VyhláŠka ze dne … … 2014 o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání V oblasti kybernetické bezpečnosti

15 

 

b)

 

minimální  složitost  hesla  tak,  že  heslo  bude  obsahovat  alespoň  3  z následujících  čtyř 

požadavků 

1.

 

nejméně jedno velké písmeno, 

2.

 

nejméně jedno malé písmeno, 

3.

 

nejméně jednu číslici nebo 

4.

 

nejméně jeden speciální znak, zejména „.“, „,“, „!“, „?“ a 

c)

 

maximální  dobu  pro  povinnou  výměnu  hesla  nepřesahující  sto  dnů;  tento  požadavek 

není vyžadován pro samostatné identifikátory aplikací. 

 

(4) Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2 

zákona dále tím, že  

a) používá nástroj pro ověření identity, který 

1.

 

zamezí  opětovnému používání  dříve používaných hesel  a neumožní  více změn hesla 

jednoho uživatele během stanoveného období, které musí být nejméně 24 hodin a  

2.

 

provádí opětovné ověření identity po určené době nečinnosti, 

b)  využívá  nástroj  pro  ověřování  identity  účtů  administrátorů.  V případě,  že  tento  nástroj 

využívá autentizaci hesla, zajistí prosazení minimální délky hesla patnáct znaků při dodržení 

požadavků podle odstavce 3 písm. b) a c). 

 

(5)  Nástroj  pro  ověřování  identity  uživatelů  může  být  zajištěn  i  jinými  způsoby,  než 

jaké jsou stanoveny v odstavcích 3 až 5, pokud orgán a osoba uvedená v § 3 písm. c) až e) 

zákona doloží, že použitá opatření zajišťují stejnou nebo vyšší úroveň odolnosti hesla. 

 

§ 19

 

 

Nástroj pro řízení přístupových oprávnění  

 

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona splní povinnost podle § 4 odst. 

2  zákona  tím,  že  používá  nástroj  pro  řízení  přístupových  oprávnění,  kterým  zajistí  řízení 

oprávnění 

a)

 

pro přístup k jednotlivým aplikacím a datům a 

b)

 

pro čtení dat, pro zápis dat a pro změnu oprávnění. 

 

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2 

zákona  dále  tím,  že  používá  nástroj  pro  řízení  přístupových  oprávnění,  který  zaznamenává 

použití přístupových oprávnění v souladu s bezpečnostními potřebami a výsledky hodnocení 

rizik. 

 

§ 20

 

 

Nástroj pro ochranu před škodlivým kódem 

 

Orgán a osoba uvedená v § 3 písm. c) až e) zákona splní povinnost podle § 4 odst. 2 

zákona tím,  že pro řízení  rizik  spojených s působením škodlivého kódu  používá nástroj  pro 

ochranu  před  škodlivým  kódem  informačního  systému  kritické  informační  infrastruktury, 

komunikačního  systému  kritické  informační  infrastruktury  a  významného  informačního 

systému, který zajistí ověření a stálou kontrolu 

a)

 

komunikace mezi vnitřní sítí a vnější sítí, 

b)

 

serverů a sdílených datových úložišť a 

16 

 

c)

 

pracovních stanic, 

přičemž  provádí  pravidelnou  aktualizaci  nástroje  pro  ochranu  před  škodlivým  kódem,  jeho 

definic a signatur. 

 

§ 21

 

 

Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných 

informačních systémů, jejich uživatelů a administrátorů 

 

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona splní povinnost podle § 4 odst. 

2 zákona tím, že používá nástroj pro zaznamenávání činností informačního systému kritické 

informační  infrastruktury,  komunikačního  systému  kritické  informační  infrastruktury  a 

významného informačního systému, který zajistí 

a)

 

sběr informací o provozních a bezpečnostních činnostech, zejména typ činnosti, datum a 

čas, identifikaci technického aktiva, které činnost zaznamenalo, identifikaci původce a místa 

činnosti a úspěšnost nebo neúspěšnost činnosti a 

b)

 

ochranu získaných informací před neoprávněným čtením nebo změnou. 

 

(2) Orgán a osoba uvedená v § 3 písm. c) až e) zákona splní povinnost podle § 4 odst. 

2  zákona  dále  tím,  že  pomocí  nástroje  pro  zaznamenávání  činnosti  informačního  systému 

kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury 

a významného informačního systému zaznamenává 

a)

 

přihlášení a odhlášení uživatelů a administrátorů, 

b)

 

činnosti provedené administrátory, 

c)

 

činnosti vedoucí ke změně přístupových oprávnění, 

d)

 

neprovedení  činností  v důsledku  nedostatku  přístupových  oprávnění  a  další  neúspěšné 

činnosti uživatelů, 

e)

 

zahájení  a  ukončení  činností  technických  aktiv  informačního  systému  kritické 

informační  infrastruktury,  komunikačního  systému  kritické  informační  infrastruktury  a 

významného informačního systému, 

f)

 

automatická varovná nebo chybová hlášení technických aktiv, 

g)

 

přístupy  k záznamům  o  činnostech,  pokusy  o  manipulaci  se  záznamy  o  činnostech  a 

změny nastavení nástroje pro zaznamenávání činností a 

h)

 

použití  mechanismů  identifikace  a  autentizace  včetně  změny  údajů,  které  slouží 

k přihlášení. 

 

(3) Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2 

zákona dále tím, že záznamy činností zaznamenané podle odst. 2 uchovává nejméně po dobu 

tří měsíců. 

 

(4) Orgán a osoba uvedená v § 3 písm. c) až e) zákona zajišťuje nejméně jednou za 24 

hodin  synchronizaci  jednotného  systémového  času  technických  aktiv  patřících  do 

informačního  systému  kritické  informační  infrastruktury,  komunikačního  systému  kritické 

informační infrastruktury nebo významného informačního systému.