§ 24 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) – Aplikační bezpečnost
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) · 316/2014 Sb. · § 24 · IT právo a ochrana dat
Stručně: Paragraf 24 vyhlášky o kybernetické bezpečnosti stanovuje povinnost provádět bezpečnostní testy zranitelnosti aplikací přístupných z vnější sítě a zajistit trvalou ochranu těchto aplikací, informací a transakcí před neoprávněnou činností a změnami.
§ 24 Aplikační bezpečnost
(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona provádí bezpečnostní testy zranitelnosti aplikací, které jsou přístupné z vnější sítě, a to před jejich uvedením do provozu a po každé zásadní změně bezpečnostních mechanismů.
(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále v rámci aplikační bezpečnosti zajistí trvalou ochranu
a) aplikací a informací dostupných z vnější sítě před neoprávněnou činností, popřením provedených činností, kompromitací nebo neautorizovanou změnou a
b) transakcí před jejich nedokončením, nesprávným směrováním, neautorizovanou změnou předávaného datového obsahu, kompromitací, neautorizovaným duplikováním nebo opakováním.
Paragraf 24 vyhlášky o kybernetické bezpečnosti stanovuje povinnost provádět bezpečnostní testy zranitelnosti aplikací přístupných z vnější sítě a zajistit trvalou ochranu těchto aplikací, informací a transakcí před neoprávněnou činností a změnami.
Co to znamená v praxi
Subjekty uvedené v § 3 písm. c) až e) zákona musí testovat zranitelnost svých aplikací, které jsou dostupné z internetu, a to před spuštěním a po každé významné změně jejich zabezpečení.
Subjekty uvedené v § 3 písm. c) a d) zákona musí zajistit, aby aplikace a informace přístupné z vnější sítě byly chráněny proti neoprávněnému přístupu, popření činností, kompromitaci nebo neautorizované změně.
Tyto subjekty musí také zajistit ochranu transakcí před jejich nedokončením, nesprávným směrováním, neautorizovanou změnou dat, kompromitací, duplikováním nebo opakováním.
Na co si dát pozor
Testování zranitelnosti aplikací je povinné před jejich uvedením do provozu a po každé zásadní změně bezpečnostních mechanismů.
Rozsah povinností se liší pro různé kategorie subjektů (orgán a osoba uvedená v § 3 písm. c) až e) vs. § 3 písm. c) a d) zákona).
Důraz je kladen na ochranu aplikací, informací a transakcí před širokou škálou kybernetických hrozeb.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.