§ 25 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) – Aplikační bezpečnost
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) · 82/2018 Sb. · § 25 · IT právo a ochrana dat
Stručně: Paragraf 25 vyhlášky o kybernetické bezpečnosti ukládá povinným osobám provádět penetrační testy informačních a komunikačních systémů zaměřené na důležitá aktiva a zajistit trvalou ochranu aplikací, informací a transakcí před neoprávněnou činností a popřením provedených činností.
§ 25 Aplikační bezpečnost
(1) Povinná osoba provádí penetrační testy informačního a komunikačního systému se zaměřením na důležitá aktiva, a to
a) před jejich uvedením do provozu a
b) v souvislosti s významnou změnou podle § 11 odst. 3.
(2) Povinná osoba dále v rámci aplikační bezpečnosti zajistí trvalou ochranu aplikací, informací a transakcí před
a) neoprávněnou činností a
b) popřením provedených činností.
Paragraf 25 vyhlášky o kybernetické bezpečnosti ukládá povinným osobám provádět penetrační testy informačních a komunikačních systémů zaměřené na důležitá aktiva a zajistit trvalou ochranu aplikací, informací a transakcí před neoprávněnou činností a popřením provedených činností.
Co to znamená v praxi
Povinné osoby musí nechat prověřit bezpečnost svých informačních systémů (tzv. penetrační testy) před jejich spuštěním a také po každé významné změně.
Tyto testy se mají soustředit především na ta aktiva, která jsou pro fungování systému nejdůležitější.
Je nutné zajistit, aby aplikace, informace a transakce byly neustále chráněny proti neoprávněným zásahům.
Zároveň je třeba zabránit tomu, aby bylo možné popřít, že určité činnosti byly provedeny (např. aby nebylo možné tvrdit, že někdo něco neudělal, i když to udělal).
Na co si dát pozor
Penetrační testy nejsou jednorázovou záležitostí, ale musí se opakovat v případě významných změn systému.
Ochrana aplikací, informací a transakcí musí být trvalá, nikoli pouze nárazová.
Je důležité zaměřit se na ochranu proti neoprávněné činnosti i proti popření provedených činností.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.