Plné znění - 56/1999 Sb.

Příloha - CERTIFIKÁT

Xxxxxxx xxxxxxxxxxxx úřad (xxxx xxx "Xxxx") xxxxxxx xxxxx §51 xxxx. 3 x §53 odst. 3 xxxxxx č. 148/1998 Xx., o xxxxxxx xxxxxxxxxxx xxxxxxxxxxx a x xxxxx xxxxxxxxx xxxxxx, (dále jen "xxxxx"):

Xxxx xxxxxxxx xxxxxxx požadavky na xxxxxxxxxx informačních xxxxxxx xxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxx (xxxx xxx "xxxxxxxxxx xxxxxx"), xxxxxxxxx xxxxxxxxx v xxxxxxx xxxxxxxxxx xxxxxxxxxxx, xxxxx x postupy x xxxxxxx xxxxxxxxxxxxxx procesu xxxxxxxxxxxx systémů x xxxxxxxxxxx certifikátu.

Xxx xxxxx xxxx xxxxxxxx se xxxxxx:

(1) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx xxxxxx xxxxxxxx z xxxxxxx:

(2) Xxxxxx opatření uvedený x odstavci 1 xx xxxxxxxxxxxx x xxxxxxxxxxxx dokumentaci informačního xxxxxxx,

(1) Xxxxxxxxxxxx dokumentaci xxxxxxxxxxxx xxxxxxx xxxxx:

(2) Projektová xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx obsahovat:

(3) Xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému xxxx xxxxxxxxx:

(4) Xxxxxxxxxxxx dokumentace uvedená x odstavci 2 x odstavci 3 xxxx. x) se xxxxxxxxxxx a xxxxxxxx xxxxxxx xxxxxxx xxxxxxx x xxxxxxxxx stupněm xxxxxxx utajované xxxxxxxxx, xx kterou xxxxxxxxxx xxxxxx xxxxxxx.

(1) Xxxxxxx k xxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxx xxx xxxxxxx xxxxx xxxxxx xxxxx, xxxxx xxxx pro xxxxx přístup xxxxxxxxxxxx. Xxxxxxxxxx xx založena xx jedinečném xxxxxxxxxxxxxx xxxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxx.

(2) Xxxxxxx k xxxxxxxxx xxxxxxxxx x informačním xxxxxxx xxxx xxx xxxxxxx xxx xxx xx osoby, které xxxxx xxxxxxx nezbytně xxxxx xxxxxxxxx x xxxxxx xxx xxxxxxxx. Xxxxx xxxxxx xx xxxxx oprávnění xxxxx x xxxxxxx xxxxxxxxx xxx provádění jim xxxxxxxx xxxxxxx x xxxxxxxxxxx systému.

(1) Xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxx xx xxxxxxxxxx xxx stanovených xxxxxxxxxx, kterými xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xxxx povinnosti xxxx xxxxxxxxx x xxxxxxxx bezpečnostní xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxxx xxxxxxxxx xxxxxxxxxxxx xx xxxxxxx xxxxxxxxxxxx aktiv xxxxxxxxxxxx systému.

(2) X xxxxxxxxxxx xxxxxxx xx xxxxxx xxxx xxxxxxxxxxxxxx xxxxxxx informačního xxxxxxx odděleně od xxxx správce xxxxxxxxxxxx xxxxxxx.

(3) Xxxx xxxxxxxxxxxxxx správce xxxxxxxxxxxx xxxxxxx xxxxxxxx výkon xxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxx xxxxxxxxxxxxxx směrnic, xxxxxxxxxxx xxxxxx x xxxxxxxxxxxxx incidentu a xxxxxxx činnostech xxxxxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému.

(4) Xxxxxxxxx x xxxxxxxx xxxxxxxx x xxxxxxxxxxx systému xx xxxxxxxxxxx xxx, xxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx nebo xxxxxx x xx xxxx xxxxx xxxxxxxx konkrétnímu xxxxxxxxx x každé xxxx xxxx x xxxxxxxxxxx xxxxxxx. Xxxxxxx xx uchovávají po xxxx xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx.

Xxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxxx x xxxxxxxxx xxxxxx z xxxxxxxxxxxx systému, musí xxx označena xxxxxxxxxxxxx xxxxxxx xxxxxxx xxx, xxx při xxxxxxxxxx xxxxxx xxxxxxxxx s xxxxx informací xxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx.

(1) Pro xxxxx xxxxxxxxxx systém musí xxx xxx v xxxxxxxxx xxxx xxxx xxxxxx xxxxxxxxxx bezpečnostní xxxxxxxx informačního xxxxxxx. Xxxxxxxxxxxx xxxxxxxx informačního xxxxxxx tvoří xxxxxx xxxxx, xxxxxxxx x xxxxxxx, xxxxx vymezuje xxxxxx, jakým xx xxx zajištěna xxxxxxxxx, xxxxxxxxx x dostupnost xxxxxxxxx informace x xxxxxxxxxxx xxxxxxxxx xx xxxx činnost x xxxxxxxxxxx xxxxxxx. Xxxxxx xxxxxxxxxxxx xxxxxxxx jsou xxxxxxxxxxxx v xxxxxxxxxx x provozní xxxxxxxxxxxx xxxxxxxxxxx informačního xxxxxxx.

(2) Bezpečnostní xxxxxxxx xxxxxxxxxxxx systému xxxx xxx xxxxxxxxxx v xxxxxxx x xxxxxxxx xxxxxxxx a mezinárodními xxxxxxxxx, kterými xx Xxxxx xxxxxxxxx xxxxxx, x s xxxxxxxxxxxx xxxxxxxxx nadřízeného xxxxxx, xxxxx xxxx xxxxxxxxxx.

(3) Při formulaci xxxxxxxxxxxx politiky informačního xxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx vlastností xxxxxxxxxx xxxxxxxxxxxx systému xxx xxxxxx též xxxxxxxxxxxxx xxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx.¹⁾

Xxxxxxxxxxxx politika xxxxxxxxxxxx xxxxxxx se xxxxxxxxx xx xxxxxxx:

(1) Xxxxxxxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx "Xxxxxxx" xxxx xxxxxxx musí xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxxx xxxxxx:

(2) X xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxx xxxxxxxxx x odstavci 1 xxxx v xxxxxxxxxxx xxxxxxx xxxxxxxxxxx identifikovatelné xxxxxxxxxx technické xxxxxxxxxx. Xxxxxx provedení x xxxxxxxx nastavení je xxxxxxxxxxxxxx tak, xxx xxxx xxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxxxxxx.

(3) Xxxxxxxxxxxx xxxxxxxxxx uplatňující xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxx x celém xxxxxxxx xxxxx xxxxxxxxxxxx systému xxxxxxxx xxxx narušením xxxx neautorizovanými xxxxxxx.

(4) X informačním xxxxxxx, který xxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxx utajení "Xxxxxxxxx", xxxx být zajištěna odpovědnost xxxxxxxxx xx jeho xxxxxxx v xxxxxxxxxxx xxxxxxx a přístup x utajované xxxxxxxxx xxx xxxxxxx na xxxxxxx zásady xxxxxxx xxxxxxxxxxx x xxxxxxxxx. X xxxx se xxxxxxxxxx způsobem xxxxxxxxx xxxxxxxxxxxx xxxxxx uvedené x odstavci 1 x xxxx opatření x xxxxxxx xxxxxxxxxx x administrativní xxxxxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx.

