15
b)
minimální složitost hesla tak, že heslo bude obsahovat alespoň 3 z následujících čtyř
požadavků
1.
nejméně jedno velké písmeno,
2.
nejméně jedno malé písmeno,
3.
nejméně jednu číslici nebo
4.
nejméně jeden speciální znak, zejména „.“, „,“, „!“, „?“ a
c)
maximální dobu pro povinnou výměnu hesla nepřesahující sto dnů; tento požadavek
není vyžadován pro samostatné identifikátory aplikací.
(4) Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2
zákona dále tím, že
a) používá nástroj pro ověření identity, který
1.
zamezí opětovnému používání dříve používaných hesel a neumožní více změn hesla
jednoho uživatele během stanoveného období, které musí být nejméně 24
hodin a
2.
provádí opětovné ověření identity po určené době nečinnosti,
b) využívá nástroj pro ověřování identity účtů administrátorů. V případě, že tento nástroj
využívá autentizaci hesla, zajistí prosazení minimální délky hesla patnáct znaků při dodržení
požadavků podle odstavce 3 písm. b) a c).
(5) Nástroj pro ověřování identity uživatelů může být zajištěn i jinými způsoby, než
jaké jsou stanoveny v odstavcích 3 až 5, pokud orgán a osoba uvedená v § 3 písm. c) až e)
zákona doloží, že použitá opatření zajišťují stejnou nebo vyšší úroveň odolnosti hesla.
§ 19
Nástroj pro řízení přístupových oprávnění
(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona splní povinnost podle § 4 odst.
2 zákona tím, že používá nástroj pro řízení přístupových oprávnění, kterým zajistí řízení
oprávnění
a)
pro přístup k jednotlivým aplikacím a datům a
b)
pro čtení dat, pro zápis dat a pro změnu oprávnění.
(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2
zákona dále tím, že používá nástroj pro řízení přístupových oprávnění, který zaznamenává
použití přístupových oprávnění v souladu s bezpečnostními potřebami a výsledky hodnocení
rizik.
§ 20
Nástroj pro ochranu před škodlivým kódem
Orgán a osoba uvedená v § 3 písm. c) až e) zákona splní povinnost podle § 4 odst. 2
zákona tím, že pro řízení rizik spojených s působením škodlivého kódu používá nástroj pro
ochranu před škodlivým kódem informačního systému kritické informační infrastruktury,
komunikačního systému kritické informační infrastruktury a významného informačního
systému, který zajistí ověření a stálou kontrolu
a)
komunikace mezi vnitřní sítí a vnější sítí,
b)
serverů a sdílených datových úložišť a
16
c)
pracovních stanic,
přičemž provádí pravidelnou aktualizaci nástroje pro ochranu před škodlivým kódem, jeho
definic a signatur.
§ 21
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných
informačních systémů, jejich uživatelů a administrátorů
(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona splní povinnost podle § 4 odst.
2 zákona tím, že používá nástroj pro zaznamenávání činností informačního systému kritické
informační infrastruktury, komunikačního systému kritické informační infrastruktury a
významného informačního systému, který zajistí
a)
sběr informací o provozních a bezpečnostních činnostech, zejména typ činnosti,
datum a
čas, identifikaci technického aktiva, které činnost zaznamenalo, identifikaci původce a místa
činnosti a úspěšnost nebo neúspěšnost činnosti a
b)
ochranu získaných informací před neoprávněným čtením nebo změnou.
(2) Orgán a osoba uvedená v § 3 písm. c) až e) zákona splní povinnost podle § 4 odst.
2 zákona dále tím, že pomocí nástroje pro zaznamenávání činnosti informačního systému
kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury
a významného informačního systému zaznamenává
a)
přihlášení a odhlášení uživatelů a administrátorů,
b)
činnosti provedené administrátory,
c)
činnosti vedoucí ke změně přístupových oprávnění,
d)
neprovedení činností v důsledku nedostatku přístupových oprávnění a další neúspěšné
činnosti uživatelů,
e)
zahájení a ukončení činností technických aktiv informačního systému kritické
informační infrastruktury, komunikačního systému kritické informační infrastruktury a
významného informačního systému,
f)
automatická varovná nebo chybová hlášení technických aktiv,
g)
přístupy k záznamům o činnostech, pokusy o manipulaci se záznamy o činnostech a
změny nastavení nástroje pro zaznamenávání činností a
h)
použití mechanismů identifikace a autentizace včetně změny údajů, které slouží
k přihlášení.
(3) Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2
zákona dále tím, že záznamy činností zaznamenané podle odst. 2 uchovává nejméně po dobu
tří měsíců.
(4) Orgán a osoba uvedená v § 3 písm. c) až e) zákona zajišťuje nejméně jednou za 24
hodin synchronizaci jednotného systémového času technických aktiv patřících do
informačního systému kritické informační infrastruktury, komunikačního systému kritické
informační infrastruktury nebo významného informačního systému.