§ 19 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) – Správa a ověřování identit
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) · 82/2018 Sb. · § 19 · IT právo a ochrana dat
Stručně: Paragraf 19 vyhlášky o kybernetické bezpečnosti stanovuje povinnost používat nástroj pro správu a ověřování identit uživatelů, administrátorů a aplikací v informačních a komunikačních systémech, přičemž upřednostňuje vícefaktorovou autentizaci a definuje pravidla pro zabezpečení hesel.
§ 19 Správa a ověřování identit
(1) Povinná osoba používá nástroj pro správu a ověření identity uživatelů, administrátorů a aplikací informačního a komunikačního systému.
(2) Nástroj pro správu a ověření identity uživatelů, administrátorů a aplikací zajišťuje
a) ověření identity před zahájením aktivit v informačním a komunikačním systému,
b) řízení počtu možných neúspěšných pokusů o přihlášení,
c) odolnost uložených nebo přenášených autentizačních údajů proti neoprávněnému odcizení a zneužití,
d) ukládání autentizačních údajů ve formě odolné proti offline útokům,
e) opětovné ověření identity po určené době nečinnosti,
f) dodržení důvěrnosti autentizačních údajů při obnově přístupu a
g) centralizovanou správu identit.
(3) Povinná osoba pro ověření identity uživatelů, administrátorů a aplikací využívá autentizační mechanizmus, který není založený pouze na použití identifikátoru účtu a hesla, nýbrž na vícefaktorové autentizaci s nejméně dvěma různými typy faktorů.
(4) Do doby splnění požadavku podle odstavce 3 musí nástroj pro ověření identity uživatelů, administrátorů a aplikací, používat autentizaci pomocí kryptografických klíčů a zaručit obdobnou úroveň bezpečnosti.
(5) Do doby splnění požadavků podle odstavce 3 nebo 4 musí nástroj pro ověření identity uživatelů, administrátorů a aplikací, který používá k autentizaci identifikátor účtu a heslo, vynucovat pravidla
a) délky hesla alespoň
1. 12 znaků u uživatelů a
2. 17 znaků u administrátorů a aplikací,
b) umožňující zadat heslo o délce alespoň 64 znaků,
c) neomezující použití malých a velkých písmen, číslic a speciálních znaků,
d) umožňující uživatelům změnu hesla, přičemž období mezi dvěma změnami hesla nesmí být kratší než 30 minut,
e) neumožňující uživatelům a administrátorům
1. zvolit si nejčastěji používaná hesla,
2. tvořit hesla na základě mnohonásobně opakujících se znaků, přihlašovacího jména, e-mailu, názvu systému nebo obdobným způsobem a
3. opětovné použití dříve používaných hesel s pamětí alespoň 12 předchozích hesel a
f) pro povinnou změnu hesla v intervalu maximálně po 18 měsících, přičemž toto pravidlo se nevztahuje na účty sloužící k obnově systému v případě havárie.
(6) Povinná osoba v případě používání autentizace pouze účtem a heslem dále
a) vynutí bezodkladnou změnu výchozího hesla po jeho prvním použití,
b) bezodkladně zneplatní heslo sloužící k obnovení přístupu po jeho prvním použití nebo uplynutím nejvýše 60 minut od jeho vytvoření a
c) povinně zahrne pravidla tvorby bezpečných hesel do plánu rozvoje bezpečnostního povědomí podle § 9.
Paragraf 19 vyhlášky o kybernetické bezpečnosti stanovuje povinnost používat nástroj pro správu a ověřování identit uživatelů, administrátorů a aplikací v informačních a komunikačních systémech, přičemž upřednostňuje vícefaktorovou autentizaci a definuje pravidla pro zabezpečení hesel.
Co to znamená v praxi
Povinné subjekty musí mít systém, který ověřuje, kdo se snaží přihlásit (uživatel, administrátor, aplikace) a spravuje jejich identity.
Tento systém musí zabránit snadnému uhodnutí hesla (např. omezením počtu pokusů) a chránit hesla před zneužitím.
Ideálně by se mělo používat ověřování, které vyžaduje alespoň dva různé způsoby prokázání identity (např. heslo a kód z telefonu), nikoliv jen heslo.
Pokud ještě není vícefaktorová autentizace zavedena, musí se dodržovat přísná pravidla pro tvorbu a správu hesel, například minimální délka hesla a zákaz opakovaného použití starých hesel.
Na co si dát pozor
Je třeba zajistit, aby autentizační údaje (např. hesla) byly uloženy tak, aby je nebylo možné snadno získat a zneužít, a to i v případě, že by se útočník dostal k databázi hesel.
Systém musí po určité době nečinnosti vyžadovat opětovné ověření identity, aby se zabránilo zneužití otevřených relací.
Při obnově přístupu (např. zapomenutého hesla) je nutné zajistit, aby autentizační údaje zůstaly důvěrné a nebyly vystaveny riziku zneužití.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.