(1) Xxxxxxxxxx xxxxxxx xx xxxxx xxxxxxxxxx xxxxx x některém x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx:

(2) Xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxx xx xxxxxx prostředí, xx xxxxxx xx xxxxxxxxxx xxxxxx xxxxx xxxxxxxx xxx xxxxxxxxxx jednoho xxxxxxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx, přičemž xxxxxxx xxxxxxxxx musí xxx xxxxxx xxx xxxxxxx x xxxxxxxxxx informacím xxxxxxxxxx xxxxxx xxxxxxx, xxxxx xxxx x xxxxxxxxxxx xxxxxxx xxxxxxxx, x zároveň xxxx xxx xxxxxxxxx xxxxxxxx se xxxxx xxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxx x informačním xxxxxxx xxxxxxxx. Xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xx xxxxxxxxxx v xxxxxxxxxxxxx xxxxxxxxx módu xxxxxxxxxx, xx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxx bezpečnosti xxxxxxxxx x §10 xxxx. 1 xxxx. x), x), x) a x), xxxxx i xxxxxxxxxx z xxxxxxx xxxxxxxxxxxxxxx x personální xxxxxxxxxxx x fyzické xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xxxxxx xxxxxxxxx opatření x xxxxxxxxx xxxxxxx x xxxxxxxx x xxxxxxxxx xxxxxxxxxx dat xxxxx xxxxxxx xxxx xxxxxxxxx xxxxxx požadované xxx xxxxxxxx xxxxxx xxxxxxx utajovaných informací, xx xxxxxxx xxxxxxxxxx xxxxxx xxxxxxx.

(3) Xxxxxxxxxxxx xxxxxxxx mód x nejvyšší úrovní xx xxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx zpracování xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxx, ve xxxxxx xxxxxxx xxxxxxxxx xxxx být xxxxxx xxx xxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx, xxxxx xxxx v informačním xxxxxxx xxxxxxxx, xxxxxxx xxxxxxx uživatelé xxxxxx xxx xxxxxxxxx xxxxxxxx xx všemi xxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xx xxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx módu x xxxxxxxx xxxxxx, xx xxxxxxxxxxx xxxxxxxx minimálních xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx počítačové xxxxxxxxxxx xxxxxxxxx x §10, xxxxx i xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxxxx x personální xxxxxxxxxxx x xxxxxxx bezpečnosti xxxxxxxxxxxx xxxxxxx. Úroveň xxxxxxxxx opatření x xxxxxxxxx oblastí x xxxxxxxx x xxxxxxxxx xxxxxxxxxx dat během xxxxxxx xxxx odpovídat xxxxxx xxxxxxxxxx pro xxxxxxxx xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxxxx xxxxxx xxxxxxx.

(4) Xxxxxxxxxxxx xxxxxxxx mód xxxxxxxxxxxx xx takové xxxxxxxxx, xxxxx xxxxxxxx v xxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx utajovaných xxxxxxxxx klasifikovaných xxxxxxx xxxxxx xxxxxxx, ve xxxxxx xxxxxx xxxxxxx xxxxxxxxx určeni pro xxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx, které xxxx x xxxxxxxxxxx xxxxxxx xxxxxxxx, xxxxxxx všichni xxxxxxxxx nemusí xxx xxxxxxxxx pracovat xx xxxxx utajovanými xxxxxxxxxxx. Bezpečnost xxxxxxxxxxxx xxxxxxx, který je xxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx módu víceúrovňovém, xx zabezpečuje xxxxxxxxxx xxxxxxxxx x xxxxxxxx 3 x xxxxxxxxxxxx xxxxxx povinného řízení xxxxxxxx xxxxxxxx x xxxxxxxx. Xxxxxx xxxxxxxxx xxxxxxxx z xxxxxxx xxxxxxxxxxxxxxx x personální xxxxxxxxxxx, fyzické bezpečnosti xxxxxxxxxxxx systémů a xxxxxxxx x zajištění xxxxxxxxxx dat xxxxx xxxxxxx xx xxxxxxx xx základě xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxx.

(5) Xxxxxx xxxxxxxxx xxxxxx xxxxxxxx xxxxxxxx x objektům musí xxxxxxxxxx:

(6) Xxx uplatňování xxxxxxxxxxxx xxxxxx povinného xxxxxx přístupu subjektů x xxxxxxxx musí xxx xxxxxxxxxxx xxxx xxxxxx:

(7) Xxxxxxxxxx xxxxxx, xxxxx xx provozován v xxxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxxx, musí xxx xxxxxxx xxxxxx xxxxxxx xxxxxxx utajení xxxxxxxxx xxxxxxxxx vystupující x xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx xxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx do informačního xxxxxxx.

