Vyhláška o kybernetické bezpečnosti
Níže je uveden pouze náhled materiálu. Kliknutím na tlačítko 'Stáhnout soubor' stáhnete kompletní formátovaný materiál ve formátu DOCX.
Povinná osoba pro ověření identity uživatelů, administrátorů a aplikací využívá autentizační mechanismus, který není založený pouze na použití identifikátoru účtu a hesla, nýbrž na více faktorové autentizaci s nejméně dvěma různými typy faktorů.
Požadavky na hesla:
minimální délka 12 znaků u uživatelů, 17 znaků u administrátorů
možnost zadat délku až 64 znaků u aplikací
neomezené použití malých a velkých písmen, číslic a speciálních znaků,
možnost změny hesla, povinnou změnu hesla maximálně po 18 měsících
uživatelé a administrátoři mají zákaz: zvolit si nejčastěji používaná hesla, tvořit hesla na základě mnohonásobně opakujících se znaků, přihlašovacího jména, e-mailu, názvu systému nebo obdobným způsobem a znovu použít dříve používaných hesel s pamětí alespoň 12 předchozích hesel a
OCHRANA PŘED ŠKODLIVÝM KÓDEM
Povinná osoba v rámci ochrany před škodlivým kódem zajišťuje použití nástroje pro nepřetržitou automatickou ochranu
koncových stanic,
mobilních zařízení,
serverů,
datových úložišť a výměnných datových nosičů,
komunikační sítě a prvků komunikační sítě a obdobných zařízení
SBĚR A VYHODNOCOVÁNÍ KYBERNETICKÝCH BEZPEČNOSTNÍCH UDÁLOSTÍ
Povinná osoba uvedená používá nástroj pro sběr a nepřetržité vyhodnocení kybernetických bezpečnostních událostí, který umožní
sběr a vyhodnocování bezpečnostních událostí
vyhledávání a seskupování souvisejících záznamů,
poskytování informací o detekovaných kybernetických bezpečnostních událostech,
vyhodnocování kybernetických bezpečnostních událostí
využívání informací pro optimální nastavení bezpečnostních opatření informačního a komunikačního systému.
APLIKAČNÍ BEZPEČNOST
Povinná osoba
provádí penetrační testy informačního a komunikačního systému se zaměřením na důležitá aktiva před jejich uvedením do provozu nebo při významné změně
zajistí trvalou ochranu aplikací, informací a transakcí před neoprávněnou činností
KRYPTOGRAFICKÉ PROSTŘEDKY
Povinná osoba pro ochranu aktiv informačního a komunikačního systému
používá aktuálně odolné kryptografické algoritmy a kryptografické klíče,
používá systém správy klíčů a certifikátů, který zajistí generování, distribuci, ukládání, změny, omezení platnosti, zneplatnění certifikátů a likvidaci klíčů a umožní kontrolu a audit
prosazuje bezpečné nakládání s kryptografickými prostředky
řídí se doporučeními v oblasti kryptografických prostředků vydaná Úřadem, zveřejněná na jeho internetových stránkách
ZAJIŠŤOVÁNÍ ÚROVNĚ DOSTUPNOSTI INFORMACÍ
Povinná osoba zavede opatření pro zajišťování úrovně dostupnosti, kterými zajistí
dostupnost informačního a komunikačního systému
odolnost informačního a komunikačního systému vůči kybernetickým bezpečnostním incidentům, které by mohly snížit jeho dostupnost,
dostupnost důležitých technických aktiv informačního a komunikačního systému
redundanci (dostatek) aktiv nezbytných pro zajištění dostupnosti informačního a komunikačního systému.