxxxxx do evidence,

e) xxx nosiče xxxxxxxxx,

x) xxxxxxxxxxx identifikátor xxxxxx xxxxxxxxx, xxxxxx je xxxxxxxxx xxxxxxx xxxxx, x

x) xxxxx, příjmení x podpis xxxxxxxxx, xxxxxxx xxx nosič xxxxxxxxx přidělen, datum xxxxxxxx, xxxxx vrácení xxxxxx xxxxxxxxx x xxxxx, příjmení x xxxxxx xxxxxxxxx, xxxxxxx xxx nosič xxxxxxxxx xxxxxx.

(5) Evidence xxxxxx xxxxxxxxx xxxx být xxxxxx i samostatně xxxx provozní xxxxxxxxxxxx xxxxxxxxxxx. Způsob xxxxxx xxxxxxxx xxxxxx xxxxxxxxx xxxxx xxxx xxxxx xx xxxxxx x xxxxxxxxxxxx dokumentaci.

§43

Evidence xxxxxxxxx

(1) Každý xxxxxxxx xxxx být xxxxxxxx x xxxxxxxx xxxxxxxxx.

(2) Evidence xxxxxxxxx xxxxxxxx

x) jméno a xxxxxxxx uživatele,

b) xxxxx x xxxxxxxx x xxxxxxx xxxxxxxx xxx xxxxxxx x xxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx Xxxxxxxxx, xxxxxxx xxxxx xxxx xxxxxx; xx xxxxxxx, má-li xxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx Xxxxxxxxx xxxxx §58a xxxxxx,

x) údaje x xxxxxxxxx xxxxxxx xxxxx, xxxx-xx xxxxxxxxx xxxxxx, xxxxxxx se rozumí xxxxx xxxxxxxxx, datum xxxxxx, xxxx xxxxxxxxx xxxxxxxxx x nejvyšší xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx, ke xxxxxx xxxxxxxxx xxxxxxxx xxxxxxx,

x) xxxxx x xxxxxxxxx xxxxxxx xxxxx pro xxxx xxx, xxxx-xx xxxxxxxxx vydáno, xxxxxxx xx rozumí xxxxx xxxxxxxxx, xxxxx xxxxxx, xxxx platnosti osvědčení x xxxxxxxx stupeň xxxxxxx xxxxxxxxxxx informací, xx kterým xxxxxxxxx xxxxxxxx xxxxxxx, x

x) xxxxx x xxxx, xxxxxx byl xxxxxxxx xxxxxxx, xxxxxxx x xxxxxxx xxxx xxxxxxxxx, xxxx pověření x xxxx xxxxxxx xxxxxxxx x xxxx proškolení xxxxx §19 xxxx. 5.

(3) X případě, xx má xxxxxxxx xxxxxxx x utajované xxxxxxxxx podle §58 xxxxxx, xxxx x xxxxxxxxx xxxxxxxxx stupně xxxxxxx Xxxxxxxxx xxxxx §58a zákona, xxxx xxxx xxxxx uvedeny x xxxxxxxx xxxxxxxxx.

§44

Provozní xxxxx

(1) Provozní xxxxx slouží x xxxxxx xxxx x xxxxxxx x jejich xxxxxxxxxxxxxxx. Xx xxxxxxxxxx xxxxxx xx zaznamenávají xxxxxxx xxxxx prováděné x systému xxxxxxxxxx xxxxxx.

(2) Xxxxxxxx xxxxx xxx xxxx i x elektronické xxxxxx, xx-xx xxxxxxxxxx proti xxxxxxxxxxxxx přístupu xxxx xxxxxx a xxxxxxxxxxxxx xxxxxxxx zaznamenává xxxxxxx x něm xxxxxxxxx xxxxx.