(8) U xxxxxxxxxxxx systému, xxxxx xx provozován x xxxxxxxxxxxxx provozním xxxx xxxxxxxxxxxxx a nakládá x xxxxxxxxxx informací xxxxxxxxxxxxxx xxxxxxx xxxxxxx "Xxxxxx xxxxx", musí xxx xxxxxxxxx identifikace x xxxxxxx skrytých xxxxxx. Xxxxxxx kanálem xx xxxxxx nepřípustná xxxxxxxxxx, xxx se xxxxxxxxx informace dostala x neoprávněnému xxxxxxxx.

(1) Xxx xxxxxxx xxxxxxxxx informace komunikačním xxxxxxx xxxx být xxxxxxxxx xxxxxxx její xxxxxxxxxx x integrity.

(2) Základním xxxxxxxxxxx xxx xxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxx komunikačním xxxxxxx xx xxxxxxxxxxxxxx xxxxxxx.

(3) Xxxxxxxxx xxxxxxxxxxx xxx xxxxxxxxx xxxxxxxxx utajované informace xxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx je xxxxxxxxxx detekce záměrné x xxxxxxx změny xxxxxxxxx informace.

(4) X xxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxx xxxxxxxxxx identifikace x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxx, včetně ochrany xxxxxxxxxxxxx x autentizační xxxxxxxxx. Xxxx identifikace x xxxxxxxxxxx předchází xxxxxxx xxxxxxxxx xxxxxxxxx.

(5) Připojení xxxx, xxxxx xx xxx xxxxxxxxx správy xxxxxxxxxxxx xxxxxxx, x xxxx xxxxxx, která xxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx systému, xxxx xxx xxxxxxxxxxx vhodným xxxxxxxxxxxxx xxxxxxxxx xxx, xxx xxxx xxxxxxxx xxxxxxx xx xxxxxxxxxxxx xxxxxxx.

(1) Xxxxxxxxxx xxxxxx xxxx xxxxxxxx, aby xxxxxxxxxx xxxxxxxxx xxxxxxxxx byla xxxxxxxxx xx xxxxxxxxxx xxxxx, x xxxxxxxxxx xxxxx x x xxxxxxx xxxxxxx xxxxxxx.

(2) X xxxxx xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxxx systému xx v xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxx xxxxxxxxxx, které xxxx být xxxxxxxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému. Xxxx xx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxx xx xxxxxxxxxx, xxx jejichž xxxxxxx xxxx xxx xxxxxxxxx xxxxxxxxx informačního systému xxxxxxxx.

(3) Plánování xxxxxxx xxxxx informačního xxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxxx se xxxxxxx tak, xxx xxxxxxxxxxx x chybám xxxxxxxxxx xxxxxx nedostatkem.

(4) Xxxx být xxxxxxxxx xxxx xx xxxxxxxx xxxxxxxx xx xxxxxxx informačního systému. Xxxxxxxx xxxxxxx informačního xxxxxxx xx xxxxxxx xxxxxxxxxxxxx xxxxx xxxx xxx provedeno xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx nebo automaticky. Xxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxxxx xxx xxxxxxxx xxxxxxxx informačního xxxxxxx, xx zpravidla xxxxxxxxxxxxx xx xxxxxxxxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx modifikací xxxx xxxxxxxx.

(1) Xxx xxxxxxxxx xxxxxx, které xxxxxxxx xxxxxx informačního xxxxxxx, xxxx xxx xxxxxxxxx xxxxxxx xxxxx.

(2) X xxxxx xxxxxxxxx analýzy rizik xx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxxx xx xxxxxx, xxxxx působí na xxxxxxxxxx aktiva xxxxxxxxxxxx xxxxxxx. Xxxxxxxx se xxxxxxx ohrožení, xxxxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxxxx informačního xxxxxxx.

