§ 25 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) – Kryptografické prostředky
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) · 316/2014 Sb. · § 25 · IT právo a ochrana dat
Stručně: Paragraf 25 vyhlášky o kybernetické bezpečnosti stanovuje povinnosti pro orgány a osoby v oblasti používání kryptografických prostředků k ochraně informací, včetně požadavků na stanovení úrovně ochrany, pravidel a systému správy klíčů.
§ 25 Kryptografické prostředky
(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona
a) pro používání kryptografické ochrany stanoví
1. úroveň ochrany s ohledem na typ a sílu kryptografického algoritmu a
2. pravidla kryptografické ochrany informací při přenosu po komunikačních sítích nebo při uložení na mobilní zařízení nebo vyměnitelné technické nosiče dat a
b) v souladu s bezpečnostními potřebami a výsledky hodnocení rizik používá kryptografické prostředky, které zajistí ochranu důvěrnosti a integrity předávaných nebo ukládaných dat a průkaznou identifikaci osoby za provedené činnosti.
(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále
a) stanoví pro používání kryptografických prostředků systém správy klíčů, který zajistí generování, distribuci, ukládání, archivaci, změny, ničení, kontrolu a audit klíčů, a
b) používá odolné kryptografické algoritmy a kryptografické klíče; v případě nesouladu s minimálními požadavky na kryptografické algoritmy uvedenými v příloze č. 3 k této vyhlášce řídí rizika spojená s tímto nesouladem.
Paragraf 25 vyhlášky o kybernetické bezpečnosti stanovuje povinnosti pro orgány a osoby v oblasti používání kryptografických prostředků k ochraně informací, včetně požadavků na stanovení úrovně ochrany, pravidel a systému správy klíčů.
Co to znamená v praxi
Subjekty musí definovat, jak silné šifrování budou používat a jak budou šifrovat data při přenosu nebo uložení na mobilní či vyměnitelné nosiče.
Je nutné používat kryptografické prostředky, které zajistí, že data zůstanou důvěrná, neporušená a že bude možné prokázat, kdo jakou činnost provedl.
Pro kryptografické prostředky musí být zaveden systém pro správu šifrovacích klíčů, který pokrývá celý jejich životní cyklus (generování, distribuci, ukládání, archivaci, změny, ničení, kontrolu a audit).
Používané kryptografické algoritmy a klíče musí být odolné; pokud nejsou v souladu s minimálními požadavky vyhlášky, je nutné řídit související rizika.
Na co si dát pozor
Je třeba zajistit, aby používané kryptografické algoritmy a klíče splňovaly minimální požadavky uvedené v příloze č. 3 vyhlášky.
V případě, že kryptografické algoritmy nesplňují minimální požadavky, je nutné aktivně řídit rizika spojená s tímto nesouladem.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.