XXXX XXXXXX

XXXXXXXXXXX A XXXXXXXXXX XXXXXXXXXXXX XXXXXXX X SCHVALOVÁNÍ XXXXXXXX XXXXXXXXXXX

XXXXX I

Informační systém

Díl 1

Xxxxxxxxxxx informačního xxxxxxx

§45

Xxxxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx

(1) Xxxxxx o xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx

x) xxxxx osvědčení xxxxxxxxxxx x xxxxxxxx xxxxxxxxxxx stupně xxxxxxx xxxx xxxxx platného xxxxxxxxxx podnikatele, xx-xx xxxxxxxxx xxxxxxxxxx,

x) xxxxx x příjmení xxxxxxxxx xxxxx xxxxxxxx a xxxxxxxxx xxxxxxx, xxxxxx xx rozumí xxxxxxx xxxx xxxxxxxxx xxxxx x xxxxxx elektronické xxxxx,

x) xxxxx xxxxx x xxxxxxx informačního xxxxxxx,

x) údaj o xxxxxx utajení xxxxxxxxxxx xxxxxxxxx, xx kterými xxxx informační xxxxxx xxxxxxxx,

x) údaj x xxxxxxxxx bezpečnostního xxxxxxxxxx xxxx xxxxxxxxxxxx systému x

x) xxxxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxx xxxxxxxxx xxxxxxxxxxx x xxxxxxxx příslušného stupně xxxxxxx nebo kopii xxxxxxxx prohlášení podnikatele, xx-xx xxxxxxxxx xxxxxxxxxxxx.

(2) X xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxx

x) xxxxxx x xxxxxxxxxxx xxxxxxxxxxxx systému xxxxx xxxxxxxx 1,

x) xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §36 xxxx. 2,

x) xxxxxxxx bezpečnostní xxxxxxxxxxx v rozsahu §36 xxxx. 3 xxxx. a),

d) xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxx x

x) další podklady xxxxxxxxxx xxxxxxxxx, xxxxx xx xxxxx xxx xxxx xx posuzování xxxxxxxxxxx xxxxxxxxxxxx systému xxxx xxxx xxxxxx.

(3) X provedení xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx Xxxxxxx xxxx vyššího xxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx x ověření xxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxxx xxxxxxxxxxxx systému, x xxxxxxx před xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxx.

(4) X xxxxxxx xxxxxxx přiloží xxxxxxxx xxxxxxx xxxx x xxxxx ověřování xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx x nakládání s xxxxxxxxxxx xxxxxxxxxxx, provedených xxxxxxx xxxxx, xxxxxxxxxx xxxxxx xxxxx §60b xxxxxx xxxx xxxxxxxxxxxx xx xxxxxxx smlouvy x xxxxxxxxx xxxxxxxx xxxxxxxx s Národním xxxxxx xxx xxxxxxxxxxxxx x informační xxxxxxxxxx xxxxx §52 xxxxxx, xxxx-xx tyto xxxxx xxxxx xxxxxxxxx.

(5) Xxxxxxxxxxxx xxxxxx xxxxx v xxxxxxx xxxxx xxxxxxxx 1 xxxxx podle xxxxxx x) xx x) xxxxx x xxxxxxx, xxxxx neohrozí xxxxxx xxxxxx úkolů xxxxx jiného xxxxxxxx xxxxxxxx. Xxxxxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxx xxxxxxxx 2 xxxxx x rozsahu, xxxxx xxxxxxxx xxxxxx jejích xxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx.

§46

Xxxxxx a xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx

(1) X xxxxx xxxxxxxxxxx informačního xxxxxxx xxxxxxxx Xxxxxxx úřad xxx kybernetickou x xxxxxxxxxx bezpečnost

a) xxxxxxxx xxxxxxxxxx xxxxxxx bezpečnostních xxxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxx informačního xxxxxxx xxxxx §3,

x) xxxxxxxxx a xxxxxxx xxxxxxxxxxxx dokumentace x

x) xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx opatření x xxxxx xxxxxxxxxxx xxxxxxx a xxxx xxxxxx x xxxxxxxxxxxx xxxxxxxxxxx.

(2) Xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xx provádí xx xxxxxxx xxxxxxxxxxxx xxxxxxxx x provedených xxxxxxxxxxxxxx xxxxx. Bezpečnostní xxxxx xxxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx v provozním xxxxxxxxx xxxxxxxxxxx informačního xxxxxxx xx xxxxxxxxxxx Xxxxxxxxx xxxxx xxx xxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxx, případně i xxxxxxxxxx. Xxxxxxx-xx xxxxxxxxxxxx xxxxx xxxxx xxxx xxxxx zpravodajská xxxxxx, xxxxxxxxxx Xxxxxxxxx xxxxx xxx xxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxx.

