§ 24 Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností – Aplikační bezpečnost

§ 24 Aplikační bezpečnost (1) Povinná osoba pro zajištění bezpečnosti regulované služby užívá technická aktiva, která jsou jejich výrobcem, dodavatelem nebo jinou osobou podporována a zajistí aplikování schválených bezpečnostních aktualizací vydaných pro tato aktiva. (2) Povinná osoba do doby plnění podle odstavce 1 zavede bezpečnostní opatření, která zaručí obdobnou nebo vyšší úroveň bezpečnosti těchto technických aktiv, a eviduje technická aktiva, a) která již nejsou výrobcem, dodavatelem nebo jinou osobou podporována a b) na která není možné aplikovat poslední schválenou bezpečnostní aktualizaci. (3) Povinná osoba v rámci aplikační bezpečnosti zajistí trvalou ochranu aplikací, informací, transakcí a přenášených identifikátorů relací před a) neoprávněnou činností a b) popřením provedených činností. (4) Povinná osoba v rámci skenování zranitelností technických aktiv a) provádí pravidelné skenování zranitelností technických aktiv regulované služby 1. z vnitřní a vnější komunikační sítě a 2. alespoň jednou ročně. b) zohlední výsledky skenování zranitelností technických aktiv v rámci řízení rizik podle § 8 a zavádí bezpečnostní opatření na základě zjištěných výsledků. (5) Povinná osoba v rámci penetračního testování a) provádí penetrační testování technických aktiv s ohledem na hodnocení těchto aktiv a hodnocení rizik 1. z vnitřní a vnější komunikační sítě, 2. před jejich uvedením do provozu a 3. v souvislosti s významnou změnou podle § 11 odst. 3, b) zohlední výsledky penetračního testování při řízení rizik podle § 8 a zavádí bezpečnostní opatření na základě zjištěných výsledků, c) provádí v souladu s odstavcem 5 písm. a) bodem 1 pravidelně penetrační testování, a to alespoň jednou za 2 roky, d) v odůvodněných případech, pokud nemůže provést penetrační testování v rozsahu nebo intervalu stanoveném v odstavci 5 písm. c), může rozdělit toto penetrační testování do systematických celků. V takovém případě je nutno provést penetrační testování v rozsahu stanoveném v odstavci 5 písm. a) nejpozději do 5 let, e) u penetračních testů v souladu s odstavcem 5 písm. a) eviduje termín provedení a konkrétní fyzické osoby provádějící toto penetrační testování. (6) Povinná osoba provede opětovné otestování nálezu zjištěného na základě provedeného skenování zranitelností nebo penetračního testování za účelem ověření funkčnosti zavedených bezpečnostních opatření.