(3) Xx xxxxxxxxx hrozeb se xxxxxx zranitelná xxxxx xxxxxxxxxxxx xxxxxxx xxx, xx xx xxxxx xxxxxx xx xxxxx xxxxxxxxxx místo xxxx xxxxx, xx která xxxx xxxxxx xxxxxx.

(4) Výsledkem provedené xxxxxxx rizik xx xxxxxx hrozeb, xxxxx xxxxx ohrozit xxxxxxxxxx xxxxxx, x uvedením xxxxxxxxxxxxxx xxxxxx.

(5) Xx xxxxxxx xxxxxxxxx xxxxxxx xxxxx se xxxxxxx výběr xxxxxxxx xxxxxxxxxxxxx.

V xxxxxxx xxxxxxxxxx xxxxxxx xx xxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxx počítačové xxxxxxxxxxx xxx provést xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxx. Xxx xxxxxxxxx prostředků xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx nebo xxxxxxxx xxxxxxxxxx, xxxxx mají xxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx, musí být xxxxxxxx xxxxxxxxxxx zásady:

(1) Xxxxxx xxxxxxxxxxxx systému musí xxx xxxxxxxx do xxxxxxxxxxxxx xxxxxxxx, xx xxxxxx xx xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx xxxx neoprávněným xxxxxxxxx, xxxxxxxxxx x xxxxxxxxxx. Tento xxxxxxx xx vymezen xxxxxxxxxxxx xxxxx xxxxxxx s xxxxxxxx kontrolami vstupu x xxxxxxxxxxxxxx xxxxxxxxx.

(2) Aktivum xxxxxxxxxxxx xxxxxxx xxxx být xxxxxxx chráněno před xxxxxxxxxxxxxx hrozbami x xxxxxx prostředí.

(3) Xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx musí xxx xxxxxxxxx xxx, xxx xxxxxxxxxx xxxxxxxxxx xxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx.

(4) Telekomunikační infrastruktura xxxxxxxxxxx xxxx xxxx xxxxxxxxxxx xxxxxx informačního xxxxxxx musí být xxxxxxxx xxxx xxxxxxxx xxxxxxxxx přenášených utajovaných xxxxxxxxx a xxxxxx xxxxxxxxx.

(5) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xx xxxxxxxx opatřeními xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx.

(1) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxxxx s xxxxxxxxxx xxxxxxxxx, musí xxx xxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxxxxx xxxxxxxxxx, které xx xxxxx xxxxxxxx xxxxxxxxx utajované xxxxxxxxx.

(2) Xxxxxx zabezpečení xx xxxxxxx na xxxxxx utajení utajované xxxxxxxxx, xx kterou xxxxxxxxxx xxxxxx nakládá.

(1) Xxxxxxx xxxxxx utajovaných xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx být evidovány.

(2) Xxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxx musí xxx xxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx.

(3) Stupeň xxxxxxx xxxxxxxxxxxxx nosiče xxxxxxxxxxx xxxxxxxxx, xxxxx xxx označen xxxxxxx xxxxxxx "Xxxxxx xxxxx", xxxxx xxx snížen.

(4) Xxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxx xxxxxxx xxxxxxx xxxxxxx "Xxxxx", "Důvěrné" nebo "Xxxxxxxxx", může xxx xxxxxx xxxxx x xxxxxxx, xx xxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxx xxxx xxxxxxxxx xxxxxxxx uvedeným x xxxxxxxx 5.

(5) Xxxxxxxx xxxxxxxxx informace x xxxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, které xxxxxxxx xxxxxxx jeho xxxxxx xxxxxxx, musí xxx xxxxxxxxx tak, xxx xxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxx xxxxx xxxx xxxx xxxxxx obtížné x xxx xxxxxxx speciálních xxxxxxxxxxxxx xxxxx x xxxxxxxxxx.

(6) Ničení xxxxxx xxxxxxxxxxx informací xxxxxxxxxxxx systému xxxx xxx xxxxxxxxx tak, xxx xxxxxx možno xxxxxx způsobem xxxxxxxxxx xxxxxxxxx z xxxx xxxxxxxx xxxxxx.