(3) Xxxxxxxxxxx informačního xxxxxxx lze xxxxxxxx xxxxxxxx po xxxxxxxx xxxxxxxxxxxx fází xxxxxxxx xxxxxxxxxxxx systému xxxx xx po jejím xxxxxxxxx, xxxxx-xx xx xxxxxxx x žádosti x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx podle §45.

(4) Xxxxx-xx v informačním xxxxxxx, který xxx xxxxxxxxxxxx x xxxxxxxx xx provozu, xx xxxxxx uvedeným v §51 xxxx. 2, xxxxxxx xx xxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx v rozsahu xxxxxxxxxxx xxxx. Při xxxxxxxxx doplňujícího posouzení xxxxxxxxxxxx xxxxxxx se xxxxxxxxx xxxxx odstavce 1 v xxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxx xxxxxxxxxxxx zprávy.

(5) Xxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xx xxxxxx x příloze č. 2 k xxxx xxxxxxxx.

§47

Xxxxxxxxxxxx xxxxxx

Xxxxxxx xxxx xxx kybernetickou x xxxxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx, xxxxx xxxxxxxx

x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx obsahující xxxx xxxxx, xxxxxxxx xxxxx a xxxxxx xxxxxxx utajovaných informací, xxx který byla xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx,

x) popis informačního xxxxxxx,

x) xxxxxx a xxxxxxxx provozování xxxxxxxxxxxx xxxxxxx, xxxxxx typů xxxx xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxxx provedení xxxxxxxxxxxx posouzení informačního xxxxxxx, a xxxxxxxx xxxxxxxx jeho xxxxxxx,

x) xxxxxxxxxxxx přijatelných xxxxx xxxxxxxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxx x

x) xxxx xxxxxxxxxxxxxxxx xxxxxxxxxx, xxxx-xx xxxxxxx, x xxxxxx, jakým xxxx xxxxxxxx xxxxx xxxxxxxxxxxxxx xxxxxxx x xxxxxxx x xxxxxxxxxxxx zprávou xxxxxxxxxxxxxxxx xxxxxxxxxx.

§48

Xxxxxxxxx xxxxxx o xxxxxxxxxxx informačního systému

(1) Xxxxxxxxx xxxxxx o xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx

x) xxxxx osvědčení xxxxxxxxxxx x uvedením xxxxxxxxxxx xxxxxx utajení xxxx kopii platného xxxxxxxxxx podnikatele, xx-xx xxxxxxxxxxxxxx informačního xxxxxxx xxxxxxxxxx,

x) xxxxxxxxxxxx vydaného xxxxxxxxxxx informačního systému xxxxxxxxxx xxxxxxxxxxxx jeho xxxxxxxx, xxxxxxxxx xxxxx, xxxxx vydání a xxxx xxxxxxxxx,

x) identifikaci xxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxx název, xxxxxxxx xxxxx x xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx, xxx který xxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx, x

x) jméno x příjmení xxxxxxxxx xxxxx provozovatele informačního xxxxxxx x xxxxxxxxx xxxxxxx na xx.

(2) Xxxxxxxxx žádost x xxxxxxxxxxx informačního xxxxxxx xxxx obsahuje xxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx ji xx xxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx systému navrhuje.

(3) Xxxxx x xxxxxxxxx xxxxxxx provozovatel xxxxxxxxxxxx xxxxxxx doloží, xx xx xxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxxxxx xx xxxxxxxx xxxxxxxxxxx x certifikační zprávě x x xxxx xxxxxxxxxxx xxxxxxxxx změny, xx xxxxxx xxxxxxxxxx xxxxx §46 xxxx. 1 xxxxxx pouze xx xxxxxxx c).

(4) Xxxxx x xxxxxxxxx xxxxxxx provozovatel informačního xxxxxxx navrhuje xxxxx xxxxxxxxxxxx xxxxxxxxxxx, je xxxxxx xxxxxxxxxx podle §46 xxxx. 1 xxxx. x) a x) xxxxxx na xxxx xxxxxxxxxx xxxxx.

