§ 19 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) – Správa a ověřování identit

§ 19 Správa a ověřování identit (1) Povinná osoba používá nástroj pro správu a ověření identity uživatelů, administrátorů a aplikací informačního a komunikačního systému. (2) Nástroj pro správu a ověření identity uživatelů, administrátorů a aplikací zajišťuje a) ověření identity před zahájením aktivit v informačním a komunikačním systému, b) řízení počtu možných neúspěšných pokusů o přihlášení, c) odolnost uložených nebo přenášených autentizačních údajů proti neoprávněnému odcizení a zneužití, d) ukládání autentizačních údajů ve formě odolné proti offline útokům, e) opětovné ověření identity po určené době nečinnosti, f) dodržení důvěrnosti autentizačních údajů při obnově přístupu a g) centralizovanou správu identit. (3) Povinná osoba pro ověření identity uživatelů, administrátorů a aplikací využívá autentizační mechanizmus, který není založený pouze na použití identifikátoru účtu a hesla, nýbrž na vícefaktorové autentizaci s nejméně dvěma různými typy faktorů. (4) Do doby splnění požadavku podle odstavce 3 musí nástroj pro ověření identity uživatelů, administrátorů a aplikací, používat autentizaci pomocí kryptografických klíčů a zaručit obdobnou úroveň bezpečnosti. (5) Do doby splnění požadavků podle odstavce 3 nebo 4 musí nástroj pro ověření identity uživatelů, administrátorů a aplikací, který používá k autentizaci identifikátor účtu a heslo, vynucovat pravidla a) délky hesla alespoň 1. 12 znaků u uživatelů a 2. 17 znaků u administrátorů a aplikací, b) umožňující zadat heslo o délce alespoň 64 znaků, c) neomezující použití malých a velkých písmen, číslic a speciálních znaků, d) umožňující uživatelům změnu hesla, přičemž období mezi dvěma změnami hesla nesmí být kratší než 30 minut, e) neumožňující uživatelům a administrátorům 1. zvolit si nejčastěji používaná hesla, 2. tvořit hesla na základě mnohonásobně opakujících se znaků, přihlašovacího jména, e-mailu, názvu systému nebo obdobným způsobem a 3. opětovné použití dříve používaných hesel s pamětí alespoň 12 předchozích hesel a f) pro povinnou změnu hesla v intervalu maximálně po 18 měsících, přičemž toto pravidlo se nevztahuje na účty sloužící k obnově systému v případě havárie. (6) Povinná osoba v případě používání autentizace pouze účtem a heslem dále a) vynutí bezodkladnou změnu výchozího hesla po jeho prvním použití, b) bezodkladně zneplatní heslo sloužící k obnovení přístupu po jeho prvním použití nebo uplynutím nejvýše 60 minut od jeho vytvoření a c) povinně zahrne pravidla tvorby bezpečných hesel do plánu rozvoje bezpečnostního povědomí podle § 9.