§ 25 Vyhláška o dlouhodobém řízení informačních systémů veřejné správy – Technické požadavky související s provozem různých prostředí
Vyhláška o dlouhodobém řízení informačních systémů veřejné správy · 360/2023 Sb. · § 25 · IT právo a ochrana dat
Stručně: Paragraf 25 vyhlášky 360/2023 stanovuje technické požadavky na provoz různých prostředí informačních systémů veřejné správy, zejména s ohledem na jejich bezpečnostní úrovně a oddělení produkčních dat od ostatních.
§ 25 Technické požadavky související s provozem různých prostředí
(1) Během provozu různých prostředí informačního systému zařazených do různých bezpečnostních úrovní jsou tato prostředí rozlišována a produkční údaje odděleny od údajů ostatních.
(2) Propojované informační systémy provozované v různých prostředích a zařazené do různých bezpečnostních úrovní
a) zajišťují rozlišení jednotlivých prostředí pro použitá rozhraní, poskytnuté služby a přístupová oprávnění,
b) zamezují uživatelům informačního systému používat shodné autentizační údaje současně v prostředí s produkčními údaji a v prostředí s ostatními údaji,
c) zamezují uživatelům zajišťujícím provoz, užívání a konfiguraci informačních systémů používat stejné pracovní stanice pro více prostředí s produkčními údaji,
d) oddělují údaje při přístupu k údajům do prostředí s vyšší bezpečnostní úrovní z prostředí s nižší bezpečnostní úrovní jejich pseudonymizací nebo anonymizací,
e) zajišťují důvěrnost údajů a stabilitu prostředí při přístupu k údajům do prostředí s vyšší bezpečnostní úrovní z prostředí s nižší bezpečnostní úrovní a
f) zaznamenávají informace o bezpečnostních a provozních událostech.
Paragraf 25 vyhlášky 360/2023 stanovuje technické požadavky na provoz různých prostředí informačních systémů veřejné správy, zejména s ohledem na jejich bezpečnostní úrovně a oddělení produkčních dat od ostatních.
Co to znamená v praxi
Oddělení dat a prostředí: Produkční data (reálná data, se kterými se pracuje) musí být jasně oddělena od ostatních dat a prostředí (např. testovacích, vývojových).
Zamezení zneužití autentizačních údajů: Uživatelé nesmí používat stejné přihlašovací údaje pro přístup k produkčním datům i k datům v jiných prostředích.
Ochrana při přístupu z nižší bezpečnostní úrovně: Pokud se přistupuje k datům s vyšší bezpečnostní úrovní z prostředí s nižší úrovní, musí být data pseudonymizována nebo anonymizována, aby byla chráněna jejich důvěrnost.
Záznam bezpečnostních událostí: Všechny bezpečnostní a provozní události musí být zaznamenávány, což umožňuje dohled a případné řešení incidentů.
Na co si dát pozor
Je nutné zajistit, aby systémy dokázaly rozlišit jednotlivá prostředí a jejich bezpečnostní úrovně, a to i pro rozhraní, služby a přístupová oprávnění.
Uživatelé, kteří spravují nebo konfigurují systémy, nesmí používat stejné pracovní stanice pro více prostředí obsahujících produkční data.
Při propojování systémů s různými bezpečnostními úrovněmi je klíčové zajistit důvěrnost dat a stabilitu celého prostředí.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.