§ 18 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) – Nástroj pro ověřování identity uživatelů
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) · 316/2014 Sb. · § 18 · IT právo a ochrana dat
Stručně: Paragraf 18 vyhlášky o kybernetické bezpečnosti stanovuje povinnost používat nástroje pro ověřování identity uživatelů a administrátorů v kritických a významných informačních systémech a definuje minimální požadavky na tato ověřování, zejména pokud se používají hesla.
§ 18 Nástroj pro ověřování identity uživatelů
(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona používá nástroje pro ověření identity uživatelů a administrátorů informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury a významného informačního systému.
(2) Nástroj pro ověřování identity uživatelů a administrátorů zajišťuje ověření identity uživatelů a administrátorů před zahájením jejich aktivit v informačním systému kritické informační infrastruktury, komunikačním systému kritické informační infrastruktury a významném informačním systému.
(3) Nástroj pro ověřování identity uživatelů, který používá autentizaci pouze heslem, zajišťuje
a) minimální délku hesla osm znaků,
b) minimální složitost hesla tak, že heslo bude obsahovat alespoň 3 z následujících čtyř požadavků
1. nejméně jedno velké písmeno,
2. nejméně jedno malé písmeno,
3. nejméně jednu číslici, nebo
4. nejméně jeden speciální znak odlišný od požadavků uvedených v bodech 1 až 3,
c) maximální dobu pro povinnou výměnu hesla nepřesahující sto dnů; tento požadavek není vyžadován pro samostatné identifikátory aplikací.
(4) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále
a) používá nástroj pro ověření identity, který
1. zamezí opětovnému používání dříve používaných hesel a neumožní více změn hesla jednoho uživatele během stanoveného období, které musí být nejméně 24 hodin, a
2. provádí opětovné ověření identity po určené době nečinnosti a
b) využívá nástroj pro ověřování identity administrátorů. V případě, že tento nástroj využívá autentizaci heslem, zajistí prosazení minimální délky hesla patnáct znaků při dodržení požadavků podle odstavce 3 písm. b) a c).
(5) Nástroj pro ověřování identity uživatelů může být zajištěn i jinými způsoby, než jaké jsou stanoveny v odstavcích 3 až 5, pokud orgán a osoba uvedená v § 3 písm. c) až e) zákona zabezpečí, že používá opatření zajišťující stejnou nebo vyšší úroveň odolnosti hesla.
Paragraf 18 vyhlášky o kybernetické bezpečnosti stanovuje povinnost používat nástroje pro ověřování identity uživatelů a administrátorů v kritických a významných informačních systémech a definuje minimální požadavky na tato ověřování, zejména pokud se používají hesla.
Co to znamená v praxi
Subjekty, na které se vyhláška vztahuje (orgány a osoby uvedené v § 3 písm. c) až e) zákona), musí zajistit, aby se uživatelé a administrátoři ověřovali předtím, než začnou pracovat s informačními systémy kritické infrastruktury nebo významnými informačními systémy.
Pokud se k ověřování používají hesla, musí splňovat přísné požadavky na délku (minimálně 8 znaků, pro administrátory 15 znaků u některých subjektů) a složitost (kombinace velkých/malých písmen, číslic a speciálních znaků).
Hesla musí být pravidelně měněna, a to nejpozději každých 100 dnů, s výjimkou samostatných identifikátorů aplikací.
U některých subjektů (orgány a osoby uvedené v § 3 písm. c) a d) zákona) musí systém zabránit opakovanému použití starých hesel a vynucovat opětovné ověření identity po určité době nečinnosti.
Na co si dát pozor
Požadavky na hesla se liší pro běžné uživatele a administrátory, a také pro různé typy subjektů. Je nutné pečlivě rozlišovat, na koho se které ustanovení vztahuje.
I když jsou stanoveny konkrétní požadavky na hesla, vyhláška umožňuje používat i jiné metody ověřování identity, pokud zajišťují stejnou nebo vyšší úroveň bezpečnosti. Je tedy možné implementovat i pokročilejší autentizační mechanismy.
Je třeba zajistit, aby nástroje pro ověřování identity byly nastaveny tak, aby splňovaly všechny uvedené minimální požadavky, zejména co se týče délky, složitosti a pravidelné výměny hesel.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.