(5) Xxxxx navrhované xxxxx xxxxxxxxxxxx xxxxxxxxxxx informačního xxxxxxx xxxx podstatné xxx celkovou xxxxxxxxxx xxxxxxxxxxxx systému, xxxx Xxxxxxx xxxx pro xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxx x případě nové xxxxxxxxxxx.

(6) Zpravodajská xxxxxx xxxxx x xxxxxxx xxxxx xxxxxxxx 1 xxxxx xxxxx xxxxxx x) x x) xxxxx v rozsahu, xxxxx xxxxxxxx xxxxxx xxxxxx xxxxx xxxxx xxxxxx xxxxxxxx předpisu. Xxxxxxxxxxxx xxxxxx předkládá xxxxxxxx xxxxx xxxxxxxx 2 pouze x xxxxxxx, který neohrozí xxxxxx jejích xxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx.

Díl 2

Xxxxxxx x xxxxxxxxx xxxxxxxx

§49

(1) Xxxxxx x uzavření smlouvy x Xxxxxxxx xxxxxx xxx kybernetickou x xxxxxxxxxx xxxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxx §52 xxxxxx, xxxxxx xxxxxxxxx xx xxxxxxxxx xxxxxxx úloh xxx xxxxxxxxx xxxxxxxxxxxx informačního xxxxxxx k xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx (xxxx jen „xxxxxxx x xxxxxxxxx xxxxxxxx“), xxxxxxxx

x) číslo osvědčení xxxxxxxxxxx x xxxxxxxx xxxxxxxxxxx stupně xxxxxxx, xx-xx xxxxxxxxx xxxxxxxxxx,

x) xxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xx xx x

x) xxxxxxxxxxx xxxxxxxx, xxxxx xxxx být xxxxxxxxx xxxxx smlouvy x xxxxxxxxx xxxxxxxx.

(2) Xxxxxx xxx xxxxxxxx 1 xxxxxxxx dále

a) xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx,

x) xxxxxxxxxx xxxxxxxxx xxxxx xxxx xx xxxxxxxx xxxxx x xxxxxxx xxxxxxxxx xx xxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx,

x) xxxxxx požadovaných xxxxxxxx,

x) xxxxx o personálním xxxxxxxxxxx xxxxxxxxxxxx činností x

x) xxxxx x xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx požadovaných xxxxxxxx.

Xxx 3

Akreditace xxxxxxxxxxxx xxxxxxx

§50

(1) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxx cizí xxxx xxxxxxx Xxxxxxx úřad xxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xx xxxxxx, xxxxx obsahuje xxxxxxxxxx o naplnění xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx autoritou xxxx xxxx xxxxx xxxxxxxxxxx předpisu Evropské xxxx²⁾ x podle xxxxxxxxxxx smlouvy³⁾.

(2) Xxxxx Xxxxxxx xxxx xxx xxxxxxxxxxxxx a informační xxxxxxxxxx xxxxx xxxxxxxx xxxxxxxxxxxxxx požadavků vyžadovaných xxxxxxxxxxxx akreditační xxxxxxxxx xxxx xxxx, předá xxxxxxxxxx podle odstavce 1 bezpečnostní akreditační xxxxxxxx cizí moci.

(3) Xx xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxx moci o xxxxxxxxxx informačního systému xxxx xxxx Národní xxxx pro kybernetickou x xxxxxxxxxx bezpečnost xxxxxxxxxx systém cizí xxxx akredituje.

(4) Pokud xx xxx xxxxxxxxxx xxxxxx xxxx moci xxxxxxxx x xxxxxxxxxxxxx xx xxxxxxxx xxxx xxxxxxxxx xxxx xxxxxxxxxx, xxxxxx xxxx xxxxxxxxxxxx x opakovanou xxxxxxxxxx xxxxxxxxxxxx xxxxxxx podle xxxxxxxx 1 xxxxxxx xxxxxxxxxx 6 xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxx.

