§ 13 Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností – Řízení přístupu

§ 13 Řízení přístupu (1) Povinná osoba na základě bezpečnostních a provozních potřeb řídí přístup k aktivům a přijímá bezpečnostní opatření, která slouží k zajištění ochrany přístupových a autentizačních údajů, které jsou používány pro ověření identity podle § 19 a 20. (2) Povinná osoba dále při řízení přístupu k aktivům a) řídí přístup na základě skupin nebo rolí, b) přidělí každému uživateli a administrátorovi přistupujícímu k aktivům přístupová práva a oprávnění na úroveň nezbytně nutnou k výkonu práce a jedinečný identifikátor daného typu účtu, přičemž odděluje uživatelské a administrátorské účty jedné osoby, c) řídí identifikátory, přístupová práva a oprávnění účtů technických aktiv, d) zavádí v souladu s písmenem c) bezpečnostní opatření pro řízení přístupu technických aktiv, e) zavádí bezpečnostní opatření potřebná pro bezpečné používání mobilních zařízení a jiných obdobných technických aktiv, popřípadě i bezpečnostní opatření spojená s využitím technických aktiv, která povinná osoba nemá ve své správě, f) omezí a kontroluje používání programových prostředků a vybavení, které mohou být schopné překonat systémové nebo aplikační kontroly, g) přiděluje a odebírá přístupová práva a oprávnění v souladu s politikou řízení přístupu, h) provádí pravidelné přezkoumání veškerých přístupových práv a oprávnění včetně rozdělení do skupin a rolí, i) zajistí bezodkladné odebrání nebo změnu přístupových práv a oprávnění při změně pozice nebo zařazení na základě skupin a rolí, j) zajistí deaktivaci účtů a bezodkladné odebrání nebo změnu přístupových práv a oprávnění při ukončení nebo změně smluvního vztahu, na základě kterého došlo ke zřízení přístupu k aktivům, k) dokumentuje přidělování a odebírání přístupových práv a oprávnění a l) využívá nástroj pro správu a ověřování identity podle § 19 a nástroj pro řízení přístupových práv a oprávnění podle § 20.