§ 12 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) – Řízení přístupu
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) · 82/2018 Sb. · § 12 · IT právo a ochrana dat
Stručně: Paragraf 12 vyhlášky o kybernetické bezpečnosti stanovuje povinnosti organizací v oblasti řízení přístupu k jejich informačním a komunikačním systémům, aby zajistily ochranu dat a zabránily zneužití přihlašovacích údajů neoprávněnými osobami.
§ 12 Řízení přístupu
(1) Povinná osoba na základě provozních a bezpečnostních potřeb řídí přístup k informačnímu a komunikačnímu systému a přijímá opatření, která slouží k zajištění ochrany údajů, které jsou používány pro přihlášení podle § 19 a 20, a která brání ve zneužití těchto údajů neoprávněnou osobou.
(2) Povinná osoba dále v rámci řízení přístupu k informačnímu a komunikačnímu systému
a) řídí přístup na základě skupin a rolí,
b) přidělí každému uživateli a administrátorovi přistupujícímu k informačnímu a komunikačnímu systému přístupová práva a oprávnění a jedinečný identifikátor,
c) řídí identifikátory, přístupová práva a oprávnění aplikací a technických účtů,
d) zavádí bezpečnostní opatření pro řízení přístupu zařízení k prostředkům informačního a komunikačního systému,
e) zavádí bezpečnostní opatření potřebná pro bezpečné používání mobilních zařízení a jiných technických zařízení, popřípadě i bezpečnostní opatření spojená s využitím technických zařízení, která povinná osoba nemá ve své správě,
f) omezí přidělování privilegovaných oprávnění na úroveň nezbytně nutnou k výkonu náplně práce,
g) omezí a kontroluje používání programových prostředků, které mohou být schopné překonat systémové nebo aplikační kontroly,
h) přiděluje a odebírá přístupová oprávnění v souladu s politikou řízení přístupu,
i) provádí pravidelné přezkoumání nastavení veškerých přístupových oprávnění včetně rozdělení do přístupových skupin a rolí,
j) využívá nástroj pro správu a ověřování identity podle § 19 a nástroj pro řízení přístupových oprávnění podle § 20,
k) prosazuje, aby uživatelé při používání privátních autentizačních informací dodržovali stanovené postupy,
l) zajistí odebrání nebo změnu přístupových oprávnění při změně pozice nebo zařazení uživatelů, administrátorů nebo osob zastávajících bezpečnostní role,
m) zajistí odebrání nebo změnu přístupových oprávnění při ukončení nebo změně smluvního vztahu a
n) dokumentuje přidělování a odebírání přístupových oprávnění.
Paragraf 12 vyhlášky o kybernetické bezpečnosti stanovuje povinnosti organizací v oblasti řízení přístupu k jejich informačním a komunikačním systémům, aby zajistily ochranu dat a zabránily zneužití přihlašovacích údajů neoprávněnými osobami.
Co to znamená v praxi
Organizace musí řídit přístup k systémům na základě rolí a skupin, přičemž každý uživatel a administrátor musí mít jedinečný identifikátor a odpovídající přístupová práva.
Je nutné omezit privilegovaná oprávnění na nezbytně nutnou úroveň a kontrolovat používání programů, které by mohly obejít bezpečnostní kontroly.
Při změně pozice uživatele nebo ukončení smluvního vztahu je povinné odebrat nebo změnit přístupová oprávnění a veškeré přidělování a odebírání oprávnění dokumentovat.
Organizace musí pravidelně přezkoumávat nastavení všech přístupových oprávnění a využívat nástroje pro správu identit a řízení přístupových oprávnění.
Na co si dát pozor
Je třeba zajistit ochranu přihlašovacích údajů a zabránit jejich zneužití.
Důležité je zavést bezpečnostní opatření pro mobilní zařízení a zařízení, která organizace nemá ve své správě.
Uživatelé musí dodržovat stanovené postupy při používání privátních autentizačních informací.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.