Xxx 4

Podmínky bezpečného xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx

§51

(1) Xxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxxx x

x) xxxxxxxxxx bezpečnostních xxxxxxxx,

x) dodržování xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxxxxx x certifikační xxxxxx x

x) xxxxxxxxxxx Xxxxxxxxx úřadu xxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxx xxxxxxxx se xxxxxxx informačního systému, xxxxx by xxxxx xxx xxxx xx xxxxxxxxxx xxxxxxxxxx.

(2) Xxxxx x rámci xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx xx xxxxx xxxxx xxxxxxxx 1 xxxxxxx x) xxxx xx xxxxx podle §47 xxxx. x), xxxx xxx xxxxxx xxxxx xxx zbytečného odkladu xxxxxxxxxx x bezpečnostní xxxxxxxxxxx, xxxxxxx v xxxxxxx xxxxx.

XXXXX XX

Xxxxxxxxxxx xxxxxx

§52

Xxxxxxxxxxx xxxxxxxx bezpečnosti

(1) Xxxxxxx xxxxxxxxxxx obsahuje xxxxxxxxxxxx xxxxxxxxxxx, x to xxxxxxx v xxxxxxx §36 xxxx. 2 xxxx. x) xx x) x xxxx. 3 xxxx. x).

(2) Xxxxx xxxxxxxxxxx xxxxx §39 xxxxxxxx xxx xxxxxxxxxxx xxxxxx popis

a) xxxxxxx, xxxxx bude xxxxxxxx xxxxx kryptografické xxxxxxx x xxxxxxx x certifikační zprávou xxxxxxxxxxxxxxxx prostředku,

b) xxxxxxxxxxxx xxxxxx kryptografické ochrany x souladu x xxxxxxxxxxxx zprávou xxxxxxxxxxxxxxxx xxxxxxxxxx a

c) xxxxxxxxxxxxxx xxxxxxxx a xxxxx xxxxxxxxxx postupů, xxxxxxx xxxxxxxxxxx xxxx zajištěna xxxxxxxxxx xxxxxxxxxx.

(3) Xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxx xxx komunikační xxxxxx

x) xxxxxxxxx xxxxxxx x §41 x

x) xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxx xxxxxx komunikačního xxxxxxx x xxxxxx xxxxxxxxxxxxxx xxxxxxx.

(4) Popis xxxxxxxxxxx komunikačního xxxxxxx, xxxxx xxx xxxxxxxxx xxxxxxxxxx x xxxxxx xxxxxxx xxxxx výpočetní xxxxxxxx, xxxx xxxxxxxxx xxxxx komunikační xxxxxxxxxxxxxx x xxxxx xxxxxxxxxx xxxxxxxxxxxxxx.

§53

Xxxxxx o schválení xxxxxxxx xxxxxxxxxxx

(1) Xxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx

x) jméno x xxxxxxxx kontaktní xxxxx žadatele x xxxxxxxxx xxxxxxx xx xx,

x) xxxxx osvědčení xxxxxxxxxxx s xxxxxxxx xxxxxxxxxxx xxxxxx utajení xxxx xxxxx xxxxxxxx xxxxxxxxxx podnikatele, je-li xxxxxxxxxxxxxx komunikačního xxxxxxx xxxxxxxxxx,

x) xxxxx xxxxxxxxxxxxx xxxxxxx x xxxxx xxxx účelu x xxxxxxx xxxxxx stanovení xxxx xxxxxxx provozních xxxxxx,

x) xxxx x xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx, xx xxxxxxx xxxx xxxxxxxxxxx xxxxxx xxxxxxxx,

x) xxxxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxxxxx komponent xxxxxxxxxxxxx xxxxxxx majících xxxx xx bezpečnost xxxxxxxxxxxxx xxxxxxx a xxxxx xxxxxxxxx xxxxxxxxxxx x uvedením xxxxxxxxxxx xxxxxx xxxxxxx xxxx xxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxx, xx-xx dodavatel xxxxxxxxxxxx, a

f) projekt xxxxxxxxxxx.

(2) Xx xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx s xxxxxxxxxxx informacemi xxxxxx xxxxxxx Xxxxxxx nebo xxxxxxx xxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx k xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxx elektronických xxxxxxxx, xxxxx xxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxx, x xxxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxx.