(1) V xxxxxx xxxxx nebo x xxxxxxxxxx xxxx xxx xxxxxxxxxxxx politika xxx xxxxxxxxxx osobní počítače, xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxx, xxxxxxxxxx xxxxxxxx, xxxxxxx xxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxx xxxxxxx, tabulkových xxxxxxxxx, xxxxxxxxxxxx xxxxxxx x xxxxxxxxx databázemi xxxx xxxxxxxxxxxxxxxx programů xxxxxxxxxxxxx xx samostatných xxxxxxxx xxxxxxxxxx.

(2) Xxxxxx xxxxxxxx použitých pro xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxx x xxxxxx tohoto xxxxxxxx xxxx xxxxxx xxxxxxxxx informace klasifikovaného xxxxxxxxx stupněm utajení xxxxxxxxx xxxxxxxxx, xx xxxxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxx.

(1) Pro xxxxxxx x přenosné xxxxxxxxxx xxxxxxx xx x analýze xxxxx xxxxxxxx i rizika, xxxxx xxxx u xxxxxxxxx informačních systémů xxxxxxx x xxxxxxxxx xxxxxxxxxxx x u xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxxxxx, xx xxxxxxx xxxxx tyto xxxxxxxxxx systémy používány.

(2) Ochrana komponentu xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, který xxxxxxxx xxxxxxxxx xxxxxxxxx, xxxxxxx x pojetí xxxxxx xxxxxxxxxx xxxx xxxxxx utajované informace xxxxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx, xx kterou xxxxx xxxxxxxxx xxxxxxx.

(1) Xxxxxxxxxx xxxxxxxxxxxx systému xx xxxx před xxxx xxxxxxxxxxx xxxxxx xxxxxxxxxx. Xxxxxxxxx provádí xxxxxx, xxxxx xxxxxxx xxxxx být ve xxxxxx k xxxxxxxxxxxx xxxxxxx a x xxxxxxxxxx týmu xxxxxxx xxx, xx xx xx xxxxxxxx xx xxxxxx xxxxxxxxxxxx systému, xx xx xxxx xxxxxx xxxxx na xxxxxxxxxx xxxxxxxxx xxxx xx s vývojovým xxxxx spojoval osobní xxxxx pracovní x xxxx xxxxxxx xxxxx. X xxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx.

(2) Xxxxxxxx xxxxx xxxxxx xxxxxxxx, že bezpečnostní xxxxxx xxxx xxxx x souladu x xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx systému. Xxxxxxxx xxxxx xxxx být xxxxxxxxxxxxxxx. Xxxxx xxxxxxxx xxxxx xxxxxxxxx xxxx xxx xxxxxxxxxx a xxxxxx xxxxxxxxxx xxxx xxx ověřeno následnými xxxxx.

(1) Xxxxxxxxxx xxxxxxxxxxxxx informačního xxxxxxx xxxx být xxxxxxxx, x ohledem xx xxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx, xxxxxxxxxxx x vyhodnocována. Xxxxx xxxxx x xxxxxxxxxxx xxxxxxx xx xxxxx xxxxxxx xx po xxxxxxxxxxx xxxxx této xxxxx xx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.

(2) Xxxxxxxxx xxxxxxxxxxxx vybavení x xxxxxxxxxxx xxxxxxxxx xxxx xxx xxxxxxxx xxxx působením xxxxxxxxxx xxxx.

(3) V xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxx xxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx, xxxxx bylo xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxx systému.

(4) V xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx musí xxx prováděno xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxx xxxxxxxxx. Záloha xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxx musí xxx xxxxxxx xxx, xxx xxxxxxx dojít x xxxxxx xxxxxxxxx xxxx xxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxxxx.

(5) Xxxxxxxx xxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xx musí xxxxxxxxxxx xxx, xxx xxxxxx xxxxxxxx xxxx xxxxxxxxxx. X nosičů xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxx xxx xxxxxxxx činnosti xxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxxxxx xxxx xxx xxxxxxxxxxx před zneužitím.

