§ 19 Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností – Správa a ověřování identit

§ 19 Správa a ověřování identit (1) Povinná osoba používá nástroj pro správu a ověření identity administrátorů, uživatelů a technických aktiv, který zajišťuje a) ověření identity před zahájením jejich aktivit, b) řízení počtu možných neúspěšných pokusů o přihlášení, c) odolnost uložených a přenášených autentizačních údajů vůči hrozbám a zranitelnostem, které by mohly narušit jejich důvěrnost nebo integritu, d) opětovné ověření identity po stanovené době nečinnosti, e) dodržení důvěrnosti při vytváření výchozích autentizačních údajů a při obnově přístupu a f) centralizovanou správu identit s ohledem na vazby mezi aktivy. (2) Povinná osoba při ověření identity administrátorů, uživatelů a technických aktiv a) využívá autentizační mechanismus, který je založen na vícefaktorové autentizaci s alespoň dvěma různými typy faktorů, nebo využívá autentizační mechanismus, který je založen na aktuálně odolné kontinuální autentizaci založené na modelu nulové důvěry, a b) do doby splnění požadavků podle písmene a) využívá autentizaci pomocí kryptografických klíčů nebo certifikátů. (3) Povinná osoba do doby splnění požadavků podle odstavce 2 písm. a) vede evidenci technických aktiv, účtů a autentizačních mechanismů, které tyto požadavky nesplňují, a to včetně odůvodnění. (4) Povinná osoba do doby splnění požadavku podle odstavce 2 využívá nástroj založený na autentizaci pomocí identifikátoru účtu a hesla, kdy tento nástroj musí vynucovat pravidlo a) délky hesla alespoň 1. 12 znaků pro účty uživatelů, 2. 17 znaků pro účty administrátorů, 3. 22 znaků pro účty technických aktiv, b) umožňující zadat heslo o délce alespoň 64 znaků, c) neomezující použití malých a velkých písmen, číslic a speciálních znaků, d) umožňující uživatelům a administrátorům změnu hesla, přičemž období mezi dvěma změnami hesla nesmí být kratší než 30 minut, e) povinné změny hesla v intervalu alespoň jednou za 18 měsíců a f) neumožňující uživatelům a administrátorům 1. zvolit si jednoduchá a často používaná hesla, 2. tvořit hesla na základě mnohonásobně opakujících se znaků, přihlašovacího jména, adresy elektronické pošty, názvu systému nebo obdobným způsobem a 3. opětovné použití dříve používaných hesel s pamětí alespoň 12 předchozích hesel. (5) Povinná osoba v souladu s odstavcem 4 zajistí a) bezodkladné vynucení změny výchozího hesla uživatelů a administrátorů po prvním přihlášení, b) bezodkladné vynucení změny výchozího hesla technického aktiva, c) vytváření hesla účtu technického aktiva složeného z náhodného řetězce malých a velkých písmen, číslic a speciálních znaků, d) bezodkladné vynucení změny přístupového hesla v případě důvodného podezření na narušení jeho důvěrnosti, e) vytvoření náhodného výchozího hesla nebo identifikátoru sloužícího k vytvoření nebo k obnovení přístupu a zajistí jeho důvěrnost a f) bezodkladné zneplatnění hesla nebo identifikátoru sloužícího k vytvoření nebo k obnovení přístupu po jeho prvním použití nebo uplynutí nejvýše 24 hodin od jeho vytvoření. (6) Povinná osoba u administrátorského účtu zejména určeného pro případ obnovy po kybernetickém bezpečnostním incidentu musí zajistit a) bezodkladnou změnu výchozího hesla, b) vytvoření hesla náhodným řetězcem složeným z malých a velkých písmen, číslic a speciálních znaků, c) délku hesla složeného alespoň z 22 znaků, d) bezpečné uložení hesla, e) omezení manipulace s účtem a jeho heslem, kdy s tímto účtem a jeho heslem mohou manipulovat pouze pověřené osoby, a to v nezbytně nutných případech, f) změnu hesla po jeho použití, při jakékoli změně pověřených osob, v případě důvodného podezření na jeho kompromitaci nebo v intervalu alespoň jednou za 18 měsíců a g) evidování manipulace a pokusy o manipulaci s tímto účtem a jeho heslem.