(3) Xxxxx xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxx xxxxxxxx bezpečnosti x xxxxxxx xxxx schvalování xxxxxxxx, musí xx xxxxxxxxxx x pořadí xxxxx §36.

(4) Xxxxxxxxxxxx xxxxxx uvádí x xxxxxxx xxxxx xxxxxxxx 1 xxxxx xxxxx xxxxxx x) xx x) xxxxx v xxxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxx xxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx. Xxxxxxxxxxxx xxxxxx xxxxxxxxx podklady xxxxx xxxxxxxx 2 xxxxx x xxxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxx xxxxx xxxxx jiného xxxxxxxx předpisu.

§54

Xxxxxx a xxxxxxxx xxxxxxxxxxx xxxxxxxx bezpečnosti

(1) X xxxxx xxxxxxxxxxx xxxxxxxx bezpečnosti posuzuje Xxxxxxx xxxx xxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx

x) vhodnost navrženého xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx dosažení informační xxxxxxxxxxx xxxxxxxxxxxxx systému xxxxx §3,

b) správnost x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x

x) xxxxxxxxx xxxxxxxxx xxxxxxxxxx souboru xxxxxxxxxxxxxx opatření v xxxxx xxxxxxxxxxxx xxxxxxx x její xxxxxx x xxxxxxxxxxxx xxxxxxxxxxx.

(2) Xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx a xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxx Národním xxxxxx pro kybernetickou x informační xxxxxxxxxx x xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx.

(3) Xxxxxxxxxxx projektu bezpečnosti xxx xxxxxxxx xxxxxxxx xx xxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxx nebo xx xx xxxxx xxxxxxxx xxxxxxxxx, podle xxxxxxxxx xxxxxxxx, xxxxxx-xx x xx v xxxxxxx x xxxxxxxxx projektu xxxxxxxxxxx podle §53.

(4) Xxxxxx-xx Xxxxxxx úřad xxx xxxxxxxxxxxxx a xxxxxxxxxx bezpečnost xxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx komunikačního xxxxxxx k xxxxxxxxx x xxxxxxxxxxx informacemi, xxxx rozhodnutí o xxxxxxxxx xxxxxxxx bezpečnosti.

(5) Xxxxx-xx x xxxxxxxxxxxx xxxxxxx xx změnám, xxxxx xxxx xxxx xx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxx, provádí xx xxxxxxxxxx posouzení xxxxxxxx xxxxxxxxxxx v xxxxxxx potřebném x xxxxxxxxx xxxxxxxxxxx změn. Xxx provádění xxxxxxxxxxxx xxxxxxxxx xxxxxxxx bezpečnosti xx xxxxxxxxx xxxxxxx xxxx xxx schvalování xxxxxxxx bezpečnosti.

HLAVA XXX

Xxxxxxxxxx modulů

§55

(1) X xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx nebo xxxxxxxxxxx xxxxxxxx bezpečnosti xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx nebo komunikační xxxxxx xx xxxxxx, xxxxx mohou xxx xxx xxxxxxx xxxxxxxxxx xxxxxxx použity x x jiných xxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxx xxxxx §46 nebo 54 xxx zachování xxxxxx xxxxxx informační xxxxxxxxxxx.

(2) Modul je xxxxxxx xxxxx xxxxxxx

x) xxxxxxxxxxx vybavením, zejména xxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxxx informací,

b) xxxxxxxxxxx vybavením, xxxxxxx xxxxxxxxx xxxxxxxxxxxxxxxx prostředku x systému, nebo

c) xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxx, zejména xxxxxxxxxxxxx xxxxxxxxxxx blokem, xxxxxxxx má jasně xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxx xxxx začlenění xx xxxxxxx.

(3) Xxxxxxx xxxx pro kybernetickou x xxxxxxxxxx bezpečnost xxx xxxxxxxxxx jiného xxxxxxx xxxxx §46 xxxx. 3 a §54 odst. 1 x 2 nehodnotí xxxxx, xxxxxxxx xxxxx

x) xxx xxxxxxxx a xxxxxx x již xxxxxxxxxxx xxxxxxx xxxxx §46 xxxx 54 x

x) xx být xxxxxxx xxxxxx x xxxxx xxxxxxx xx xxxxxx xxxxxxxxxxx x xx stejných xxxxxxxx xxxx x xxxxx xxx xxxxxxxxxxx xxxxxxx xxxxx xxxxxxx a).

