§ 19 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) – Nástroj pro řízení přístupových oprávnění
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) · 316/2014 Sb. · § 19 · IT právo a ochrana dat
Stručně: Paragraf 19 vyhlášky o kybernetické bezpečnosti stanovuje povinnost používat nástroj pro řízení přístupových oprávnění k aplikacím a datům a pro zaznamenávání jejich použití.
§ 19 Nástroj pro řízení přístupových oprávnění
(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona používá nástroj pro řízení přístupových oprávnění, kterým zajistí řízení oprávnění
a) pro přístup k jednotlivým aplikacím a datům a
b) pro čtení dat, pro zápis dat a pro změnu oprávnění.
(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále používá nástroj pro řízení přístupových oprávnění, který zaznamenává použití přístupových oprávnění v souladu s bezpečnostními potřebami a výsledky hodnocení rizik.
Paragraf 19 vyhlášky o kybernetické bezpečnosti stanovuje povinnost používat nástroj pro řízení přístupových oprávnění k aplikacím a datům a pro zaznamenávání jejich použití.
Co to znamená v praxi
Subjekty uvedené v § 3 písm. c) až e) zákona musí mít systém, který řídí, kdo a k čemu má přístup v rámci aplikací a dat.
Tento systém musí umožňovat nastavení oprávnění pro čtení dat, zápis dat a změnu samotných oprávnění.
Subjekty uvedené v § 3 písm. c) a d) zákona musí navíc používat nástroj, který zaznamenává, jak jsou tato přístupová oprávnění používána, a to v souladu s bezpečnostními potřebami a výsledky hodnocení rizik.
Na co si dát pozor
Je třeba rozlišovat mezi rozsahem povinností pro subjekty dle § 3 písm. c) až e) a pro subjekty dle § 3 písm. c) a d), kdy pro druhou skupinu platí rozšířená povinnost zaznamenávání.
Zaznamenávání použití oprávnění musí být v souladu s bezpečnostními potřebami a výsledky hodnocení rizik, což naznačuje nutnost předchozí analýzy a nastavení.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.