§ 11 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) – Řízení přístupu a bezpečné chování uživatelů

§ 11 Řízení přístupu a bezpečné chování uživatelů (1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona na základě provozních a bezpečnostních potřeb řídí přístup k informačnímu systému kritické informační infrastruktury, komunikačnímu systému kritické informační infrastruktury a významnému informačnímu systému a přidělí každému uživateli jednoznačný identifikátor. (2) Orgán a osoba uvedená v § 3 písm. c) až e) zákona přijme opatření, která slouží k zajištění ochrany údajů, které jsou používány pro přihlášení uživatelů a administrátorů informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury a významného informačního systému podle § 18 a 19, a která brání ve zneužití těchto údajů neoprávněnou osobou. (3) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále v rámci řízení přístupu a) přidělí přistupujícím aplikacím samostatný identifikátor, b) omezí přidělování administrátorských oprávnění, c) přiděluje a odebírá přístupová oprávnění v souladu s politikou řízení přístupu, d) provádí pravidelné přezkoumání nastavení přístupových oprávnění včetně rozdělení jednotlivých uživatelů v přístupových skupinách nebo rolích, e) využívá nástroj pro ověřování identity uživatelů podle § 18 a nástroj pro řízení přístupových oprávnění podle § 19 a f) zavede bezpečnostní opatření potřebná pro bezpečné používání mobilních zařízení, případně i bezpečnostní opatření spojená s využitím technických zařízení, kterými orgán a osoba uvedená v § 3 písm. c) a d) zákona nedisponuje.