CS · EN DE FR brzy

§ 19 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) – Správa a ověřování identit

Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) · 82/2018 Sb. · § 19 · IT právo a ochrana dat
Stručně: Paragraf 19 vyhlášky o kybernetické bezpečnosti stanovuje povinnost používat nástroj pro správu a ověřování identit uživatelů, administrátorů a aplikací v informačních a komunikačních systémech, přičemž upřednostňuje vícefaktorovou autentizaci a definuje pravidla pro zabezpečení hesel.
§ 19 Správa a ověřování identit (1) Povinná osoba používá nástroj pro správu a ověření identity uživatelů, administrátorů a aplikací informačního a komunikačního systému. (2) Nástroj pro správu a ověření identity uživatelů, administrátorů a aplikací zajišťuje a) ověření identity před zahájením aktivit v informačním a komunikačním systému, b) řízení počtu možných neúspěšných pokusů o přihlášení, c) odolnost uložených nebo přenášených autentizačních údajů proti neoprávněnému odcizení a zneužití, d) ukládání autentizačních údajů ve formě odolné proti offline útokům, e) opětovné ověření identity po určené době nečinnosti, f) dodržení důvěrnosti autentizačních údajů při obnově přístupu a g) centralizovanou správu identit. (3) Povinná osoba pro ověření identity uživatelů, administrátorů a aplikací využívá autentizační mechanizmus, který není založený pouze na použití identifikátoru účtu a hesla, nýbrž na vícefaktorové autentizaci s nejméně dvěma různými typy faktorů. (4) Do doby splnění požadavku podle odstavce 3 musí nástroj pro ověření identity uživatelů, administrátorů a aplikací, používat autentizaci pomocí kryptografických klíčů a zaručit obdobnou úroveň bezpečnosti. (5) Do doby splnění požadavků podle odstavce 3 nebo 4 musí nástroj pro ověření identity uživatelů, administrátorů a aplikací, který používá k autentizaci identifikátor účtu a heslo, vynucovat pravidla a) délky hesla alespoň 1. 12 znaků u uživatelů a 2. 17 znaků u administrátorů a aplikací, b) umožňující zadat heslo o délce alespoň 64 znaků, c) neomezující použití malých a velkých písmen, číslic a speciálních znaků, d) umožňující uživatelům změnu hesla, přičemž období mezi dvěma změnami hesla nesmí být kratší než 30 minut, e) neumožňující uživatelům a administrátorům 1. zvolit si nejčastěji používaná hesla, 2. tvořit hesla na základě mnohonásobně opakujících se znaků, přihlašovacího jména, e-mailu, názvu systému nebo obdobným způsobem a 3. opětovné použití dříve používaných hesel s pamětí alespoň 12 předchozích hesel a f) pro povinnou změnu hesla v intervalu maximálně po 18 měsících, přičemž toto pravidlo se nevztahuje na účty sloužící k obnově systému v případě havárie. (6) Povinná osoba v případě používání autentizace pouze účtem a heslem dále a) vynutí bezodkladnou změnu výchozího hesla po jeho prvním použití, b) bezodkladně zneplatní heslo sloužící k obnovení přístupu po jeho prvním použití nebo uplynutím nejvýše 60 minut od jeho vytvoření a c) povinně zahrne pravidla tvorby bezpečných hesel do plánu rozvoje bezpečnostního povědomí podle § 9.
← § 18celý předpis§ 20 →

Výklad

Stručně

Paragraf 19 vyhlášky o kybernetické bezpečnosti stanovuje povinnost používat nástroj pro správu a ověřování identit uživatelů, administrátorů a aplikací v informačních a komunikačních systémech, přičemž upřednostňuje vícefaktorovou autentizaci a definuje pravidla pro zabezpečení hesel.

Co to znamená v praxi

Na co si dát pozor

Související témata

§ 14 Seznam bezpečnostních opatření Zákon o kybernetické bezpečnosti
§ 19 Správa a ověřování identit Vyhláška o bezpečnostních opatřeních pos
§ 5 Účinnost Vyhláška o bezpečnostních pravidlech pro
§ 4 Účinnost Vyhláška o bezpečnostních pravidlech pro
🔔 Hlídat změny § 19 — pošleme e-mail, když se paragraf novelizuje.
← § 18celý předpis§ 20 →
DomůŽivotní situaceOtázkyPrávní oblastiJudikaturaAnalýza dopisuVzory smluvCeníkMCP / APIWidget pro webyO násKontaktVOPGDPRReklamace

Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.