§ 13 Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností – Řízení přístupu
Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností · 409/2025 Sb. · § 13 · Ostatní právní předpisy
Stručně: Paragraf 13 vyhlášky 409/2025 ukládá povinné osobě řídit přístup k informačním systémům a datům tak, aby byl zajištěn bezpečný přístup pouze oprávněným uživatelům a chráněny jejich přihlašovací údaje.
§ 13 Řízení přístupu
(1) Povinná osoba na základě bezpečnostních a provozních potřeb řídí přístup k aktivům a přijímá bezpečnostní opatření, která slouží k zajištění ochrany přístupových a autentizačních údajů, které jsou používány pro ověření identity podle § 19 a 20.
(2) Povinná osoba dále při řízení přístupu k aktivům
a) řídí přístup na základě skupin nebo rolí,
b) přidělí každému uživateli a administrátorovi přistupujícímu k aktivům přístupová práva a oprávnění na úroveň nezbytně nutnou k výkonu práce a jedinečný identifikátor daného typu účtu, přičemž odděluje uživatelské a administrátorské účty jedné osoby,
c) řídí identifikátory, přístupová práva a oprávnění účtů technických aktiv,
d) zavádí v souladu s písmenem c) bezpečnostní opatření pro řízení přístupu technických aktiv,
e) zavádí bezpečnostní opatření potřebná pro bezpečné používání mobilních zařízení a jiných obdobných technických aktiv, popřípadě i bezpečnostní opatření spojená s využitím technických aktiv, která povinná osoba nemá ve své správě,
f) omezí a kontroluje používání programových prostředků a vybavení, které mohou být schopné překonat systémové nebo aplikační kontroly,
g) přiděluje a odebírá přístupová práva a oprávnění v souladu s politikou řízení přístupu,
h) provádí pravidelné přezkoumání veškerých přístupových práv a oprávnění včetně rozdělení do skupin a rolí,
i) zajistí bezodkladné odebrání nebo změnu přístupových práv a oprávnění při změně pozice nebo zařazení na základě skupin a rolí,
j) zajistí deaktivaci účtů a bezodkladné odebrání nebo změnu přístupových práv a oprávnění při ukončení nebo změně smluvního vztahu, na základě kterého došlo ke zřízení přístupu k aktivům,
k) dokumentuje přidělování a odebírání přístupových práv a oprávnění a
l) využívá nástroj pro správu a ověřování identity podle § 19 a nástroj pro řízení přístupových práv a oprávnění podle § 20.
Paragraf 13 vyhlášky 409/2025 ukládá povinné osobě řídit přístup k informačním systémům a datům tak, aby byl zajištěn bezpečný přístup pouze oprávněným uživatelům a chráněny jejich přihlašovací údaje.
Co to znamená v praxi
Povinná osoba musí přidělovat přístupová práva uživatelům a administrátorům pouze v rozsahu nezbytně nutném pro výkon jejich práce a oddělovat jejich uživatelské a administrátorské účty.
Je nutné pravidelně kontrolovat a aktualizovat všechna přístupová práva a oprávnění, a to včetně jejich odebrání nebo změny při změně pozice zaměstnance nebo ukončení smluvního vztahu.
Povinná osoba musí dokumentovat veškeré přidělování a odebírání přístupových práv a oprávnění.
Pro správu identit a přístupových práv je povinné využívat specializované nástroje podle § 19 a § 20.
Na co si dát pozor
Je třeba zajistit, aby mobilní zařízení a technická aktiva, která povinná osoba nemá ve své správě, byla používána bezpečně.
Je nutné omezit a kontrolovat používání nástrojů, které by mohly obejít bezpečnostní kontroly.
Při změně pozice nebo ukončení smluvního vztahu je nutné bezodkladně odebrat nebo změnit přístupová práva.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.