XXXX XXXX

XXXXXXXXXX XXXXXXXXXXXX XXXXXXXX

§56

Xxxxxxxx xxxxxxxxxx provozování xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx

(1) Xxxxxxxxx bezpečného xxxxxxxxxxx xxxxxxxxxxxx elektronického zařízení xxxxx §36 odst. 4 xxxxxx je xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx obsahující bezpečnostní xxxxxxxxxxx xxxxxxx x xxxxxxx §36 xxxx. 2 písm. x) x xxxx. 3 xxxx. x).

(2) Xxxxx xxxxxxxxxxx xxxxxxx xxxxx §36 xxxx. 2 xxxx. x) stanoví xxxxxx xxxxxxxxxx provozování x ohledem xx xxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x způsob xxxxxxxx zpracovávané utajované xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx xxxx

x) xxxxxxxxxxx, xxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx,

x) xxxxxxxxxxxxx, xxxxx zaznamenává utajované xxxxxxxxx v xxxxxxx xxxxxxxxx, zejména xxxxx xxxxx x xxxxxx, xxxxxxxxxx, xxxxxx xxxx xxxxxxxxx,

x) kopírovací x xxxxxxxx, které xxxxxxxx xxxx xxxxxxx utajované xxxxxxxxx x jednoho xxxxxxx xx druhého, x

x) xxxxxxxxxxx, které xxxxxxxxx xxxxxx xxxxxxx x písmenech x) xx x).

(3) Xxxxxxxx-xx xxxxxxxxxx elektronické xxxxxxxx xxxxx xxxxxxxxx, pak xxxxx xxxxxxxxxxx xxxxxxx xxxxxxxx x jeho xxxxxxxxxxxx podle xxxxxxx xxxxxxxx xx xxxxxxxx xxxxx §13 odst. 3.

(4) Xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxx více xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxx xxxxx funkce x xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx, xxx xxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx směrnici xxx xxxx xxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

§57

Oznámení x xxxxxxxxxxxx xxxxxxxxxxx elektronickém zařízení xxxxx §36 xxxx. 2 xxxx. x) xxxxxx xxxxxxxx

x) xxxxxxxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx zařízení x

x) xxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx každé provozované xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx

1. xxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx podle §56 xxxx. 2 x 3 a

2. xxxxxx xxxxxxx utajovaných informací, xxx xxx xx xxxxxx.

XXXX XXXXX

XXXXXXXXX A XXXXXXXXX XXXXXXXXXX

§58

Xxxxxxxxx xxxxxxxxxx

(1) Xxxxxxxxxxxx xxxxxxxxx xx

x) xxxxxxxxxx xxxxxxx certifikované xxxx účinností této xxxxxxxx a

b) xxxxxxxxxxx xxxxxxx, jejichž projekt xxxxxxxxxxx byl xxxxxxxx xxxxx dnem nabytí xxxxxxxxx xxxx xxxxxxxx, xx posuzují xxxxx xxxxxxxxxxx xxxxxxxx předpisů.

(2) Xxxxxxxxx xx ochranu xxxxxxxxxxx informací x xxxxxxxxxxxx podobě x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxx xxxxxxx xx xxxxxxx xxxxx xxxx nabytí účinnosti xxxx xxxxxxxx, se xxxx xxxxxxxxxxx právními xxxxxxxx xx dobu 1 xxxx xxx xxx xxxxxx xxxxxxxxx xxxx vyhlášky.

(3) Uživatelé, xxxxx xxxxxxxxx xxxxxxxx xxx přístup fyzické xxxxx k xxxxxxxxx xxxxxxxxx xxxxx §17 xxxx. 2, xxxx xxxx podmínku xxxxxx xxxxxxxxxx do 12 xxxxxx ode xxx xxxxxx účinnosti xxxx xxxxxxxx.