(6) V xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxx x xxxxxxxxx xxxxxxxxxxx v bezpečnostní xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx x při xxxxxx xxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx. Xxxxxxx záznamy xxxx být archivovány xx xxxx stanovenou x bezpečnostní xxxxxxxxxxx xxxxxxxxxxxx systému.

(7) Xxx xxxxxx krizové xxxxxxx xxxxxxxxxxxxx informačního xxxxxxx xxxx xxx x xxxxxxxxxxxx dokumentaci xxxxxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx xx xxxx xxxxxxx xx xxxxxxx bezpečného stavu. X bezpečnostní xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxx xxxxxxx xxxx xxxxxxxx:

(8) Xxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxx provedeno xxxxxxx, xxxxxxxx nebo xxxxxxx xxxxxxxxxxx informací, xx xxxxxxx xxxxxxxxxx systém xxxxxxxx.

(1) Xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx být xxxxxxxxxxx xxx xxxxxxx x informačním systému x xxxx xxxxxxxxxx xxxx xxx změněna xxx změně xxxx xxxx x xxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxx xxx zániku xxxx xxxxxx.

(2) Xxxxxxxxxxxx informačního systému xxxx zabezpečit proškolování xxxxxxxxx informačního xxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxx užívání xxxxxxxxxxxx xxxxxxx.

(1) Xxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxx Xxxxx orgán xxxxx nebo organizace, xxxxx xxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx, (xxxx xxx "xxxxxxx").

(2) Xxxxxx xxxxx xxxxxxxx 1 xxxxxxxx:

(3) Xxxx vypracuje xxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx (xxxx xxx "xxxxxxxxx") x xxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxxx. X xxxxxxxxx xxxxxxxxx žadatel xxxx xxxxxxxx následující xxxxxxxx:

(4) Xxxxxxxxx xx xxxxxxx xxxxxxxxxx xxxxxxxx předložených xxxxxxxxx x provedením xxxxxxxxxxx xxxxx. Dodatečné xxxxx xxxxxxx Xxxx x žadatele x xxxxxxxxx xxxxxxxxx hodnoceného xxxxxxxxxxxx xxxxxxx za xxxxxxxxxxx xxxxxxxx x x xxxxxxx xxxxxxx xxxxxxxxxx.

(5) Jsou-li x průběhu xxxxxxxxx xxxxxxxx nedostatky, vyzve Úřad xxxxxxxx x xxxxxx xxxxxxxxxx. Xxxxx xxxxxxx x xxxxxxx xxxxxxxxxx Xxxxxx zjištěné xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx xx xxxxxx.

(6) Xxxxxxxxx xxx xxxxxxxx xxxxxxxx xx xxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xx xx jeho celkovém xxxxxxxxx.

(7) O xxxxxxxx hodnocení xx xxxxxxxx xxxxxxxxx xxxxxx.

(8) Jestliže se xx xxxxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxx nakládání x xxxxxxxxxxx xxxxxxxxxxx, xxxxxx xxxxxxx x xxxxx certifikát. X xxxxxxx, xx xxxxxxxxx informační xxxxxx splňuje xxxxxxxxxxx xxxxx xxx nižší xxxxxx xxxxxxx, xxxx xx certifikát na xxxxx xxxxxx xxxxxxx.

(9) Xxxxx-xx x xxxxxxxxxxx systému, jehož xxxxxxxxxxx byla chválena, xx xxxxxx xxxxxxxx x §25 odst. 2 písm. x), xxxxxxx se xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxx x posouzení provedených xxxx. V xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx systému xx xxxxxxxxx xxxxxxx jako xxx xxxxxxxxx certifikace xxxxxxxxxxxx xxxxxxx.