§59

Xxxxxxxxx xxxxxxxxxx

Xxxxxxx xx:

1. Xxxxxxxx č. 523/2005 Sb., x xxxxxxxxxxx informačních x xxxxxxxxxxxxx systémů a xxxxxxx elektronických zařízení xxxxxxxxxxxxx s xxxxxxxxxxx xxxxxxxxxxx x x xxxxxxxxxxx xxxxxxxxx xxxxx.

2. Xxxxxxxx č. 453/2011 Sb., xxxxxx xx xxxx vyhláška x. 523/2005 Xx., x xxxxxxxxxxx informačních x xxxxxxxxxxxxx xxxxxxx x dalších xxxxxxxxxxxxxx xxxxxxxx nakládajících x xxxxxxxxxxx informacemi x x xxxxxxxxxxx stínicích xxxxx.

ČÁST XXXXX

XXXXXXXX

§60

Xxxx xxxxxxxx xxxxxx xxxxxxxxx dnem 1. xxxxx 2025.
 

Ředitel:

Ing. Xxxxx x. x.

Xxxxxxx č. 1

Xxxxxxx xxxxxxxxxx

Xxx xxxxxxx výpočtu xxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxxx, x xxxxx xx nachází xxxxx xxxxxxxxxxxx systému, xxxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxxxx zařízení obsahující x sobě xxxxxx xxxxxxxxx, xxxxx pro xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxx ke xxxxxx elektrické xxxxxxx, xx xxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxx X1.

X1

Xxxxxxx x. 2

Xxxx xxxxxxxxxxx

XXXXXXX ÚŘAD

PRO KYBERNETICKOU X INFORMAČNÍ BEZPEČNOST

 

Národní xxxx xxx kybernetickou x informační xxxxxxxxxx xxxxxxxxx podle §137a xxxx. x) xxxxxx x. 412/2005 Sb., x ochraně xxxxxxxxxxx xxxxxxxxx x x xxxxxxxxxxxx xxxxxxxxxxxx, xx xxxxx xxxxxxxxxx xxxxxxxx
&xxxx;

xxxxxx
&xxxx;

XXXXXXXXXX
&xxxx;

xxxxxxxxxxxx xxxxxxx
xxxxx §46 xxxxxx x. 412/2005 Xx., x xxxxxxx xxxxxxxxxxx xxxxxxxxx x x xxxxxxxxxxxx xxxxxxxxxxxx, xx xxxxx pozdějších předpisů.
 

Evidenční xxxxx xxxxxxxxxxx: ______________________________
&xxxx;

________________________________________________

(xxxxx, xxxxx)
&xxxx;

Xxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx x schválení xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx
x nakládání x xxxxxxxxxxx informacemi xx a xxxxxx xxxxxx utajení

_______________________________________
 

Platnost od:

Platnost xx:


&xxxx;

xxxxx xxxxxxxx xxxxxxx

&xxxx;

_________________________

xxxxxx xxxxxxxxxxx zástupce

Datum xxxxxx:

Xxxxxxx:

Xxxxxxxxx

Xxxxxx xxxxxxx x. 479/2024 Sb. xxxxx xxxxxxxxx xxxx 1.1.2025.

Xx xxx uzávěrky xxxxxx xxxxxxx xxxxx xxxxx xx doplňován.

Znění jednotlivých xxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx xx xxxx xxxxxx xxxxxxxxx změna xxxxx uvedeného právního xxxxxxxx.

1) Rozhodnutí Xxxxxx (XX, Euratom) 2021/259 xx dne 10. xxxxx 2021, xxxxxx xx stanoví prováděcí xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxx x ohledem xx xxxxxxxxx xxxxxx.

Xxxxxxxxxx Xxxx (XX) 2013/488/XX xx xxx 23. xxxx 2013 o xxxxxxxxxxxxxx xxxxxxxxxx na xxxxxxx xxxxxxxxxxx informací XX, x xxxxxxx xxxxx.

2) Xxxxxxxxxx Xxxx 2013/488/XX.

3) Xxxxxx xxxx xxxxxxxxx xxxxxxxx Xxxxxxxxxxxxxxxx xxxxxxx o bezpečnosti xxxxxxxxx, xxxxxxxxx xxx č. 75/2001 Sb. m. s.