(1) Xxxxxxxxxx informačního xxxxxxx, xxxxx vzor xx xxxxxx v příloze, xxxxxxxx:

(2) Xxxxxxxx certifikátu xx xxxxxxxxxxxx zpráva, xxxxx xxxxx jeho xxxxxxx. Certifikační zpráva xxxxxxxx:

(1) Xxxx xxxx xxxxxxx certifikovaných xxxxxxxxxxxx xxxxxxx. K xxxxxxxxxxxxxxx xxxxxxxxxxxx systému xx vede certifikační xxxx, do xxxxxxx xx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxx, xxxxxxxx poskytnuté xxxxxxxxx, xxxxxxxxx xxxxxx x xxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxx vydaného certifikátu.

(2) Skartační lhůta xxxxxxxxxxxxxx spisu xxxxxx xxxxx xxxx xxxxxxxx xxxxxxxxx certifikátu a xxxx xxxxxxx 5 xxx.

(1) Informační xxxxxx xxxxxx xxxxx, xx xxxxxx xx xxx xxxxxxxxx zákona xxxx xxxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxx, hospodářského xxxx xxxxxxxxxx tajemství xxxxxx xxxxxxxxx xxxxxxxx xxxxx xxxxxxxxx xxxxxx xxxxxx,²⁾ a informační xxxxxx xxxxxx xxxxx, xxxxx xxx xxx xxxxxxxxx zákona xx xxx účinnosti xxxx xxxxxxxx nakládal x xxxxxxxxxx xxxxxxxxxxx, lze x případě xxxxxxx xxxxxxxxx xx certifikovaný xxxxxxxxxx xxxxxx xxxxx xxxx vyhlášky, nejpozději xx 18 měsíců xxx dne nabytí xxxxxxxxx této vyhlášky.

(2) Xxxxxxxxxx systém xxxxxxxxxx, xx xxxxxx xx dni účinnosti zákona xxxx xxxxxxxxxxxx xxxxxxxxxx xxxxxxx předmět xxxxxxxx, hospodářského nebo xxxxxxxxxx xxxxxxxxx pomocí xxxxxxxxx xxxxxxxx podle xxxxxxxxx xxxxxx xxxxxx,²⁾ x xxxxxxxxxx xxxxxx xxxxxxxxxx, který ode xxx xxxxxxxxx zákona xx xxx xxxxxxxxx xxxx vyhlášky xxxxxxxx x utajovanou xxxxxxxxxxx, xxx v případě xxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxx této xxxxxxxx, xxxxxxxxxx xx 12 xxxxxx xxx dne xxxxxx xxxxxxxxx xxxx xxxxxxxx.

(3) Statutární xxxxx xxxxxxx, které xxxxxxxxxx xxxxxxx xxxxxxx x odstavci 1 xxxx xxxxxxxx 2 xxxxxxxx za xxxxxxxxxxxxx xxxxxxxxxx systému xxxxx xxxx vyhlášky.

(4) Xxxxxx x certifikaci xxxxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx 1 xxxx xxxxxxxx 2, x xxxxxxx xxxxxxxxxx xxxxx stanovil, xx xxx xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxx systém xxxxx této vyhlášky, xx xxxxx předložit xxxxxxxxxx 6 měsíců xxxx uplynutím lhůty, xx xxxxxx je xxxxxxxxx xx xxxxxxxxxxxxx.

Xxxx xxxxxxxx xxxxxx xxxxxxxxx dnem vyhlášení.

Xxxxxx xxxxxxx č. 56/99 Xx. xxxxx xxxxxxxxx xxxx 30.3.1999.

Xx xxx xxxxxxxx xxxxxx xxxxxxx xxxxx měněn xx xxxxxxxxx.

Právní xxxxxxx x. 56/99 Xx. xxx xxxxxx xxxxxxx xxxxxxxxx č. 412/2005 Sb. x účinností xx 1.1.2006.

Xxxxx xxxxxxxxxxxx xxxxxxxx norem xxxxxx právních předpisů x odkazech xxxx xxxxxxxxxxxxx, xxxxx se xxxx xxxxxx xxxxxxxxx xxxxx xxxxx uvedeného xxxxxxxx xxxxxxxx.